Seit der russischen Invasion in der Ukraine sind fast zwei Jahre vergangen, und während der düstere Meilenstein näher rückt und der Winter sich hinzieht, befinden sich die beiden Nationen in einer zermürbenden Pattsituation. Um „die militärische Parität“ mit Russland zu „brechen“, sagt der oberste General der Ukraine, braucht Kiew eine geniale militärische Innovation, die der Erfindung von Schießpulver gleichkommt, um den Konflikt im Zuge der Weiterentwicklung der modernen Kriegsführung zu entscheiden.
Wenn Sie sich Neujahrsvorsätze im Zusammenhang mit der digitalen Sicherheit gemacht haben (es ist noch nicht zu spät!), schauen Sie sich unsere Übersicht der wichtigsten Software-Updates an, die Sie jetzt installieren müssen, einschließlich Korrekturen von Google für fast 100 Android-Fehler. Es ist nahezu unmöglich, online völlig anonym zu bleiben, aber Sie können Maßnahmen ergreifen, um Ihre digitale Privatsphäre erheblich zu verbessern. Und wenn Sie darüber nachgedacht haben, den besonders sicheren Sperrmodus von Apple zu aktivieren, ist die Aktivierung gar nicht so schwierig und die Verwendung so aufwändig, wie Sie vielleicht denken.
Wenn Sie noch nicht ganz bereit sind, sich vom Jahr 2023 zu verabschieden, werfen Sie einen Blick zurück auf WIREDs Highlights (oder Lowlights) der gefährlichsten Menschen im Internet im letzten Jahr und der schlimmsten Hacks, die die digitale Sicherheit auf den Kopf gestellt haben.
Aber warten Sie, es gibt noch mehr! Jede Woche fassen wir die Sicherheits- und Datenschutznachrichten zusammen, die wir selbst nicht veröffentlicht oder ausführlich behandelt haben. Klicken Sie auf die Schlagzeilen, um die vollständigen Geschichten zu lesen, und bleiben Sie sicher da draußen.
23andMe sagte Anfang Oktober, dass Angreifer über den Opt-in-Social-Sharing-Dienst des Unternehmens namens DNA Relatives in die Konten einiger seiner Benutzer eingedrungen seien und diesen Zugriff missbraucht hätten, um persönliche Daten von einer größeren Untergruppe von Benutzern abzugreifen. Bis Dezember gab das Unternehmen bekannt, dass die Zahl der kompromittierten Konten etwa 14.000 betrug, und gab zu, dass personenbezogene Daten von 6,9 Millionen DNA Relatives-Benutzern betroffen waren. Mittlerweile müssen wir wegen des Verstoßes mit mehr als 30 Klagen rechnen – auch danach Optimierung der Nutzungsbedingungen um rechtliche Ansprüche gegen das Unternehmen zu erschweren – das Unternehmen schrieb in einem Brief an einige Personen, dass „Benutzer ihre Passwörter nach … früheren Sicherheitsvorfällen, die nichts mit 23andMe zu tun haben, fahrlässig recycelt und nicht aktualisiert haben.“ Dies bezieht sich auf die langjährige Einschätzung von 23andMe, dass Angreifer die 14.000 Benutzerkonten durch „Credential Stuffing“ kompromittiert haben, den Prozess des Zugriffs auf Konten mithilfe von Benutzernamen und Passwörtern, die bei anderen Datenschutzverletzungen von anderen Diensten kompromittiert wurden und die von Personen auf mehreren digitalen Konten wiederverwendet wurden. „Daher war der Vorfall nicht auf das angebliche Versäumnis von 23andMe zurückzuführen, angemessene Sicherheitsmaßnahmen aufrechtzuerhalten“, schrieb das Unternehmen in dem Brief.
„Anstatt seine Rolle in dieser Datensicherheitskatastrophe anzuerkennen, hat 23andMe offenbar beschlossen, seine Kunden im Stich zu lassen und gleichzeitig die Schwere dieser Ereignisse herunterzuspielen“, sagte Hassan Zavareei, einer der Anwälte, die Opfer vertraten, die den Brief erhalten hatten, gegenüber TechCrunch. „23andMe wusste oder hätte wissen müssen, dass viele Verbraucher recycelte Passwörter verwenden und dass 23andMe daher einige der vielen verfügbaren Sicherheitsmaßnahmen zum Schutz vor Credential Stuffing hätte implementieren sollen – insbesondere angesichts der Tatsache, dass 23andMe persönliche Identifikationsinformationen, Gesundheitsinformationen und genetische Informationen auf seiner Plattform speichert .“
Russlands Krieg – und Cyberkrieg – in der Ukraine hat jahrelang zu neuartigen Hybriden aus Hacking und physischen Angriffen geführt. Hier ist noch etwas: Ukrainische Beamte sagten diese Woche, sie hätten die Sicherheitskameras mehrerer ukrainischer Zivilisten blockiert, die vom russischen Militär gehackt worden waren und für die jüngsten Raketenangriffe auf die Hauptstadt Kiew verwendet wurden. Nach Angaben des ukrainischen Sicherheitsdienstes SBU gingen die russischen Hacker sogar so weit, die Kameras umzuleiten und ihr Filmmaterial auf YouTube zu streamen. Nach Angaben des SBU dienten diese Aufnahmen dann wahrscheinlich dazu, dass Russland am Dienstag Kiew und die ostukrainische Stadt Charkiw mit mehr als hundert Drohnen und Raketen gezielt bombardierte, wobei fünf Ukrainer getötet und weit über hundert verletzt wurden. Insgesamt hat der SBU seit Beginn der umfassenden Invasion Russlands in der Ukraine im Februar 2022 etwa 10.000 Überwachungskameras blockiert, um zu verhindern, dass sie von russischen Streitkräften entführt werden.
