ComputerBase Menü
Aktuelles

News Umfangreicher Datendiebstahl?: AMD untersucht mutmaßlich großen Hack des Unternehmens

kado001 schrieb:
Ist mir immer wieder rätselhaft wie "schluderhaft" in vielen Firmen für Datensicherheit gesorgt wird.

Alle meine Passwörter sind unterschiedlich und haben im Durchschnitt 18-24 Zeichen Zahlen usw. Bei allen gängigen Unternehmen verwende ich 2FA zusätzlich.
Zum Vergrößern anklicken....
Wie die meisten hier vergisst auch du, dass die Schwachstelle nicht die Passwörter sind.
Sondern der Faktor Mensch. Der Großteil aller Hacks sind nichts anderes als erfolgreiche Social engineering Aktionen.
Es gibt da ein schönes Buch zu.

Da können die Passwörter noch so gut sein und die anderen Sicherheitssysteme unknackbar sein. Wenn nur ein Mitarbeiter sich manipulieren lässt, ist es das gewesen.
 
  • Gefällt mir
Reaktionen: Volvo480, DevPandi, kado001 und 6 andere
@Legalev
Wobei das natürlich immer noch bedeuten kann, dass bei AMD auch jemand gepennt hat. ;-)

Eigentlich müsste alles komplett zugenagelt und aufgezeichnet werden.

Ich habe immerhin bei meinem Kunden seit Corona keinerlei direkte Systemzugriffe oder Hardwarezugänge mehr. In der Entwicklung kommen Externe nur noch per Terminalzugriff überhaupt in ein Betriebssystem in Kundenhoheit. Diese Instanz basiert auf einem Template, die Optionen zur Installation zusätzlicher Client-Software sind begrenzt und auch nur auf genehmigungspflichtigen Antrag möglich (natürlich auch wegen Lizenzmanagement). Ich habe in meiner Terminal-Instanz nicht mal mehr die Option auf VS Code (brauche ich im Alltag auch nicht)..

Für mich wäre die einzige Möglichkeit des Datendiebstahls nur noch per Screenshot. Da wäre auf dem zugreifenden Client MS Recall durchaus praktisch. :D
 
Zuletzt bearbeitet: (Formulierung)
  • Gefällt mir
Reaktionen: Nowareeng
schwache Passwörter wie 'password', 'P@ssw0rd', 'amd!23', and 'Welcome1
Zum Vergrößern anklicken....

Hatte eben das Spaceball Passwort "123456789" für den Planetaren Schutzschild im Kopf
 
@wern001

Falsch. Die Kombination lautet '12345'. Das weiß ich, weil ich die selbe Kombination an meinem Koffer habe.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Ranayna, Abrexxes, LEIVv1 und 2 andere
sNo0k schrieb:
Tja, es geht eben nur sicher oder bequem. In einem Unternehmen sollten die Prioritäten allerdings klar sein...
Zum Vergrößern anklicken....
Eben, wobei "bequem" eben schneller ist und Zeit ist eben Geld - was passiert wenn es schief geht ist eine andere Baustelle und wird meistens erst angegangen wenn es dann doch so weit ist.

Aber egal was man macht, ein 100% sicheres System wird es nie geben - zur Not kann man die Mitarbeiter mit Zugang eben entführen oder erpressen um an die Zugangsdaten zu kommen (alles eine Frage des Aufwands...).
 
Es braucht eine gute Trackingsoftware sobald ein Hack bemerkt wird, und man weiß woher müsste sowas wie der Taurus vorbei schauen und "Hallo" sagen in dem Gebäude dann wird sich das Hacken irgenwann auch erledigen, ja ist Böse ich weiß.

Träumen darf man ja wohl noch finde es nervig, verhindern wird man das wohl nie wirklich können den das Böse schläft nie.
 
  • Gefällt mir
Reaktionen: DannyA4
Da möchte wohl jemand seinen "Image" schaden durch "Industrie Spionage" wieder gut machen, duck :mussweg:
 
ComputerJunge schrieb:
@Legalev
Wobei das natürlich immer noch bedeuten kann, dass bei AMD auch jemand gepennt hat. ;-)

Eigentlich müsste alles komplett zugenagelt und aufgezeichnet werden.

Ich habe immerhin bei meinem Kunden seit Corona keinerlei direkte Systemzugriffe oder Hardwarezugänge mehr. In der Entwicklung kommen Externe nur noch per Terminalzugriff überhaupt in ein Betriebssystem in Kundenhoheit. Diese Instanz basiert auf einem Template, die Optionen zur Installation zusätzlicher Client-Software ist begrenzt und auch nur auf genehmigungspflichtigen Antrag möglich (natürlich auch wegen Lizenzmanagement). Ich habe in meiner Terminal-Instanz nicht mal mehr die Option auf VS Code (brauche ich im Alltag auch nicht)..

