Connect with us

Datenschutz & Sicherheit

Meta kündigt Passkeys für Facebook an


Meta will Passkeys als neue Anmeldemethode für die Facebook-App einführen. Die Funktion wird zunächst für iOS- und Android-Geräte der Facebook-App ausgerollt. Für den Messenger ist die Einführung in den kommenden Monaten geplant, wie das Unternehmen mitteilte.

Passkeys ermöglichen Nutzern die Anmeldung ohne Passwort, indem sie stattdessen den Fingerabdruck, die Gesichtserkennung oder die PIN ihres Geräts verwenden. „Passkeys sind eine neue Methode zur Identitätsverifizierung und Anmeldung, die einfacher und sicherer ist als herkömmliche Passwörter“, erklärt Meta in seiner Ankündigung.

Interessanterweise ist Facebook innerhalb des Meta-Konzerns selbst ein Nachzügler. Das ebenfalls zu Meta gehörende WhatsApp unterstützt Passkeys bereits seit Oktober 2023 auf Android und seit April 2024 auch auf iOS. Die Funktion wurde damals schrittweise für Nutzer freigeschaltet und ermöglicht seither die biometrische Anmeldung in der Messenger-App.

Mit der Implementierung folgt Meta zahlreichen anderen Diensten, die Passkeys bereits unterstützen. Google, Microsoft, Apple, Amazon, PayPal, eBay, Shopify und viele weitere Anbieter haben die Technik in den vergangenen zwei Jahren in ihre Plattformen integriert. Facebook gehört damit zu den letzten großen Plattformen, die Passkeys einführen.

Resistent gegen Phishing

Von der auf dem FIDO2-Standard aufsetzenden Technik verspricht sich Meta mehrere Vorteile: Sie ist resistent gegen Phishing-Angriffe, Passwörter können nicht erraten werden und es vereinfacht die Anmeldung. Sobald die Passkey-Unterstützung für den Messenger verfügbar ist, kann derselbe Passkey, den Nutzer für Facebook einrichten, auch für den Facebook Messenger genutzt werden.

Die Einrichtung soll über die Kontenübersicht in den Facebook-Einstellungen erfolgen. Alternativ können Nutzer auch beim Login zur Einrichtung eines Passkeys aufgefordert werden. Meta betont, dass die biometrischen Daten, die zur Entsperrung der Passkeys verwendet werden, ausschließlich auf dem Gerät des Nutzers verbleiben und nicht mit dem Unternehmen geteilt werden.

Neben der Anmeldung plant Meta weitere Einsatzgebiete für Passkeys. So sollen Nutzer ihre Passkeys künftig auch verwenden können, um Zahlungsinformationen bei Käufen mit Meta Pay sicher auszufüllen und später auch, um verschlüsselte Nachrichtenbackups zu schützen. Die Nutzung von Passkeys für verschlüsselte Backups befindet sich bei WhatsApp derzeit noch in der Testphase und ist noch nicht allgemein verfügbar.

Passkeys wurden von der FIDO Alliance entwickelt, die sich für die Reduzierung der Abhängigkeit von Passwörtern einsetzt. Trotz der zunehmenden Verbreitung von Passkeys bleiben Herausforderungen wie die Plattformabhängigkeit und die fehlende Möglichkeit, Passkeys zwischen verschiedenen Ökosystemen zu exportieren. Die FIDO Alliance arbeitet mit dem Credential Exchange Protocol (CXP) und dem Credential Exchange Format (CXF) an einer Lösung, die den sicheren Import und Export von Passkeys zwischen verschiedenen Diensten und Plattformen ermöglichen soll. Ein genauer Zeitpunkt für die breite Verfügbarkeit steht aber noch aus.


(mack)



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

IT-Vorfall bei Center Parcs: Kundendaten betroffen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Zahlreiche Kunden, die ihren Urlaub bei Center Parcs gebucht haben, erhalten derzeit eine E-Mail vom Unternehmen. Darin informiert es Empfänger darüber, dass es einen IT-Sicherheitsvorfall gegeben hat.

Dabei seien „einige Ihrer personenbezogenen Daten offengelegt“ worden, wie Center Parcs ausführt. Demnach kam es am 4. Juni 2025 zu einer Cyberattacke auf eine der Center-Parcs-Schnittstellen, die Kunden nutzen, die ihre Buchung telefonisch vorgenommen haben. „Sobald der Angriff erkannt wurde, wurde der Zugang zum System gesperrt und zusätzliche Sicherheitsmaßnahmen ergriffen“, schreibt das Unternehmen dazu.

Es scheinen tatsächlich lediglich Kunden informiert zu werden, die per Telefon gebucht haben – Kollegen aus der Redaktion, die eine Onlinebuchung bei Center Parcs vorgenommen haben, berichten, keine derartige Info-Mail erhalten zu haben.

