Category: Security & Privacy

Datenreichtum

Datenreichtum bei Flexbooker, 3.7 Millionen Benutzer betroffen.

January 9, 2022
Elektronisches Bürger- und Organisationenpostfach

Nach “DeMail” mit privaten Anbietern: Das elektronische Bürger- und Organisationenpostfach (eBO) soll ab dem 1. Januar 2022 als weiterer „sicherer Übermittlungsweg“ für elektronischen Rechtsverkehr starten.

So wie sich mir das darstellt, setzt eBP kostenpflichtige Software kommerzieller Anbieter voraus und bedeutet mehrere hundert Euro Kosten für Unternehmen, aber auch private Teilnehmer.

Dank fehlender Standards kann das elektronische Bürger- und Organisationspostfach mit keinerlei Netzwerkeffekten rechnen. Reichweite beim Start wird daher gleich null sein, eine schnelle Adoption ist nicht zu erwarten.

Quelle: Wikipedia.

January 2, 2022
#log4J Log4Shell RCE 0-day exploit

If you develop software in Java, you are probably affected. Log4J is a really popular package to deal with logging.

In a nutshell, if an attacker manages to log a specific, crafted string, the library will load code from a random, remote host. Affected are all versions between 2.0 and 2.14.1.

#log4shell

Given how ubiquitous this library is, the impact of this vulnerability is quite severe. Learn how to patch it, why it’s bad, and more in this post.

Source: Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package | LunaSec

December 10, 2021
Datenschutz im Pixi-Format

Was ist Datenschutz und warum ist Privatsphäre wichtig? Manchmal ist das ja Erwachsenen schon schwer zu erklären. Daher hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof. Ulrich Kelber das einmal in einem leicht zu konsumierenden Format aufbereiten lassen. Die beiden Pixi-Hefte Die Daten-Füchse – Das ist privat! und Die Daten-Füchse – Was ist Datenschutz? sind für Kinder im Kindergartenalter und deren Eltern entworfen worden, aber Erwachsene und besonders Pixi-Liebhaber werden Ihre Freude mit den Heften haben. Ich jedenfalls finde das für eine großartige Idee.

Beide Bücher können ab sofort kostenlos bestellt werden. Mit ein bisschen Glück kann man unterm Christbaum von den Daten-Füchsen lesen.

Am 3. Dezember hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zwei Kinderbücher zum Thema Datenschutz veröffentlicht .
Aus der Mitteilung

BfDI Pixi Buch (Quelle: BfDI)

Source: BfDI – Kurzmeldungen – Datenschutz im Pixi-Format

December 4, 2021
Google sponsors secure open source software

Google has announced today a $1 million sponsorship for a new pilot program aimed at enhancing the security of critical open source software projects.

Source: Google offers $1 million sponsorship to secure open source software – The Record by Recorded Future

October 1, 2021
Akamai acquires Guardicore

Akamai is still pushing it’s cybersecurity capabilities. Today the company acquired Israel based cybersecurity firm Guardicore for $600 million, reports ZDNet.

ZDNet

Guardicore’s zero-trust solutions brought it to the attention of the CDN.

Source: ZDNet

September 29, 2021
“Secret” Agent Exposes Azure Customers To RCE

This week, again Azure makes the news with cloud security issues. Following the linked article, Microsoft secretly installed a “management agent” on customer VMs. As if the act itself was not severe enough, the agent is reachable from the network.

Source: “Secret” Agent Exposes Azure Customers To Unauthorized Code Execution | Wiz Blog

And, if this does not seem bad enough, the said agent will an attacker root access when the authentication header is missing:

This is even more severe. The RCE is the simplest RCE you can ever imagine. Simply remove the auth header and you are root. remotely. on all machines. Is this really 2021? pic.twitter.com/iIHNyqgew4
— Ami Luttwak (@amiluttwak) September 14, 2021

When working with the cloud, do your threat modelling before choosing a vendor.

September 15, 2021
cloud based CI/CD issues – travis-ci

Travis-CI published a security bulletin the other day, describing a special condition that would allow to access secrets belonging to a foreign repository in Github or Bitbucket. The condition requires a fork from a public repository. That’s how open source work, and very central functionality. Not a corner case.

Turns out, the cloud service did address the issue, still plenty of secrets have been affected:

Between the 3 Sept and 10 Sept, secure env vars of *all* public @travisci repositories were injected into PR builds. Signing keys, access creds, API tokens.

Anyone could exfiltrate these and gain lateral movement into 1000s of orgs. #security 1/4https://t.co/i23jFzAjjH
— Péter Szilágyi (karalabe.eth) (@peter_szilagyi) September 14, 2021

While cloud technology is all great economically, this is another sample of why commercial software vendors need to consider third party vendors in their threat profiles.

September 14, 2021
Nevermind

The CISO Ran-som-ware. Nevermind.

#Infosec #informationsecurity pic.twitter.com/3lKxl1Kf44
— statictear Ⓥ 🇺🇦 (@statictear) August 24, 2021

August 25, 2021
LockBit Group published Proof for Accenture Hack

Proof of Hack

darkfeed.io has published material the LockBit Group provided to proof their hack of the Accenture Network.
At first glance, it looks huge and worrying. Social media response at this time appears to acknowledge the proof.

More here: LockBit 2.0 Proof for Accenture Hack – DeepWeb intelligence Feed

August 12, 2021