“Website URL published on packaging has been compromised and contains explicit content unsuitable for children.”
I am old enough to remember when the Internet and the web even more were the future. Now it’s a dystopian source of evil, leading to retailers recalling kids biscuits.
Sombody needs that right into their face. Sometime repeatedly.
threat actor = someone who wants to punch you in the face threat = the punch being thrown vulnerability = your inability to defend against the punch risk = the likelihood of getting punched in the face acceptable risk = your willingness to be punched in the face
from the tweet
risk management = your ability to see the punch coming
threat actor = someone who wants to punch you in the face threat = the punch being thrown vulnerability = your inability to defend against the punch risk = the likelihood of getting punched in the face
Nun ist es ja an sich keine große Nachricht mehr, wenn irgendwo Bitcoin abhanden kommen. In dem Fall ist es trotzdem bemerkenswert, weil es sich bei Luke Dashjr um einen der profiliertesten Bitcoin Core Entwickler handelt.
Screenshot from https://twitter.com/LukeDashjr/status/1609613748364509184
Soweit bisher bekannt ist, hat der Entwickler bekanntgegeben, dass sein PGP Key kompromittiert wurde. Darüber hinaus weiss man wenig. Außer dass offenbar 200BTC – nach heutigem Stand etwa $3.2Mio – durch den oder die Diebe entwendet worden sind. Ermittlungsbehörden haben sich wohl nicht für den Fall interessiert. Außerdem gibt es Gerüchte, Dashjr habe den Vorfall inszeniert um Steuern zu sparen.
Mein erster Reflex war es Komplexität für die Geschichte Verantwortlich zu machen. PGP ist für sich schon nicht einfach zu bedienen. Sicherheit ist immer ein Zusammenspiel von allen Komponenten und ein kompromittierter PGP Key kann schon mal richtig blöde Konsequenzen haben. Bitcoin Software ist noch deutlich jünger und komplexer, und alle Wallets arbeiten in irgendeiner Form mit Keys. Das Zusammenspiel kann da schon mal schiefgehen. Wenn man die Meldungen von Dashjr richtig verstehen kann, war wohl auch Malware im Spiel. Das lässt alles Spekulationen zu. Aber der Reflex für “zu Komplex” geht nicht weg.
Der Tweet von Dashjr:
PSA: My PGP key is compromised, and at least many of my bitcoins stolen. I have no idea how. Help please. #Bitcoin
Security related ‘news’ that have Zigbee based lighting systems as the subject of their research make me feel on Groundhog Day. They show up repeatedly, and their content is about exchangeable, along with the solution. Ladies and Gentlemen, this time it’s Ikea Trådfri that Synopsys found a flaw in. The flaw exploits malformed Zigbee frames. The vendor patched the flaw in early 2022.
Ikea Trådfri
With just one malformed Zigbee frame, attackers could take over certain Ikea smart lightbulbs, leaving users unable to turn the lights down.
Nur noch eine Woche bis zur (ISC)² Chapter Konferenz in Düsseldorf. Die Veranstaltung hat sechs hochkarätige Referenten. Die gesamte Agenda gibt es hier, es gibt noch die Möglichkeit sich per eMail anzumelden.
Hey Security-Bubble! Habt Ihr euch auch schon mal Gedanken darüber gemacht, ob die Passwörter eurer Benutzer auch alle richtig sind? Dann gibt es gute Nachrichten für euch!
Jedenfalls berichtet t3n, dass otto-js Research Team sich einmal den Chrome & Edge Enhanced Spellcheck angeschaut haben. Und dabei stellt sich folgendes raus:
Sicherheitslücke: Rechtschreibprüfung schickt Passwörter an Microsoft und Google
Cloud is a solution for everything. Databases, Message-Queues, Storage, Loadbalancing, everything. You’ll leverage somebody else’s Computer to run your workload, you’ll store data to help your business scale. Even Identity Authentication as a Service is a thing.
Well, until the remote provider gets hacked. This is in particular bad if the provider offers authentication and has employee credentials.
And it looks like Okta has fallen victim to Lapsus, a Russian Ransomware Group. At this point, this appears unconfirmed. But it will be a lot of trouble, way beyond Decembers Log4J RCE, if true.
Oh man, if this it what it looks (Okta got popped)… Blue Team everywhere is gonna be crazy busy. pic.twitter.com/PY4dIzfwvM
Facebook complains how Apple’s approach to privacy in iOS will have a substantial impact to their revenue. Following their own statement the impact will be as high as $10 billion for the current year. Facebook’s business model is widely perceived as being based on violating privacy.
Apple’s privacy feature disrupts the behind-the-scenes mechanics of many mobile ads, especially those that confirm whether a purchase or download was made.