Center Parcs: Vom Datenleck betroffene Informationen

Das Datenleck betreffe „möglicherweise“ Vor- und Nachname, die E-Mail-Adresse, die Buchungsnummer sowie Aufenthaltsort und die Reisedaten. Nicht offengelegt wurden Center Parcs zufolge die Bankdaten, Passwörter, Telefonnummern oder postalische Anschriften. Die Daten seien auch nicht von den Angreifern verändert worden.

Das Touristikunternehmen informiert Betroffene weiter, dass der Cyberangriff am 6. Juni gestoppt wurde. Den Vorfall habe das Unternehmen der französischen Datenschutzbehörde CNIL gemeldet. Zudem hat es Strafanzeige bei der Polizei eingereicht. „Cybersicherheitsexperten wurden beauftragt, unsere Systeme langfristig abzusichern“, erklärt Center Parcs weiter.

Betroffene sollen wachsam bleiben. Bislang wurde noch kein Missbrauch festgestellt. Dennoch könnten Kriminelle betrügerische E-Mails mit Zahlungsaufforderungen schicken, etwa mit dem Vorwand, dass eine Buchung unvollständig oder eine vorherige Zahlung fehlgeschlagen sei. Auch könnte es zu betrügerischen Anrufen oder SMS-Nachrichten kommen, in denen die Absender persönliche Informationen abfragen. Center Parcs ist wichtig zu betonen, dass das Unternehmen Kunden niemals in einer E-Mail mit einem Link zur Zahlung auffordert. Für offene Buchungen sollen Kunden sich auf der offiziellen Center-Parcs-Webseite oder in der MyCP-App auf dem Smartphone anmelden.

E-Mails mit solchen Zahlungsaufforderungen etwa mit einer Bankverbindung sollen Empfänger nicht nachkommen, sondern im MyCP-Konto nachschauen, ob gegebenenfalls noch ein Saldo vorliegt.

Datenlecks sind leider inzwischen alltägliche Vorkommnisse. Vergangene Woche hat etwa ein Mitglied des CCC beim Übernachtungsdienstleister Numa nächtigen wollen. Dabei stieß es jedoch auf eine vollständige Kundendatensammlung.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

The EU Commission’s vague plans for open source


The EU Commission has been funding open source projects for years. A programme called Next Generation Internet (NGI) is central to this by distributing money quickly and without red tape to promising projects – such as the decentralised microblogging service Mastodon, the video software PeerTube or Jitsi for videoconferencing.

But the Commission has been set on ending funding NGI for some time – despite prolonged criticism. Involved organisations have said that NGI works well and efficiently. Open source also plays a key role in protecting Europe from foreign actors – particularly important in the current geopolitical environment.

The Commission responded that the end of NGI is not meant to be the end of its open source funding. That is set to continue under a new name – initially the “Open Europe Stack”, now the “Open Internet Stack”. Important distinction: In spite of the new name, the programme is only indirectly related to the “EuroStack”.

Buzzword bingo

But what exactly is that supposed to mean? Why does the EU need a new programme at all? What changes will the new name bring? How much money should the new programme have? So far, all these questions go unanswered.

The new programme’s official description refers to a “publicly available and operational stack” focusing on “internet technologies for trust, transactions, connectivity, and decentralisation” and with the aim of creating a  “library of inclusive, trustworthy, interoperable, and human-centric applications and services”.

One of the points is actually new: The programme is set to be linked to a “Connected Collaborative Computing” network, or 3C network for short. This network is an EU Commission dream of an internet relying more heavily on telecommunications providers – one of the few tech sectors in which Europe still has a foothold. This idea is currently still very vague.

Thibault Kleiner, Director at the Commission’s Directorate-General for Communications, spoke more clearly today. “We’re at the stage where we need to move on”, he said at NGI’s annual event in Brussels. The work of NGI has been a big success, but is not resulting in enough business success: “We do the work, but we don’t monetise it.” The new focus, according to him, will be on building software that people will see as a credible alternative to big tech.

Decisions on the horizon

Further details on the Open Internet Stack can be found in an internal document written by a consultant for the Commission. A short version of the document has been published for the NGI event currently taking place in Brussels – we are publishing its full and confidential version.

The most concrete points in the paper concern the future programme’s budget. This is particularly important because Brussels will soon start negotiating the European Union’s next multi-year budget. This will roughly set out what the EU wants to spend money on from 2028 to 2034 – including its support for open source developers.

And how much money would you like?

The paper presents four scenarios for this period: No money at all, as much as before, a little more or twice as much. The author warns that if the Commission stops promoting open source all together, Europe could become even more dependent on non-European software. Experts could leave the continent.

The Commission could also continue the existing NGI funding model – which, according to the author, has so far proven successful. This option would cost the Commission a total of 35 million euros per year. It could also build on what NGI has achieved so far while continuing to reach small organisations with a low-barrier funding model.

