1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Clubhouse: 3,8 Milliarden…

Meldung ungeprüft übernommen

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Meldung ungeprüft übernommen

    Autor: reset3 25.07.21 - 12:06

    /UnderTheBreach/status/1418889649708208137

    Scheint wohl alles nicht so krass zu sein. Die 3,8 Milliarden Datensätze klingen ja schon a priori unwahrscheinlich.

    (Vorher noch twitter.com)

  2. Re: Meldung ungeprüft übernommen

    Autor: on(Golem.de) 25.07.21 - 12:21

    Hallo,

    Das bestätigt einfach nur unsere Meldung, in der wir ja klar sagen, dass weitere Informationen außerhalb der Nummern wohl nicht dabei sind. Jeder Mensch kann sich nun selbst denken, wie sinnvoll dieser Leak ist. Er zeugt zumindest davon, dass Clubhouse unsicher ist.

    Viele Grüße

    Oliver Nickel
    Golem.de

  3. Re: Meldung ungeprüft übernommen

    Autor: reset3 25.07.21 - 13:01

    Pardon, aber es zeigt schlichtweg, dass da jemand Zufallszahlen in eine Exceldatei erstellen konnte.

    on(Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Hallo,
    >
    > Das bestätigt einfach nur unsere Meldung, in der wir ja klar sagen, dass
    > weitere Informationen außerhalb der Nummern wohl nicht dabei sind. Jeder
    > Mensch kann sich nun selbst denken, wie sinnvoll dieser Leak ist. Er zeugt
    > zumindest davon, dass Clubhouse unsicher ist.

  4. Re: Meldung ungeprüft übernommen

    Autor: Socke81 25.07.21 - 14:39

    Ich hoffe golem geht jetzt nicht den heise Weg und macht jeden Furz zu einem Sicherheitsleck.

    Früher, in den gaaaaaanz alten Zeiten. Da gab es so ein Ding das nannte sich Telefonbuch. Das war ein gaaaaanz dickes Buch. Da standen fast alle Telefonnummern drin. Es mag unvollsterbar klingen aber da stand sogar die ganze Adresse hinter der Telefonnummer.

    Wie konnte man das nur überleben?

  5. Re: Meldung ungeprüft übernommen

    Autor: Oviing 25.07.21 - 14:52

    Naja heute hat die Telefonnummer eine ganz andere Bedeutung als früher. Zwei Faktoren Identifizierung, Tan Bank, …

  6. Re: Meldung ungeprüft übernommen

    Autor: scrumdideldu 25.07.21 - 19:24

    Da nützt es Dir aber nicht viel die Nummer zu kennen. Du müsstest dann auch noch die Nummer abgreifen können + Du müsstest zu der Nummer wissen bei welcher Bank diese Person und und sowas wie deren Kontonummer / Kundennummer kennen oder die zugehörige Email um gezielt Phising zu betreiben oder sonst was in der Art.

  7. Re: Meldung ungeprüft übernommen

    Autor: BLi8819 25.07.21 - 19:44

    In diesem Telefonbuch stand aber nicht drin, welche Nummer mit wem Kontakt hat.

  8. Re: Meldung ungeprüft übernommen

    Autor: hibiscus.coffee 25.07.21 - 20:24

    Ja und in das Telefonbuch hat mein sich freiwillig eingetragen. Ich wusste nicht dass die Veröffentlichung meiner Telefonnummer bei Clubhouse ein selbstverständliches Feature ist und kein Datenleck darstellt.

  9. Re: Meldung ungeprüft übernommen

    Autor: Neolecram 25.07.21 - 21:19

    BLi8819 schrieb:
    --------------------------------------------------------------------------------
    > In diesem Telefonbuch stand aber nicht drin, welche Nummer mit wem Kontakt
    > hat.

    Richtig. Und diese Information (Social-Graph) wird in dem Moment gefährlich, indem man es schafft, einen Einstiegspunkt zu finden.