Letzten Monat wurde das Telekommunikationsunternehmen Kyivstar von einem russischen Cyberangriff getroffen, der den Telefondienst für Millionen Menschen in der gesamten Ukraine lahmlegte und Luftangriffswarnungen inmitten von Raketenangriffen zum Schweigen brachte. Dies war einer der verheerendsten Hackerangriffe seit Beginn der umfassenden Invasion Russlands. Nun teilt Illia Vitiuk, die Cyber-Chefin des ukrainischen Sicherheitsdienstes SBU, Reuters mit, dass die Hacker bereits im März 2023 auf das Netzwerk von Kyivstar zugegriffen und auf der Lauer gelegen hätten, bevor sie im Dezember „den Kern“ des Unternehmens „völlig zerstört“ und Tausende seiner Maschinen gelöscht hätten . Vitiuk fügte hinzu, dass die SBU davon ausgeht, dass der Angriff von Russlands berüchtigter Hackergruppe Sandworm ausgeführt wurde, die für die meisten schwerwiegenden Cyberangriffe gegen die Ukraine im letzten Jahrzehnt verantwortlich ist, darunter auch für den NotPetya-Wurm, der sich von der Ukraine in den Rest der Welt verbreitete Gesamtschaden von 10 Milliarden US-Dollar. Tatsächlich behauptet Vitiuk, Sandworm habe ein Jahr zuvor versucht, in ein ukrainisches Telekommunikationsunternehmen einzudringen, der Angriff sei jedoch entdeckt und vereitelt worden.
Diese Woche in gruseligen Schlagzeilen: Joseph Cox von 404 Media entdeckte, dass ein Google-Auftragnehmer, Telus, Eltern 50 US-Dollar für das Hochladen von Videos der Gesichter ihrer Kinder geboten hat, offenbar zur Verwendung als Trainingsdaten für maschinelles Lernen. Laut einer Beschreibung des Projekts, die Telus online veröffentlichte, umfassten die aus den Videos gesammelten Daten die Form der Augenlider und den Hautton. In einer Erklärung gegenüber 404 sagte Google, dass die Videos in den Experimenten des Unternehmens zur Verwendung von Videoclips zur Altersüberprüfung verwendet würden und dass die Videos nicht von Telus, sondern von Google gesammelt oder gespeichert würden – was die Kritik nicht ganz verringert Faktor. „Im Rahmen unseres Engagements, altersgerechte Erlebnisse zu bieten und Gesetze und Vorschriften auf der ganzen Welt einzuhalten, suchen wir nach Möglichkeiten, unseren Nutzern dabei zu helfen, ihr Alter zu überprüfen“, sagte Google in einer Erklärung zu 404. Das Experiment stellt ein etwas beunruhigendes Beispiel dafür dar, dass Unternehmen wie Google möglicherweise nicht einfach online Daten sammeln, um die KI zu verbessern, sondern in manchen Fällen sogar Benutzer – oder deren Eltern – direkt dafür bezahlen.
Vor einem Jahrzehnt stand Wickr auf der engeren Auswahlliste vertrauenswürdiger Software für sichere Kommunikation. Die Ende-zu-Ende-Verschlüsselung, die einfache Benutzeroberfläche und die selbstzerstörerischen Nachrichten der App machten sie zu einer Anlaufstelle für Hacker, Journalisten, Drogendealer – und leider auch für Händler mit Materialien zum sexuellen Missbrauch von Kindern– Suche nach überwachungsresistenten Gesprächen. Doch nachdem Amazon Wickr im Jahr 2021 übernommen hatte, kündigte das Unternehmen Anfang 2023 an, den Dienst zum Jahresende einzustellen, und scheint diese Frist eingehalten zu haben. Zum Glück für Befürworter des Datenschutzes sind die Optionen für die Ende-zu-Ende-Verschlüsselung im letzten Jahrzehnt gewachsen, von iMessage und WhatsApp bis hin zu Signal.