Für mich wäre die einzige Möglichkeit des Datendiebstahls nur noch per Screenshot. Da wäre auf dem zugreifenden Client MS Recall durchaus praktisch. :D
Zum Vergrößern anklicken....
Jedes Unternehmen kennt das Risiko.
Es wird halt immer noch zu wenig getan, geschult wie auch immer.
 
  • Gefällt mir
Reaktionen: ComputerJunge
Legalev schrieb:
Es wird halt immer noch zu wenig getan, geschult wie auch immer.
Zum Vergrößern anklicken....
Yep.

Aber einer meiner Punkte - und ich bekomme selbst immer noch Würg-Reflexe beim Lesen meiner folgenden Worte - war/ist, dass es eben einen Teil der MAs weiterhin nicht wirklich interessiert. Und da half bisher schon die Regulation in der Finanzbranche, die Daumenschrauben wurden massiv angezogen - und zwar von ganz oben über "das" Management. Mehr Details kann ich leider nicht aufzählen.
Weswegen "mein" Glas halbvoll ist: Ich merke schon länger signifikante Verhaltensänderungen in der "Organisation" meiner Kunden.

Dennoch bleibt meine Erinnerung an ein MAD/Don Martin-Comic von vor 40 Jahren (oder so): "Neulich im Atomkraftwerk" ...
 
Ein gutes Beispiel, warum gerade gepflegte und vertraute Kontakte Schwachstellen sein können, wenn AMD sagt, dass es über einen Drittkontakt lief. Das Problem besteht, sobald Elemente von Corporate Design oder ähnlichem für Angriffe genutzt werden können. Es braucht nur einen geben, der drauf reinfällt.
 
edenjung schrieb:
Wie die meisten hier vergisst auch du, dass die Schwachstelle nicht die Passwörter sind.
Sondern der Faktor Mensch. Der Großteil aller Hacks sind nichts anderes als erfolgreiche Social engineering Aktionen.
Es gibt da ein schönes Buch zu.

Da können die Passwörter noch so gut sein und die anderen Sicherheitssysteme unknackbar sein. Wenn nur ein Mitarbeiter sich manipulieren lässt, ist es das gewesen.
Zum Vergrößern anklicken....
Deswegen gibts bei uns:

Alle 6-8 wochen Spammails als Test
alle 12 Monate Cybersecurity 1: Datensicherheit und Cybersecurity 2: be the Cyber Expert

Bisher hatten wir Lecks auch nur über Drittvertragspartner. '

Es nervt, aber nach einem Down in meiner Exfirma hab ich verstanden, dass nigerianische Prinzen Nicht dein bestes wollen und unbekannte Nummern notfalls zu blocken sind.
 
  • Gefällt mir
Reaktionen: edenjung
@Rockstar85
Das ist gut.
ich antworte eh auf keine E-mail die ich nicht kenne.
Ebenso im Privaten. Da gibts auch nur Spam in meine Wegwerf Web.de Email.
Die richtigen Email-Adressen haben das Problem nicht.
 
  • Gefällt mir
Reaktionen: Rockstar85
ElliotAlderson schrieb:
Man sollte meinen, dass ein Unternehmen wie AMD es besser weiß.


Ne, sorry. Ich werde mich ganz sicher nicht daran gewöhnen, dass solche großen Unternehmen Passwörter wie "password" verwenden.
Zum Vergrößern anklicken....
Bitte die News nochmals lesen und verstehen! Zitat: "Der Zugriff soll über einen Drittanbieter erfolgt sein..."

Hauptsache verurteilen, bevor man überhaupt die Fakten kennt! 👏
 
  • Gefällt mir
Reaktionen: Fegr8
Das Update folgte erst später. Dennoch ist es eigentlich die Aufgabe AMDs, auch seine Dienstleister zu prüfen. Wenn die natürlich sagen "Jo klar, wir haben sicherer Passwörter", kann AMD auch nichts mehr dafür .. Aber in dem Fall köntne man den Dienstleister ja in die Insolvenz klagen. (Und das sollte viel öfter passieren, wenn es grobe Fahrlässigkeit ist)
 
ElliotAlderson schrieb:
Man sollte meinen, dass ein Unternehmen wie AMD es besser weiß.
Zum Vergrößern anklicken....
Wie soll man als Unternehmen so was verhindern?
Man kann Passwortregeln (Länge, Symbolarten,...) fest legen und ggf. noch prüfen, ob das Passwort bereits verwendet wurde (durch den Nutzer und in Breaches aka haveibeenpwnd), aber dann?
4mD123456! entspricht gängigen Passwortregeln, wird aber in endlicher Zeit knackbar sein.
 