    Gehen wir davon aus, dass ich die Telefonnummer von Frau Merkel herausfinden möchte und diese ist gut geschützt - sobald ich es schaffe, die Telefonnummer einer Person zu identifizieren, die die Nummer von Frau Merkel wahrscheinlich im Adressbuch hat, dann kann ich über den Social-Graph die Anzahl an potenziellen Nummern auf weniger tausende reduzieren. Je mehr Personen ich identifiziere, desto kleiner wird diese Liste. Irgendwann ist diese klein genug, dass ich sie (ggf. automatisiert) abtelefonieren kann.

    Genauso kann man den Social-Graph in Verbindung mit CLIP no-screening sehr gut für Social-Engineering Angriffe verwenden. Es hat einen guten Grund, dass diese Informationen als PII besonders zu schützen sind.

  10. Re: Meldung ungeprüft übernommen

    Autor: altuser 25.07.21 - 23:34

    Nein, das war ein Opt-out damals.

  11. Re: Meldung ungeprüft übernommen

    Autor: hyperlord 25.07.21 - 23:39

    Nein, das zeigt schon das sehr spezifische Dementi.
    Offenbar ist es möglich, über die API festzustellen, ob eine Nummer bei Clubhouse angemeldet ist.
    Wenn man davon ausgeht, dass das Ranking der Nummern nicht ausgedacht ist, bekommt man zusätzlich offenbar noch Metadaten, mit wie vielen anderen Nummern Verknüpfungen bestehen.
    Das ist schon etwas mehr also nur Zufallszahlen in eine Exceldatei zu schreiben.

  12. Re: Meldung ungeprüft übernommen

    Autor: Neolecram 26.07.21 - 07:59

    altuser schrieb:
    --------------------------------------------------------------------------------
    > Nein, das war ein Opt-out damals.

    Das hat sich über die Jahren geändert. Vor den 2000ern und bei der Telekom war es Standard, dass man in das Telefonbuch eingetragen wurde, später wurde danach explizit gefragt. Ich glaube - bin mir aber nicht mehr sicher - dass das bei meinem ersten E-Plus Vertrag gegen 1999 auf Wunsch möglich gewesen wäre, aber Standardmäßig abgewählt war.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Daten Analyst (m/w/div.)
    Flughafen Köln/Bonn GmbH, Köln
  2. Technical System Owner (m/w/d) Mobile Applications
    Wacker Neuson SE, München, Linz
  3. Developer ETL Talend / Data Integration und Datawarehouse (m/w/d)
    L-Bank, Karlsruhe
  4. Systembetreuer (m/w/d) Logistik
    BSH Hausgeräte GmbH, Giengen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. (u. a. Little Nightmares: Complete Edition für 5,25€, God Eater 3 für 8,75€, CODE VEIN Deluxe...
  3. 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ultra-Kurzdistanz-Beamer im Test: Wir missachten die Abstandsregel
Ultra-Kurzdistanz-Beamer im Test
Wir missachten die Abstandsregel

Unser Test von drei 4K-Laserprojektoren zeigt: Das Heimkino war selten so einfach aufzuwerten.
Ein Test von Martin Wolf

  1. Beamer PH510PG LGs mobiler Reiseprojektor projiziert auf 100 Zoll

Free-to-Play: Kostenlose Spiele für fast alle Plattformen
Free-to-Play
Kostenlose Spiele für fast alle Plattformen

Eine riesige Fantasywelt in Bless Online, Ballerspaß mit Rogue Company: Golem.de stellt gelungene Free-to-Play-Computerspiele vor.
Von Rainer Sigl


    Raketenstarts aus der Nordsee: Deutscher Weltraumbahnhof wird wohl ein Schlag ins Wasser
    Raketenstarts aus der Nordsee
    Deutscher Weltraumbahnhof wird wohl ein Schlag ins Wasser

    Es drohen hohe Kosten, unflexible Startmöglichkeiten für Raketen, schlechte Bedingungen für die Startvorbereitungen und Interessenskonflikte der Betreiber mit ihren Kunden.
    Eine Analyse von Frank Wunderlich-Pfeiffer

    1. Weltraumbahnhof In Zukunft sollen Raketen von Deutschland aus starten
    2. Raumfahrt und Hygiene Saubere Unterwäsche fürs All
    3. Wostotschny Russischer Weltraumbahnhof soll 2022 fertig sein