Der Onlinehändler Amazon hat eine schwerwiegende Sicherheitslücke auf seiner Webseite geschlossen, durch die man unter anderem auf fremde Benutzerprofile zugreifen konnte. Nachdem heise Security das Unternehmen auf das Problem aufmerksam gemacht hatte. reagierte Amazon umgehend und beseitigte die Lücke. Betroffen waren neben Amazon.de anscheinend auch die anderen Amazon-Niederlassungen weltweit.
Alle Beiträge von Christoph Engling
Sicherheitslücke: Internet Explorer
Die Firma Spider.io warnt davor, dass der Internet Explorer es erlaubt, die Mausposition zu ermitteln – selbst dann, wenn sich der Mauszeiger außerhalb des Browser-Fensters befindet oder dieses gar nicht angezeigt wird, sondern minimiert ist. Dies bringe die Gefahr mit sich, dass Web-Seiten etwa Eingaben sensibler Daten über virtuelle Tastaturen belauschen, warnen die Entdecker.
Router-Hack per Mail
Eine ganze Reihe von Routern von Arcor, Asus und TP-Link sind anfällig für eine ungewollte Fernkonfiguration. Der Sicherheitsforscher Bogdan Calin demonstriert in seinem Blog eindrucksvoll, dass im Netz der Router schon das Anzeigen einer Mail weitreichende Konsequenzen haben kann: Seine speziell präparierte Testmail konfiguriert beim Öffnen den WLAN-Router so um, dass der Internet-Datenverkehr umgeleitet wird. Ein Angreifer könnte den Nutzer so etwa unbemerkt beim Aufruf von Facebook.com auf eine Phishing-Version der Seite locken, um die Zugangsdaten abzugreifen.
Phishing: Fotos von der TAN-Liste
Die Ideen gehen den Phishern nicht aus: Eine neue Phishing-Mail bittet Kunden der Deutschen Bank AG, ihre TAN-Liste zu fotografieren oder einzuscannen und über eine präparierte Seite hochzuladen. Dies sei notwendig, da die Deutsche Bank zum 1. Januar 2013 ihr komplettes iTAN-Verfahren zugunsten von Mobile TAN (mTAN) abschaffen würde.
Cloud soll kompatibler werden
In einem in der letzten Woche vorgestellten Strategiepapier hat die Europäische Kommission ihre Pläne für die weitere Entwicklung des Cloud-Computing vorgestellt. Im Zentrum steht die Standartisiereung der Cloud-Dienste – vor allem die Kompatibilität der verschiedenen Anbieter zu einander. Bisher versuchten die Anbieter duch eigene Systeme die Migration von Daten zu erschweren und so ihre Kunden zu binden.
Sicherheitslücke im Internet Explorer geschlossen
Microsoft hat am Freitag eine Sicherheitslücke im Internet-Explorter geschlossen. Mittels einer präparierten Internetseite war es zuvor möglich Schadcode auf den Rechner eines Nutzers zu laden. Alles was der Nutzer dazu tun musste, war die Internetseite anzusurfen. Experten sprechen von einer sogenannten "Surf-By-Infektion". Denkbar sind durch diesen Schadcode vor allem Angriffe im Bereich des Phishing, z.B. Abgreifen von Zugangsdaten zum Online-Banking oder ähnliches.
Die Lücke, die mit dem Patch augebessert wurde, bestand bei den Versionen 6 bis 9 des Internet Explorers. Zuvor war das Unternehmen kritisiert worden, weil es für das Update vergleichsweise lange gebraucht hatte. Mehrheitlich wurde im Internet empfohlen, aus Sicherheitsgründen komplett auf den Gebrauch des Internet Explorers zu verzichten.
