karllemmy

Im Podcast steht das Bayerische Landesamt für Datenschutzaufsicht im Mittelpunkt. Bereichsleiterin und Sprecherin Carolin Loy erklärt, wie die Behörde tickt.

Versteckte Kamera im Untermietzimmer – strafbar oder nicht? Das OLG Hamm stellt klar: Es braucht mehr als nur einen „frechen Blick“. Der Artikel Versteckte Kamera im Untermietzimmer: Wann wird der heimliche Blick zur Straftat? erschien zuerst auf TARNKAPPE.INFO

Versteckte Kamera im Untermietzimmer – strafbar oder nicht? Das OLG Hamm stellt klar: Es braucht mehr als nur einen „frechen Blick“. Der Artikel Versteckte Kamera im Untermietzimmer: Wann wird der heimliche Blick zur Straftat? erschien zuerst auf TARNKAPPE.INFO

Werbeblocker für Smart-TVs: So schützt du dich vor Werbung und Tracking auf FireTV, Samsung & Co. – mit DNS, AdGuard & Pi-hole. Der Artikel Werbeblocker für Smart-TVs: So entkommst du der Werbehölle im Wohnzimmer erschien zuerst auf TARNKAPPE.INFO

In seiner Kapazität als Reisebürger wurde ein Mitglied des Chaos Computer Clubs (CCC) als Gast der Hotelkette Numa unlängst zu einem digitalen Check-In gezwungen. Anfängerfehler. Eigentlich ist nun schon klar, wie die Geschichte endet, aber aus Gründen der Dokumentation wollen wir sie noch kurz zuende erzählen: Nach Übermittlung der Buchungsnummer verlangte das Check-In-System den Upload von Bildern eines amtlichen Identitätsnachweises. Weil das Zimmer schon bezahlt und ein Check-In nicht anders möglich war, fügte sich der Chaot zähneknirschend diesem Zwang. Nach dem Auschecken und einem kurzen Blick auf den per E-Mail übersandten Link zu seiner Rechnung kam dem Gast dann die verrückte Idee, den Parameter invoiceID in besagtem URL zu ändern. Prompt stieß er auf eine Schwachstelle, die es in diesem Jahrtausend einfach nicht mehr geben darf: Durch einfaches Hoch- und Runterzählen der Rechnungsnummern konnte direkt auf Rechnungen anderer Gäste zugegriffen werden. Die invoiceIDs waren nach guter buchalterischer Manier fortlaufend vergeben – und das auch lückenlos: In einer Stichprobe zwischen 100000001 und 100545503 waren alle IDs vergeben. Die Rechnungen enthalten Namen, Adressen, Aufenthaltsorte und -zeiten der Numa-Gäste. Die Rechnungen enthalten außerdem die jeweilige Buchungsnummer, die zum digitalen Check-in benötigt wird. Nach dem Check-In findet sich im Quellcode der Webseite ein JSON-Objekt mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte. Wir nahmen das Geschenk jedoch freudig an, denn jedenfalls ermöglicht es auch noch den ungeschützten Zugriff auf die Ausweisdaten der Gäste. Ein qualifizierter Datenhamster kann durch Hoch- und Runterzählen alle Rechnungen herunterladen und erhält mit der darin enthaltenen Buchungsnummer praktischerweise auch Zugriff auf die Ausweisdaten der Gäste. Wer ein Zimmer gebucht, bezahlt, und seinen Check-In-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar. Dazu kommentiert Matthias Marx, Reisender und Sprecher des CCC: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen.“ Der CCC fordert eine Abschaffung der Hotelmeldepflicht, auch für Personen ohne deutsche Staatsangehörigkeit. IDOR like it's 1999 Es kommt noch schlimmer Die Ausweisdaten hätten nie verarbeitet werden dürfen Links:

OWASP IDOR Cheat Sheet Stellungnahme des CCC an das BMJ zur Abschaffung der Hotelmeldepflicht für Deutsche

Werbeblocker für Smart-TVs: So schützt du dich vor Werbung und Tracking auf FireTV, Samsung & Co. – mit DNS, AdGuard & Pi-hole. Der Artikel Werbeblocker für Smart-TVs: So entkommst du der Werbehölle im Wohnzimmer erschien zuerst auf TARNKAPPE.INFO

Der KI-Agent von M365 konnte per E-Mail und ohne Mausklick zur Freigabe sensibler Informationen verführt werden. Microsoft hat die Lücke jetzt geschlossen.

