ComputerBase Menü
Aktuelles

News Datenleck bei IdentifyMobile: Fast 200 Millionen SMS für 2FA im Klartext einsehbar

Angriffe über SS7 sollten längst der Vergangenheit angehören und stellen heute kein realistisches Szenario mehr dar. SS7 kommt bei LTE und 5G nicht zum Einsatz und UMTS ist seit 2021 in Deutschland abgeschaltet. Bleibt nur noch GSM, was aber nur von sehr alten Handys genutzt wird, die üblicherweise keine Internetfunktionen im modernen Sinn haben und zudem auch einen sehr geringen Marktanteil haben dürften.
 
  • Gefällt mir
Reaktionen: R4Z3R
Conqi schrieb:
Beispiel Atomkraftwerk wo der Begriff ursprünglich herkommt: Man plant ggf. für explodierende Druckkessel, ausfallende Kühlwasserpumpen, etc. (der GAU) und trifft Vorkehrungen, um eine Kernschmelze zu verhindern.
Alles wo dennoch größere Mengen Strahlung austreten ist dann ein Super-GAU, weil offensichtlich nicht ausreichende Vorbereitungen für dieses Szenario getroffen wurden.
Zum Vergrößern anklicken....
Auch wenn die Kernphysiker es "Super-GAU" nennen mögen: Die Vorfälle in Tschernobyl und Fukushima sind für mich lediglich die größten anzunehmenden Unfälle, die ein AKW erleiden kann.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Slim.Shady
SMS/email oder hardware key sind die einzig zumutbaren 2FA methoden.
...eine app am handy? am besten noch mit zugriff auf alles, nein danke.

noch dazu ist das handy sowieso meist unter fremder kontrolle durch apple oder google, was daran also sicherer sein soll erschließt sich mir nicht.

das einzige was damit erreicht werden soll ist doch sowieso, dass die schuld am ende dem nutzer zugeschoben wird falls doch mal etwas schiefgeht.
 
habla2k schrieb:
? Also bei meiner VISA läuft das über dieses "3D Secure" auch nur über die Auth App meines KK Anbieters. Welche Kreditkarte versendet denn da SMS?
Zum Vergrößern anklicken....
Bei mir gibt es da immer zwei Mechanismen: Einmal 3D Secure (im Falle von Visa) und dazu noch eine weitere 2FA, bei der ich sowohl eine SMS als auch eine Mail erhalte (beide mit jeweils unterschiedlichem Code). Zuerst muss ich einen beiden Codes eintippen und anschließend kommt dann die 3D Secure Verifizierung. Somit ist meine VISA-Karte immer sehr "nervig" in der Verwendung (ich bevorzuge aus diesem Grund meine AmEx von Payback, die unkomplizierter handbar ist).
 
R4Z3R schrieb:
Wie beim Datenschutz herrscht auch hier wieder German Angst ohne Maß.
Zum Vergrößern anklicken....
Dein Seitenhieb gegen die Datenschützer versteh ich nicht. So ziemlich alles das, wovor die "Aluhüte" immer gewarnt haben, ist bisher eingetroffen. Und häufig sogar schlimmer, als vorhergesagt.
 
Für mich ist Paypal am nervigsten, weil das für jeden Scheiss ne SMS schickt. Und man auch nach kurzer Zeit wieder abgemeldet wird und noch mal SMS bekommt.
 
habla2k schrieb:
Für mich ist Paypal am nervigsten, weil das für jeden Scheiss ne SMS schickt.
Zum Vergrößern anklicken....
Stell' auf OTP-App um ;). Hab ich gemacht und seitdem kommt alle paar Monate mal die Aufforderung, sich per SMS zu verfifizieren.

Das ist jetzt komplett enspannt mit PP, vorher war das ne Katastrophe, vor allem, wenn du einkaufen willst und der Provider beschließt, die SMS erst mal einen Moment zu sammeln und dann einiges später im Bulk auszuliefern. Ist mir einmal passiert.
 
  • Gefällt mir
Reaktionen: ReVan1199
Du meinst die PP App? Die will ich aber nicht nutzen. ^^ Hab schon genug auf dem Handy. Interessanterweise schlägt PP mir ständig vor mich über die App zu Authen, obwohl ich die gar nicht nutze.
 
  • Gefällt mir
Reaktionen: s1ave77
habla2k schrieb:
Du meinst die PP App?
Zum Vergrößern anklicken....
Nein, die nutze ich nicht, die nervt :).

Du kannst jede TOTP-App für 2FA nutzen. Ich nutze eh Authenticator Pro (als ideellen Nachfolger von andOTP).
 
