News Hack bei bekannter Authenticator-App: Angeblich 33 Mio. Rufnummern erbeutet

PCGH_Thilo

Größter PCGH-Fan
Teammitglied
Das dürfte den Anwendern von Authy nicht schmecken: Anbieter Twilio muss zugeben, dass unbekannter Hacker Telefonnummern von Authy-Accounts gestohlen haben. Die Folgen sind noch nicht absehbar.

Was sagt die PCGH-X-Community zu Hack bei bekannter Authenticator-App: Angeblich 33 Mio. Rufnummern erbeutet

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Unterforum besser aufgehoben.
 
Bei einem kommerziellen Produkt gibt es nie die beste Sicherheit, es wird letztendlich alles dem Komfort, dem Gewinn und der Massentauglichkeit untwerworfen, Beispielsweise auch Cloud und Co.
 
Ich persönlich verstehe nicht, warum der Endpunkt ohne Authentifizierung überhaupt Daten rausgegeben hat. Wer implementiert denn sowas? Das kann man bei einer Wetter-App machen, aber wenn man einen Authentifizierungsdienst anbietet, dann gehört alles aus Prinzip gesichert, selbst die Tür zum Klo. Für mich ist das Schlamperei.
 
Authy-Nutzer sollten sicherstellen, dass ihre mobilen Konten so konfiguriert sind, dass "sie Nummernübertragungen ohne Angabe eines Passcodes blockieren oder den Sicherheitsschutz deaktivieren".
Genialer Tipp - eigentlich soll man das deaktivieren von Sicherheitsfunktionen blockieren und nicht den "sicherheitsschutz" deaktivieren... Wie man mit journalistischer Sorgfalt den nächsten Hack fördert ;)
 
Und wo stellt man das ein? In der App oder in den Android optionen? Und wo dann da? Ich finds nicht.
 
Die CSV musst dann mal in Excel importieren.
Wartest 17 Stunden....
Wer verwendet für solche Datensätze Excel? :ugly:
Das beweist nur einmal mehr, dass keine Software sicher ist.
Nö, Twilio hat sich erst vor 2 Jahren mit "Ruhm" bekleckert.

Das ist einfach ein Saftladen. Merkt man auch an den "Empfehlungen" wo man das Problem und Schuld quasi auf den Enduser abwälzt. Als besonderes Schmankerl hat die Führunsetage am 1. Juli (also vor dem Bekanntwerden) Aktien abgestoßen: https://www.boerse-global.de/twilio-aktie-fuehrungskraefte-veraeussern-unternehmensanteile/55237

Damals wo ich in der Sicherheit gearbeitet hatte, gab es ein Leitspruch: Eine absolute 100 % Sicherheit gibt es nicht.
Nona, es gibt immer einen Trade-Off. Allerdings sind betroffene Unternehmen in der Regel keine Vorzeigebetriebe was Sicherheit angeht.
Ich weiß schon warum ich ungern meine Handynummer herausgebene. 2-Faktor Authentifizierung kann mich mal kreuzweise.
Multifaktor per se ist nichts schlechtes. Aber es sollte idealerweise nicht über die Telefonnummer geschehen.
Beste Variante ist ein Hardwaretoken (Yubikey oder ähnliches), ansonsten geht es auch mit einer entsprechenden App, egal ob jetzt PC oder Handy.
 
Nur weil es keine 100%ige Sicherheit gibt heißt das nicht, dass man es gleich sein lassen kann. Kein Wunder, dass die Unternehmen das so machen, wenn man sie damit durchkommen lässt. "Professionelle Angreifer", "hohe kriminelle Energie", vielleicht noch ein "Russische Hacker" und zack, schon werten die Kunden es wie eine Naturkatastrophe. Ups, konnte man nichts machen. Das stimmt aber natürlich nicht. Man kann sehr wohl sichere Software machen, das kostet nur Zeit und Geld. Und wenn man eben auch mangelhafte und unsichere Software verkaufen kann, ohne dafür in Verantwortung gehalten zu werden und die dadurch verursachten Schäden nicht bezahlen muss, dann ist es eben viel profitabler es nicht zu tun. Das würde sich erst ändern, wenn es eine Haftung für unsichere Software gäbe. Oder wenn Kunden die Software von Unternehmen, die ihre Daten unzureichend geschützt haben, nicht mehr kaufen würden. Aber eher friert die Hölle zu.

Ich arbeite übrigens in dem Bereich (Infosec), und da sehe ich immer wieder, dass es eben sehr wohl Software gibt, die weitgehend sicher ist. Nämlich meist dort, wo den Firmen ein signifikanter finanzieller Schaden entstehen würde, wenn der Schadensfall eintritt (und das auch auf dem Radar der Verantwortlichen ist).
Ich weiß schon warum ich ungern meine Handynummer herausgebene. 2-Faktor Authentifizierung kann mich mal kreuzweise.
Eine Handynummer ist ein ungünstiger zweiter Faktor, aber deswegen ist MFA nicht sinnlos. Gerade wirklich wichtige Accounts (E-Mail, Bankkonto) bei denen der Schaden bei Kompromittieriung erheblich ist, sichere ich auf jeden Fall zusätzlich ab. Mein Bankkonto ist mit optischer ChipTAN abgesicher, wenn man da Zielkonto und Betrag kontrolliert, ist man sicher. Gut, wenn man kein Geld drauf hat ist es vielleicht nicht so dringend, da muss jeder sein persönliches Threat Model machen.
 
oh mein gott und ich nutze solche app,mir wird schlecht.Naja habe gedacht weil ja eine meiner emails gehackt worden war,das die andere damit etwas sicherer wäre.Nun ja bin ich mir da nicht mehr ganz so sicher.Ich habe keine Ahnung was ich dazu sagen sollte,bzw schreiben.
 
Zurück