Der KI-Agent von M365 konnte per E-Mail und ohne Mausklick zur Freigabe sensibler Informationen verführt werden. Microsoft hat die Lücke jetzt geschlossen.

KI und andere Spitzentechnologien beschleunigen die Schattenseiten der digitalen Revolution, moniert Europol. Cyberkriminelle steigerten damit ihre Effizienz.

KI und andere Spitzentechnologien beschleunigen die Schattenseiten der digitalen Revolution, moniert Europol. Cyberkriminelle steigerten damit ihre Effizienz.

In seiner Kapazität als Reisebürger wurde ein Mitglied des Chaos Computer Clubs (CCC) als Gast der Hotelkette Numa unlängst zu einem digitalen Check-In gezwungen. Anfängerfehler. Eigentlich ist nun schon klar, wie die Geschichte endet, aber aus Gründen der Dokumentation wollen wir sie noch kurz zuende erzählen: Nach Übermittlung der Buchungsnummer verlangte das Check-In-System den Upload von Bildern eines amtlichen Identitätsnachweises. Weil das Zimmer schon bezahlt und ein Check-In nicht anders möglich war, fügte sich der Chaot zähneknirschend diesem Zwang. Nach dem Auschecken und einem kurzen Blick auf den per E-Mail übersandten Link zu seiner Rechnung kam dem Gast dann die verrückte Idee, den Parameter invoiceID in besagtem URL zu ändern. Prompt stieß er auf eine Schwachstelle, die es in diesem Jahrtausend einfach nicht mehr geben darf: Durch einfaches Hoch- und Runterzählen der Rechnungsnummern konnte direkt auf Rechnungen anderer Gäste zugegriffen werden. Die invoiceIDs waren nach guter buchalterischer Manier fortlaufend vergeben – und das auch lückenlos: In einer Stichprobe zwischen 100000001 und 100545503 waren alle IDs vergeben. Die Rechnungen enthalten Namen, Adressen, Aufenthaltsorte und -zeiten der Numa-Gäste. Die Rechnungen enthalten außerdem die jeweilige Buchungsnummer, die zum digitalen Check-in benötigt wird. Nach dem Check-In findet sich im Quellcode der Webseite ein JSON-Objekt mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte. Wir nahmen das Geschenk jedoch freudig an, denn jedenfalls ermöglicht es auch noch den ungeschützten Zugriff auf die Ausweisdaten der Gäste. Ein qualifizierter Datenhamster kann durch Hoch- und Runterzählen alle Rechnungen herunterladen und erhält mit der darin enthaltenen Buchungsnummer praktischerweise auch Zugriff auf die Ausweisdaten der Gäste. Wer ein Zimmer gebucht, bezahlt, und seinen Check-In-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar. Dazu kommentiert Matthias Marx, Reisender und Sprecher des CCC: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen.“ Der CCC fordert eine Abschaffung der Hotelmeldepflicht, auch für Personen ohne deutsche Staatsangehörigkeit. IDOR like it's 1999 Es kommt noch schlimmer Die Ausweisdaten hätten nie verarbeitet werden dürfen Links:

OWASP IDOR Cheat Sheet Stellungnahme des CCC an das BMJ zur Abschaffung der Hotelmeldepflicht für Deutsche

numa ist ein Hotel ohne Rezeption. Man muss online einchecken. Durch das Hochzählen einer Rechnungsnummer konnte auf mehr als 500.000 Rechnungen sowie auf Ausweisdaten anderer Gäste zugegriffen werden. Hintergrund Wenn man bei numa einchecken möchte, muss man das online erledigen. Es gibt keine Rezeption. Einer von vier Schritten dabei ist eine digitale Identitätsprüfung: Entweder lädt … „numa numa nay“ weiterlesen