As a third option, the document considers an annual budget of 50 million euros to boost Europe’s digital industry. The additional money could be channeled into the education sector or support new companies. Separate budgets should exist for technology that is considered  “critical” for Europe – whatever that means.

The fourth option would amount to up to 70 million euros per year. According to the obviously very optimistic author, this would allow Europe to “set the rules for the digital age”. Europe could become the first region to treat open source maintainers as personnel for critical infrastructure, he says, which could make digital infrastructure more resilient.

Many questions remain open

In terms of budget, the paper is relatively concrete – but apart from that, the plans remain vague. What will the new programme’s name mean for the NLnet Foundation, which distributes open source funding to developers? This is currently causing a few headaches for the Foundation’s employees, as it could potentially mean that it will have to stop its work completely.

Developers are also still asking a lot of questions about what the Open Internet Stack will mean for them. Even the best-known open source projects that have so far benefited from EU support are so far still in the dark.

The difficult topic of procurement

The paper also lists a number of other ideas for the EU’s open source policy. One key problem that open source developers have been pointing out for years is public procurement. They often face major problems selling their products to public authorities because their processes are set up for readily available software packages.

The paper calls on the EU to better align its procurement rules with open source. The personnel responsible for buying software should also be better educated on how open source software works – with the Commission setting a good example.

The proposals might come at just the right time. Yesterday Euractiv reported that the EU Commission is actively negotiating to switch its internal cloud services from Microsoft Azure to the French open source cloud provider OVH Cloud. The EU’s rules for public procurement are also currently being reformed.

Another idea is an EU legal form for open source organisations financed through donations. This legal form should be easy, the paper argues, and therefore accessible to developers. This could contribute to fixing problems faced for example by Mastodon, which was stripped of its charitable status by the German tax authorities.



Source link

Weiterlesen

Datenschutz & Sicherheit

Betrüger nutzen Briefpost zur Abzocke der Ledger-Wallet


Wer mit Krypto-Währungen und Assets hantiert, hat sicherlich zumindest mit Hardware-Wallets wie der von Ledger geliebäugelt. Einem Leser trudelte nun ein unzureichend frankierter Brief in die Hände. Damit versuchen Kriminelle, die Ledger-Krypto-Wallet zu übernehmen und leerzuräumen.

Der Brief trägt das offizielle Ledger-Logo und wirkt auch sonst professionell. Ein QR-Code prangt auf dem einseitigen Anschreiben. Den sollen Empfänger scannen und auf der Ziel-Webseite ihre Ledger-Wallet neu validieren. Die URL lautet renewledger[.]com, die zugehörige Webseite ist derzeit noch aktiv.

Falsche Ledger-Webseite: Indizien für Betrug

Beim Besuch der Webseite müssen potenzielle Opfer zunächst einen CAPTCHA lösen und belegen, dass sie Menschen sind. Danach erscheint direkt eine Eingabemaske für die 24 Wörter des Ledger-Recovery-Seeds. Die Seite sieht der originalen Ledger-Webseite recht ähnlich, jedoch fehlen Details wie Sprachumschaltung und Unterstützung für Darkmode, diverse aktuelle Produkte tauchen im Footer der Seite nicht auf. Alle Links auf der Webseite verweisen jedoch auf die echte ledger.com-Domain. Während die korrekte Ledger-Domain inzwischen etwa 30 Jahre auf dem Buckel hat, ist die gefälschte Seite seit rund 14 Tagen bei einem Web-Discounter registriert.

Sofern potenzielle Opfer tatsächlich ihre 24 Wörter des Recovery-Seeds eingeben und abschicken, ist es jedoch mit den Krypto-Assets vorbei. Die Betrüger erhalten dadurch Zugriff auf die Sicherheitskopie und können die Wallet blitzschnell leerräumen.

Im Juli 2020 hatte Ledger sich umfangreiche Kundendaten stehlen lassen. Bei rund 272.000 Kunden konnten Kriminelle so an Vor- und Nachnamen, Postanschrift und Telefonnummern gelangen. Diese Informationen sind im Darknet gelandet. Außerdem gelangten etwa eine Million E-Mail-Adressen in falsche Hände. Diese Daten dienen Kriminellen offenbar noch immer als Ausgangspunkt für ihre illegalen Machenschaften.

Auf unsere Anfrage konnte Ledger noch nicht unmittelbar antworten. Wichtig ist jedoch, dass Ledger-Besitzer ihre Recovery-Seeds niemals auf Anforderung von Dritten preisgeben.

Mitte 2023 geriet Ledger in die Kritik der Nutzerinnen und Nutzer, da das Unternehmen mit „Ledger Recover“ einen Backup-Dienst für die geheime Recovery-Phrase einführen wollte. Der kostenpflichtige Dienst soll die Möglichkeit schaffen, die Seedphrase bei Cloud-Anbietern zu speichern.


(dmk)



Source link

Weiterlesen

Beliebt