Sicherheitslücke im Internet Explorer geschlossen weiterlesen
chipTAN comfort von Trojaner betroffen
Wie heise gestern auf seiner Internetseite meldete, hat das Sicherheitsunternehmen Trusteer einen Trojaner entdeckt, der gezielt das bisher als sicher eingestufte chipTAN-Verfahren umschifft. Der "Tatanga" genannte Trojaner verändert die Internetseite der Bank so, dass der Bankkunde zu einer "Testüberweisung" aufgefordert wird, die er mittels chipTAN bestätigen soll. In Wirklichkeit wird eine standartmäßige Überweisung an die Täter ausgeführt.
Alternativentwurf zu Datenschutz-Grundverordnung
Nachdem die EU-Kommission den Entwurf für eine neue Datenschutz-Grundverordnung veröffentlich hat, begann der Diskurs auf allen politischen Ebenen und im juristischen Schrifttum. Ende August haben die Rechtsanwälte Schneider/Härting in ihrem Blog einen ausformulieren Alternativvorschlag zur Datenschutz-Grundverordnung veröffentlicht.
Alternativentwurf zu Datenschutz-Grundverordnung weiterlesen
Keine anlasslose Prüfungspflicht seitens der Bank bei hohen Auslandsüberweisungen
Mit Urteil vom 19.01.2011 hat das Landgericht Düsseldorf festgestellt, dass eine Bank nur unter besonderen Voraussetzungen eine Warn- und Prüfpflicht für Online-Überweisungen trifft.
Der Kläger hatte im Jahr 2008 mehrere Transaktionsnummern des iTAN-Verfahrens auf einer Phishing-Seite eingegeben, obwohl die Bank prominent auf Ihrer Internetseite davor gewarnt und ausdrücklich darauf hingewiesen hatte, dass Sie niemals zur Eingabe mehrerer TANs auffordern werde. In der Folge wurde eine Überweisung in Höhe von 5000 Euro auf ein Konto bei einer griechischen Bank ausgeführt. Der Kläger war insoweit der Ansicht, dass die Bank vor der Ausfhrung der Übrweisung bei ihm hätte nachfragen müssen. Er berief sich unter anderem darauf, dass sein Dispositionskredit von 4500 Euro durch die Überweisung nachzu ausgeschöpft worden sein, und die Bank im zuvor einen Kredit in Höhe von 2000 Euro mangels Kreditwürdigkeit verwehrt hatte.
Das Gericht stellt klar, dass die Eingabe mehrerer TANs durch den Kunden trotz des Hinweises, einen Schadensersatzanspruch der Bank begründet, bezüglich dessen die Bank gegenüber dem Kunden wirksam die Aufrechnung erklärt hatte.
Eine Warnpflicht der Bank lehnte das Gericht ab, mit der Begründung, die Schnelligkeit des Zahlungsverkehrs sei gerade der Sinn des Massengeschäfts Online-Banking. Es sei der Bank nicht zumutbar, jede höhere Überweisung manuell nachzuprüfen. Nur unter besonderen Voraussetzungen sei der Bank ein solches Verhalten zumutbar. Jedenfalls ließ das Gericht die Umstände dieses Falles nicht ausreichen.
Das gesamte Urteil ist hier verfügbar. Hier finden Sie außerdem eine a-i3-Meldung zur Entscheidung der Revision.
Neue Gefahren für Android-Nutzer
Wie der Spiegel mit Bezug auf das „CA Community Advisor Research Blog“ berichtet, ist erste Malware aufgetaucht, die das heimliche Aufzeichnen und Versenden von Telefongesprächen auf Android-Smartphones möglich macht. Malware sind kleine Schadprogramme, die beispielsweise persönliche Daten oder Bewegungen des Nutzers im Internet aufzeichnen, wobei der Anwender selbst davon meist noch nicht einmal etwas merkt. Der jetzt bekannt gewordene Schädling speichert offenbar das Telefongespräch sowie die dazugehörigen Daten, etwa Rufnummer und Zeit des Anrufs in einer kleinen Textdatei auf der geräteeigenen SD-Karte, um diese später auf einen Server hochladen zu können.