Domein linux.org tijdelijk gekaapt
De officiële Linux-website linux.org is afgelopen vrijdag enige tijd gecompromiteerd geweest. De beheerder Mike McLagan wijt het incident aan openbare whois-informatie het ontbreken van tweefactor-authenticatie op zijn domein beheerdersaccount. Een cybervandaal wist afgelopen vrijdag in te breken op het registrar-account van McLagan bij Network Solutions.
Daar wist de vandaal de DNS-gegevens van linux.org aan te passen en om te leiden naar een eigen website. Bezoekers van de Linux-site kregen vrijdag enige uren de boodschap 'G3T 0WNED L1NUX N3RDZ' te zien, inclusief een onsmakelijke foto en een protest tegen transgenders, waarschijnlijk omdat een van de Linux-ontwikkelaars transgender is.
Tegenover The Register verklaart McLagan dat de data op de server onaangetast is. Wel werden naast linux.org ook linux.com, linuxonline.com en linuxhq.com offline gehaald door de hacker.
McLagan wijt het incident onder meer aan de openbare whois-gegevens waarin een e-mailadres van de administratief beheerder staat. Hij vermoedt dat de hacker is binnengedrongen in die Yahoo-mailbox die in de whois staat en zo een nieuw wachtwoord bij Network Solutions-accounts heeft aangevraagd. McLagan steekt de hand ook in eigen boezem en zegt dat met het gebruik van multifactor-authenticatie dit nooit zou zijn gebeurd.
De servers zijn niet gehackt, alleen de DNS, hoe gaat een 2FA daarbij helpen? (Ja ja, voor de Yahoo mailbox en bij de registrar natuurlijk wel.)
Tegen achterlijk beheer is geen kruid gewassen. Al is een kluisdeur zo dik als een olifant, als je die deur open laat staan fiets je zó naar binnen.
2fa afgeven bij een gratis dienst?!
fb nieuws heeft al aangetoond dat men die 3fa telefoonnumers voor tracking van gebruikers en het vergroten van inzichten in gebruikersnetwerken etc gebruikte.
2fa opgeven is in dit geval ook zwaar boeten met je privacy.
Voor belangrijke zaken dien je gewoon geen gratis shit te gebruiken die niet te vertrouwen zijn (hoeveel keer is yahoo de laatste jaren gehackt en hoeveel honderden miljoenen gegevens lagen er keer op keer op straat?).
Voor 2fa moet je inmiddels een extra telefoon kopen en die permanent in flight modus zetten om er geen zwaarder nadeel van te hebben.
2fa afgeven bij een gratis dienst?!
fb nieuws heeft al aangetoond dat men die 3fa telefoonnumers voor tracking van gebruikers en het vergroten van inzichten in gebruikersnetwerken etc gebruikte.
2fa opgeven is in dit geval ook zwaar boeten met je privacy.
Voor belangrijke zaken dien je gewoon geen gratis shit te gebruiken die niet te vertrouwen zijn (hoeveel keer is yahoo de laatste jaren gehackt en hoeveel honderden miljoenen gegevens lagen er keer op keer op straat?).
Voor 2fa moet je inmiddels een extra telefoon kopen en die permanent in flight modus zetten om er geen zwaarder nadeel van te hebben.
2FA hoeft helemaal niet via een telefoonnummer te werken, beter zelfs nog van niet. Kan ook met een OTP of nog beter met b.v. een YubiKey. Daar hoef je dus helemaal geen smartphone voor te kopen...
Ben het met je eens dat je beter geen Yahoo shit o.i.d. kunt gebruiken.
Ik kan de vinger er nog steeds niet opleggen wat er nu precies gebeurd is, ook op Reddit blijft dit onduidelijk.
Als je zo vaag blijft verdien je het niet om admin te zijn.
Lichtvaardigheid is spelen met vuur.
De servers zijn niet gehackt, alleen de DNS, hoe gaat een 2FA daarbij helpen? (Ja ja, voor de Yahoo mailbox en bij de registrar natuurlijk wel.)
Helaas blijft antwoord van linux4 uit.
De servers zijn niet gehackt, alleen de DNS, hoe gaat een 2FA daarbij helpen? (Ja ja, voor de Yahoo mailbox en bij de registrar natuurlijk wel.)
Helaas blijft antwoord van linux4 uit.
Zal ik effe bijspringen dan maar? Ik snap wel dat linux4 niet antwoordt. Men kan blijkbaar niet meer lezen en ik snap heel goed dat linux4 op misvattingen die daardoor zijn ontstaan niet meer ingaat. Het staat nl. letterlijk in het artikel van redactie: De beheerder Mike McLagan wijt het incident aan openbare whois-informatie het ontbreken van tweefactor-authenticatie op zijn domein beheerdersaccount. #nofurthercomment
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.