Datenschutz & Datensicherheit

Ende November 2018 habe ich Conrad über eine XSS-Lücke in ihrem online Einzahlungsschein informiert. Die Seite übernimmt Parameter in der URL, ohne diese zu prüfen. Ausserdem werden die Informationen über eine ungesicherte Verbindung übertragen.

Auf den Offenen FTP Server bei Swisscom und Cablecom Kunden waren auch Dokumente des Eidgenössischen Nuklearsicherheitsinspektorat (ENSI) zu finden, auf welche ich in diesem Artikel separat eingehe.

Wer am 24 September 2015 zwischen 22:37 und 23:16 Uhr versucht hat, die deutsche Seite von vimentis.ch aufzurufen, wurde auf eine Infoseite der Piratenpartei umgeleitet. Dort steht, das die Seite unsicher sei. Ich erkläre wieso.

Wenn die privaten Dateien der eigenen Cloud von Suchmaschinen gefunden werden können, lief sicher etwas falsch. Wenn diese dann auch noch auf einem offenen FTP Server liegen, ist es ein Sicherheitsdesaster.

Platzhalter für die vermutlich bald bekannt werdende Lücke in RC4.

Am 7. April 2016 wurde Shadware auf dem Portal von 20 Minuten entdeckt, gemäss Alexa eine der beliebtesten Seiten der Schweiz. Die daraufhin verfasste Stellungnahme von 20 Minuten war mein Aufreger dieser Woche und Grund für diesen offenen Brief.

1990 gab es in den USA ein Gesetz, dass das exportieren starker Verschlüsselungen verbot. Deshalb durfte in Software nur unsichere Verschlüsselungsmechanismen genutzt werden. Diese offensichtliche Lücke ist immer noch erschreckend weit verbreitet.