Lord_X schrieb:
Bitte die News nochmals lesen und verstehen! Zitat: "Der Zugriff soll über einen Drittanbieter erfolgt sein..."
Zum Vergrößern anklicken....
Das steht im Update. Mein Post existierte bereits davor. Erst lesen, dann Posten ;)

Lord_X schrieb:
Hauptsache verurteilen, bevor man überhaupt die Fakten kennt! 👏
Zum Vergrößern anklicken....
Das mein Post sich auf diesen Part bezog, war jetzt auch nicht so schwer zu erkennen:
Zuletzt wurde AMD angeblich im Jahr 2022 gehackt, damals standen viele Namen und schwache Passwörter wie 'password', 'P@ssw0rd', 'amd!23', and 'Welcome1' in den veröffentlichten Datensätzen. Im Jahr zuvor wurde in der Branche Gigabyte erfolgreich gehackt, damals gelangten über diese Weg auch viele AMD-Datensätze ins Netz.
Zum Vergrößern anklicken....
Dort wird sowas wie "password" als Passwort genutzt und das ist ein Fakt ;)

scooter010 schrieb:
Man kann Passwortregeln (Länge, Symbolarten,...) fest legen und ggf. noch prüfen, ob das Passwort bereits verwendet wurde (durch den Nutzer und in Breaches aka haveibeenpwnd), aber dann?
4mD123456! entspricht gängigen Passwortregeln, wird aber in endlicher Zeit knackbar sein.
Zum Vergrößern anklicken....
Wow, was ein Argument. Sowas wie "password" verhindert dein Beispiel und das kann von jedem erraten werden. Da muss man nichts knacken. Eine ordentliche Passwortregel (12-16 Zeichen, Klein- & Großbuchstaben, etc.) verhindert aber auch deinen Einwand oder sowas wie 2 FA.
 
Zuletzt bearbeitet:
Was meinst du mit password verhindert mein Beispiel? Die Aussage ergibt so keinen Sinn?!

12-16 Zeichen, denn kommen da halt noch mehr Zahlen in die Reihe. Und User, die ihr Passwort unter die Tastatur schreiben oder täglich einen reset brauchen. Letzteres ist auch ein social engineering Vektor.
2FA war nicht das Thema. Es wurde sich im vom mir zitierten Beitrag nur über die schlechten Passwörter aufgeregt.
Ich habe nur dargelegt, dass es nach aktuellem Stand nicht möglich ist, wirklich gute Passwörter zu erzwingen.

Sinnvoller wäre es IMHO, die Mindestlänge auf 25 Zeichen oder mehr zu setzen, aber dafür auf Sonderzeichen und Zahlen zu verzichten. Passwörter aus 3 oder gar 4 beliebigen zufälligen Wörtern aus dem Duden sind sicher (Edit: sofern in Summe eine gewisse Mindestlänge erreicht wird).
 
Zuletzt bearbeitet:
scooter010 schrieb:
Was meinst du mit password verhindert mein Beispiel? Die Aussage ergibt so keinen Sinn?!
Zum Vergrößern anklicken....
Hast du die News überhaupt gelesen? Es gab bereits einen Hack und dort stellte sich heraus dass man für Passwörter u.a. "password" verwendet hat. Passwortregeln verhindern sowas.

scooter010 schrieb:
12-16 Zeichen, denn kommen da halt noch mehr Zahlen in die Reihe. Und User, die ihr Passwort unter die Tastatur schreiben oder täglich einen reset brauchen. Letzteres ist auch ein social engineering Vektor.
Zum Vergrößern anklicken....
Achso, ja dann brauchen wir es erst gar nicht versuchen. Was ein Schwachsinn.

scooter010 schrieb:
2FA war nicht das Thema. Es wurde sich im vom mir zitierten Beitrag nur über die schlechten Passwörter aufgeregt.
Zum Vergrößern anklicken....
Es geht hier ja wohl generell um Sicherheit und da gehört 2FA nun mal dazu. Ist mir egal, ob du das ausklammern willst oder nicht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MichaG
News Radeon RX 480: AMD untersucht Stromspitzen jenseits des PCIe-Standards
57 58 59
Antworten
1.163
Aufrufe
172.667
Andergast
Andergast

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz