/dev/null
- Overig
"Terug naar fabrieksinstellingen"? (Lang verhaal!)
28-08-2015, 08:30 door [Account Verwijderd], 16 reacties
Zo, long time lurker, first time poster. Maar ik denk dat dit wel interessant is voor sommigen alhier.
Gister middag was ik aan het werk, waarbij ik mijn (Prive) gmail vrijwel altijd open staat, toen ik even wilde kijken of er een nieuw mailtje was. Allemaal rode meldingen en een stel mailtjes met "Someone has your password". Eerste waar ik aan dacht was Phishing, maar helaas. Mijn account was geblokkeerd en ik kon pas weer wat doen na een nieuw password te hebben ingesteld met sms verificatie.
Toevallig kan je via gmail kijken waar en waarmee voor het laatst is ingelogd. Blijkt er iemand in Lagog, Nigeria geprobeerd heeft in te loggen met mijn naam en het correcte password! "Zo, das natuurlijk altijd mogelijk" dacht ik toen. Als kali/BT gebruiker weet ik dat een brute force attack mogelijk is, ookal duurt het een tijdje (Had er zelf laatst 1 die na 2,5 week pas een antwoord gaf...) dus ach. Mijn wachtwoord voldeed aan de CFK-goedkeur, was een lange string van random woorden, dus mijn Nigeriaan zal vast een super computer hebben met een stel goede video kaarten. Geen beveiliging is 100%!
Toen viel mij het apparaat op waarmee hij/zij probeerde in te loggen... Een HTC Wildfire S! Niet de meest super smartphone dacht ik zo... En nu viel het spreekwoordelijke kwartje.
Zo'n 2 jaar geleden ben ik van baan veranderd. Van werken bij 1 van de grootste (Nu nog bestaande) installatie firma's naar een bedrijf waarbij ik wat meer met techniek bezig ben. Ik had toen een Wildfire S als dienst telefoon! Ik kan me niet echt herinneren of ik daar een keer mijn email account ingesteld heb, maar het is best mogelijk.
Nog voor het inleveren heb ik deze naar fabrieksinstellingen terug gebracht, want je weet maar nooit wie de telefoon na mij krijgt dacht ik toen. Zelfs bij het inleveren moest ik samen met mijn werkgever het nog een keer doen omdat het op het inlever formulier stond.
Toeval? Ook dat is mogelijk hoewel zo klein dat het te verwaarlozen is!
Mijn conclusie is duidelijk. Een telefoon die terug gezet wordt naar fabrieksinstellingen blijft ergens dus nog een cash of stack houden met daarin account instellingen. Punt.
Stom van mezelf om niet elke periode mijn passwords te veranderen. Ik ben weer met de neus op de feiten gedrukt om het toch te gaan doen. En ookal ben ik geen grote fan van Google (Doet mij teveel denken aan Evil Corps van mr. Robot!) wel goed dat ze de poging hebben tegengehouden!
Dus, denk even 3x na voor je een telefoon in een verzamelbak achterlaat. Sla hem/haar defect en zorg ervoor dat er niets bruikbaars meer mee te doen is.
Gister middag was ik aan het werk, waarbij ik mijn (Prive) gmail vrijwel altijd open staat, toen ik even wilde kijken of er een nieuw mailtje was. Allemaal rode meldingen en een stel mailtjes met "Someone has your password". Eerste waar ik aan dacht was Phishing, maar helaas. Mijn account was geblokkeerd en ik kon pas weer wat doen na een nieuw password te hebben ingesteld met sms verificatie.
Toevallig kan je via gmail kijken waar en waarmee voor het laatst is ingelogd. Blijkt er iemand in Lagog, Nigeria geprobeerd heeft in te loggen met mijn naam en het correcte password! "Zo, das natuurlijk altijd mogelijk" dacht ik toen. Als kali/BT gebruiker weet ik dat een brute force attack mogelijk is, ookal duurt het een tijdje (Had er zelf laatst 1 die na 2,5 week pas een antwoord gaf...) dus ach. Mijn wachtwoord voldeed aan de CFK-goedkeur, was een lange string van random woorden, dus mijn Nigeriaan zal vast een super computer hebben met een stel goede video kaarten. Geen beveiliging is 100%!
Toen viel mij het apparaat op waarmee hij/zij probeerde in te loggen... Een HTC Wildfire S! Niet de meest super smartphone dacht ik zo... En nu viel het spreekwoordelijke kwartje.
Zo'n 2 jaar geleden ben ik van baan veranderd. Van werken bij 1 van de grootste (Nu nog bestaande) installatie firma's naar een bedrijf waarbij ik wat meer met techniek bezig ben. Ik had toen een Wildfire S als dienst telefoon! Ik kan me niet echt herinneren of ik daar een keer mijn email account ingesteld heb, maar het is best mogelijk.
Nog voor het inleveren heb ik deze naar fabrieksinstellingen terug gebracht, want je weet maar nooit wie de telefoon na mij krijgt dacht ik toen. Zelfs bij het inleveren moest ik samen met mijn werkgever het nog een keer doen omdat het op het inlever formulier stond.
Toeval? Ook dat is mogelijk hoewel zo klein dat het te verwaarlozen is!
Mijn conclusie is duidelijk. Een telefoon die terug gezet wordt naar fabrieksinstellingen blijft ergens dus nog een cash of stack houden met daarin account instellingen. Punt.
Stom van mezelf om niet elke periode mijn passwords te veranderen. Ik ben weer met de neus op de feiten gedrukt om het toch te gaan doen. En ookal ben ik geen grote fan van Google (Doet mij teveel denken aan Evil Corps van mr. Robot!) wel goed dat ze de poging hebben tegengehouden!
Dus, denk even 3x na voor je een telefoon in een verzamelbak achterlaat. Sla hem/haar defect en zorg ervoor dat er niets bruikbaars meer mee te doen is.
Reacties (16)
Inmiddels een bekend verschijnsel. Zie ook:
https://www.security.nl/posting/429303/Priv%C3%A9gegevens+op+Android-smartphone+na+reset+niet+weg
https://www.security.nl/posting/380440/Vernieuwde+factsheet+NCSC+over+risico%27s+smartphones
https://www.security.nl/posting/33744/Virusscanners+falen+bij+wissen+mobiele+telefoons
Het kan per smartphone model verschillen, maar:
"Fabrieksinstellingen herstellen" is dus niet per definie gelijk aan "alle informatie wissen"!
(nooit meer vergeten)
https://www.security.nl/posting/429303/Priv%C3%A9gegevens+op+Android-smartphone+na+reset+niet+weg
https://www.security.nl/posting/380440/Vernieuwde+factsheet+NCSC+over+risico%27s+smartphones
https://www.security.nl/posting/33744/Virusscanners+falen+bij+wissen+mobiele+telefoons
Het kan per smartphone model verschillen, maar:
"Fabrieksinstellingen herstellen" is dus niet per definie gelijk aan "alle informatie wissen"!
(nooit meer vergeten)
Je vermoeden zou kunnen kloppen:
http://www.theverge.com/2015/5/26/8661461/android-factory-reset-disk-encryption-resale
De oplossing zou zijn om eerst je toestel te versleutelen en dan pas een factory reset te doen.
Maar toch, kijk ook kritisch of er geen andere verklaringen mogelijk zijn. Heb je hetzelfde wachtwoord voor meerdere accounts gebruikt? Is er kans op malware op een van de systemen waar dat wachtwoord is gebruikt?
En niet te vergeten: is het mogelijk dat ook andere wachtwoorden gelekt zijn?
http://www.theverge.com/2015/5/26/8661461/android-factory-reset-disk-encryption-resale
De oplossing zou zijn om eerst je toestel te versleutelen en dan pas een factory reset te doen.
Maar toch, kijk ook kritisch of er geen andere verklaringen mogelijk zijn. Heb je hetzelfde wachtwoord voor meerdere accounts gebruikt? Is er kans op malware op een van de systemen waar dat wachtwoord is gebruikt?
En niet te vergeten: is het mogelijk dat ook andere wachtwoorden gelekt zijn?
Gelukkig zijn mijn overige passwords niet bekend op dat toestel. Ik heb er natuurlijk op moeten inloggen om apps te downloaden zat ik later te denken, dus mijn gmail account was gelinked op het toestel.
Misschien dat er gegevens van mijn vorige werkgever op staan, zoals emails en telefoonboek.
Ik zal ze in de loop van het weekeind wel even een bericht sturen dat ze wat kunnen verwachten, aan hun of ze er iets mee doen!
Misschien dat er gegevens van mijn vorige werkgever op staan, zoals emails en telefoonboek.
Ik zal ze in de loop van het weekeind wel even een bericht sturen dat ze wat kunnen verwachten, aan hun of ze er iets mee doen!
Eenmaal opgeslagen bij Google (Android) blijven gegevens gewoon te achterhalen. Volgende keer toch maar een iPhone ?
Door Anoniem: Eenmaal opgeslagen bij Google (Android) blijven gegevens gewoon te achterhalen. Volgende keer toch maar een iPhone ?
(Dom) gelul... Er blijven helemaal geen gegevens bij Google (Android) opgeslagen, behalve wanneer je er om vraagt middels keuzes bij je instellingen. Indien je dat soort instellingen niet begrijpt dan vraag ik me sterk af of een iPhone je zal redden. Misschien dat dit apparaat je wel het gevoel geeft dat je gered bent (wat niet weet wat niet deert principe).
Of nog beter: alleen inloggen op gmail met je eigen computer.
Nooit met smartphones en ook nooit via (gratis) wifi hotspots.
Uiteraard ook gelijk weer uitloggen na checken van e-mail.
Liever ook geen gebruik maken van 'wachtwoord onthouden' functies.
Nooit met smartphones en ook nooit via (gratis) wifi hotspots.
Uiteraard ook gelijk weer uitloggen na checken van e-mail.
Liever ook geen gebruik maken van 'wachtwoord onthouden' functies.
Door Anoniem: Eenmaal opgeslagen bij Google (Android) blijven gegevens gewoon te achterhalen. Volgende keer toch maar een iPhone ?
Tja, bij Apple komen je naaktfoto's gewoon op straat te liggen. Die doen niet moeilijk over privacy.
03-09-2015, 03:00 door
CrioWria
Door Anoniem: Of nog beter: alleen inloggen op gmail met je eigen computer.
Nooit met smartphones en ook nooit via (gratis) wifi hotspots.
Het beste is inderdaad om voor jouw mobiel android device gewoon een willekeurig nieuw Google-account aan te maken, wat je verder niet gebruikt. E-mailen vanaf 'n telefoon/tablet werkt sowieso toch niet prettig, dat account toegeven is daarmee compleet nutteloos.Nooit met smartphones en ook nooit via (gratis) wifi hotspots.
Als je iets met google doet, moet je niet zeuren dat je data op straat ligt... Als het al niet letterlijk in de voorwaarden staat, dan toch wel 'verbloemd' (want we hebben het nodig om je te helpen). Over password policies hebben er het maar niet...
Door Anoniem:
Tja, bij Apple komen je naaktfoto's gewoon op straat te liggen. Die doen niet moeilijk over privacy.
Door Anoniem: Eenmaal opgeslagen bij Google (Android) blijven gegevens gewoon te achterhalen. Volgende keer toch maar een iPhone ?
Tja, bij Apple komen je naaktfoto's gewoon op straat te liggen. Die doen niet moeilijk over privacy.