  • Gefällt mir
Reaktionen: habla2k
Ist so was für eine solche Firma dann eigentlich das Todesurteil? Schon alleine das sie die Daten gespeichert haben ist ja fragwürdig. Könnte ja auch von einem Mitarbeiter abgegriffen werden. Dann noch solche Fehlkonfigurationen, denen sollten doch jetzt die Kunden weglaufen.
 
u-blog schrieb:
Also peinlich und datenschutztechnisch nicht Ideal, aber sicherheitstechnisch kein riesiger Deal.
Zum Vergrößern anklicken....
Ja in dem Fall ist es peinlich. Und man könnte drüber lachen. Aber dann wiederum gibt es ja fast Monatlich diese Datenleck Skandale. Und das mal wieder ein S3 Server ohne Passwort mit einer wichtigen Datenbank oder auch Daten im netzt steht und jeder drauf kann, ist ja nun nicht das erste Mal. Es ist einfach nur peinlich. Hoffe das es da Konsequenzen gibt für den Verantwortlichen. Sowas setzt doch jemand von der IT auf. Der sollte doch mindestens wissen Server-> Online-> Passwort = Gut. Und nicht einfach online damit.
 
Wenn Alternativen möglich sind, empfiehlt der CCC daher den Einsatz von Einmalpasswörtern, die per App generiert werden, oder den Einsatz von Hardware-Token.
Zum Vergrößern anklicken....

Das ist auch Unsinn.
Der größte Schwachpunkt bleibt der der am Bildschirm sitzt.

Da können die Unternehmen selbst 5FA, 10FA, oder 100FA einsetzen.
Wenn der DAU am Bildschirm den Kriminellen alle PINs, PUKs, Passwörter, Nutzernamen, Fingerabdruck, Augen-Iris, etc. was auch immer übermittelt wird das nichts.
 
  • Gefällt mir
Reaktionen: R4Z3R
Erstens: 2FA per SMS ist an sich schon eine dumme Sache und man sollte das sein lassen. Wird ja auch im letzten Absatz der News erwähnt.

Zweitens: Wie dumm kann man eigentlich sein als Firma... ich hoffe, dass deren Kunden/Partner den Laden in Grund und Boden verklagen.
 
u-blog schrieb:
Zum Glück sind diese 2FA Codes immer nur kurze Zeit gültig, das einzige was beim Leck rumkommt, ist dass Handynummer X als 2FA bei Firma Y registriert ist.

Also peinlich und datenschutztechnisch nicht Ideal, aber sicherheitstechnisch kein riesiger Deal.
Zum Vergrößern anklicken....
Nur leider ist so, wenn jemand deine Daten hat, kann diese Person sich auch Zugang zu deinen Daten erlangen. Meist genügt Email oder Telefonnummer
 
Weyoun schrieb:
Nur bei Kreditkartenzahlung wird leider noch nahezu ausschließlich auf SMS gesetzt.
Zum Vergrößern anklicken....
Also Sparkasse zwingt einem seine eigene App zu benutzen ..... Was erstmal nicht schlimm ist aber nerfig für Personen die ehr wenig Handy bzw noch nie deren App benutz haben

Man will sich Flugs was aus Übersee kaufen .... Man hat sich ja eine cc besorgt um weltweit einzukaufen .... Und dann wundert man sich warum es nicht durchgeht ....
Ach ich Brauch da die App .... Na dann schnell installieren .... Ach ich muss 3 Tage+ auf einem Brief seitens Sparkasse warten um meine cc in der App zu verifizieren ....

Ich bin für Sicherheit aber was die sich manchmal für nerfige Sachen ausdenken

PS bei Handy Wechsel muss die cc im Handy und der App neu hinterlegt werden und man muss wieder auf dem Brief warten ...

Bin leider gebrannt daher der "Hass" eine zeitkritische Bezahlung nicht durchbekommen (Auktion) PayPal war nicht akzeptiert ...zum Glück ging amazon pay
 
Welche Fachkraft hat das System denn konfiguriert?
 
Ist jetzt nichts neues. SMS sind auf dem Server nur ein langer String und entsprechend im Log des Dienstes einsehbar. Der Staat mag da ja auch bei bestimmten Verdacht mit reinschauen. Also aus meiner Erfahrung in dem Bereich konnte man schon immer alle möglichen SMS mitlesen.
Die SMS Codes sind ja eine Art TOTP, wie interessant das jetzt ist sei mal dahingestellt.
 
Also MFA / 2FA find ich immernoch als SMS deutlich besser, weil wenn mein Handy irgendwie beschädigt wird. Kann ich meist die Simkarte wieder rausholen und retten. Oder mir vom Provider eine neu ausstellen lassen auf die Rufnummer.

Wenn mein Authentikator weg ist, dann bin ich richtig am Arsch bei vielen Diensten. Und ein irreparabler Handyschaden oder ein Wasserschaden ist definitiv etwas was oft passiert. Die Info das man sich mit MFA auch gerne ausschließt ist nicht zu ignorieren.
Am besten sind noch die Leute die immer alles mit MFA absichern wollen, das brauchst du bloß bei den Kern Sachen, alles worüber man sein PW mit der Email zurücksetzen oder wo Banking Informationen enthalten sind kann, braucht kein MFA.

Und selbst wenn jemand meine SMS mitliest, ja dann hat er den Code für den Login. Dann braucht er auch etwas mal die anderen zwei Sachen für den Login. Die Wahrscheinlich das beides bei der gleichen bösen Person zusammenläuft halt ich für extrem gering.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz