The Weakest Link (rc3)
Wie man mit einem langweiligen Newsletter einen Google oder Microsoft Account übernimmt
Chaos Computer Club - archive feed · Florian Schweitzer
December 27, 202055m 4s
Audio is streamed directly from the publisher (cdn.media.ccc.de) as published in their RSS feed. Play Podcasts does not host this file. Rights-holders can request removal through the copyright & takedown page.
Show Notes
Ein Klick auf einen "Unsubscribe"-Link in einem Newsletter reicht oft aus, damit ein Angreifer eine Rufumleitung bei einer Zielperson einrichten kann. Damit lassen sich etwa die Passwörter von mit der Rufnummer verknüpften Google- oder Microsoft-Accounts zurücksetzen.
Mobilfunkbetreiber sind weiterhin in vielen Fällen das schwächste Glied einer Sicherheitskette. Dieser Vortrag behandelt mehrere Cross Site Request Forgery (CSRF) Schwachstellen in Webapplikationen von Mobilfunkanbietern, die es ermöglichen, Rufumleitungen einzurichten. In Österreich waren im Jahr 2020 etwa 40% der Nutzer*innen von derartigen Schwachstellen betroffen.
about this event: https://fahrplan.events.ccc.de/rc3/2020/Fahrplan/events/11392.html
Topics
rc3-csh113922020IT-SecurityHamburg