Je mag best iets tegen een bepaald merk hebben, maar dan wel met de juiste feiten:
Er waren accounts middels "brute force attack" gehackt.
De meeste wachtwoorden zijn niet complex genoeg (omdat we mensen zijn), en middels social engineering relatief eenvoudig te achterhalen.
Mensen die naaktfoto's op internet plaatsen zullen zeer waarschijnlijk ook niet nadenken over een goed wachtwoord.
Wat Apple te verwijten valt, is dat er een brute force mogelijkheid was.
04-09-2015, 01:44 door
CrioWria
Door Anoniem: Als je iets met google doet, moet je niet zeuren dat je data op straat ligt... Als het al niet letterlijk in de voorwaarden staat, dan toch wel 'verbloemd' (want we hebben het nodig om je te helpen). Over password policies hebben er het maar niet...
Jij weet dat je ongevraagd en 'ongezien' met het bezoeken van deze pagina op security.nl ook verbinding maakt met de servers van Google? Dat niet gebruiken is altijd heel erg makkelijk roepen, maar wat je standaard niet weet/ziet wordt dat namelijk best lastig.Door Anoniem:
(Dom) gelul... Er blijven helemaal geen gegevens bij Google (Android) opgeslagen, behalve wanneer je er om vraagt middels keuzes bij je instellingen. Indien je dat soort instellingen niet begrijpt dan vraag ik me sterk af of een iPhone je zal redden. Misschien dat dit apparaat je wel het gevoel geeft dat je gered bent (wat niet weet wat niet deert principe).
Door Anoniem: Eenmaal opgeslagen bij Google (Android) blijven gegevens gewoon te achterhalen. Volgende keer toch maar een iPhone ?
(Dom) gelul... Er blijven helemaal geen gegevens bij Google (Android) opgeslagen, behalve wanneer je er om vraagt middels keuzes bij je instellingen. Indien je dat soort instellingen niet begrijpt dan vraag ik me sterk af of een iPhone je zal redden. Misschien dat dit apparaat je wel het gevoel geeft dat je gered bent (wat niet weet wat niet deert principe).
http://www.mobilecowboys.nl/android/16355
Door Anoniem:
http://www.mobilecowboys.nl/android/16355
Door Anoniem:
(Dom) gelul... Er blijven helemaal geen gegevens bij Google (Android) opgeslagen, behalve wanneer je er om vraagt middels keuzes bij je instellingen. Indien je dat soort instellingen niet begrijpt dan vraag ik me sterk af of een iPhone je zal redden. Misschien dat dit apparaat je wel het gevoel geeft dat je gered bent (wat niet weet wat niet deert principe).
Door Anoniem: Eenmaal opgeslagen bij Google (Android) blijven gegevens gewoon te achterhalen. Volgende keer toch maar een iPhone ?
(Dom) gelul... Er blijven helemaal geen gegevens bij Google (Android) opgeslagen, behalve wanneer je er om vraagt middels keuzes bij je instellingen. Indien je dat soort instellingen niet begrijpt dan vraag ik me sterk af of een iPhone je zal redden. Misschien dat dit apparaat je wel het gevoel geeft dat je gered bent (wat niet weet wat niet deert principe).
http://www.mobilecowboys.nl/android/16355
Je weet niet hoe je van een link een klikbare link moet maken? Ik help je wel even: http://www.mobilecowboys.nl/android/16355.
Dat artikel gaat over niet afdoende wissen, niet over gegevens die bij Google worden opgeslagen. Vergelijk het met een foto kaartje dat je hebt gewist maar waar je toch de foto's nog op terug weet te halen. Eenvoudige oplossing: beter wissen.
Je kunt de flash wipen met 0x00 en random bytes. Doe dat 5x en flash een nieuwe firmware erop :) Het klinkt allemaal erg ingewikkeld maar het neemt max 15min tijd in beslag.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.