01. AWS stellt DSSE-KMS vor, eine Dual-Layer-Verschlüsselung für verbesserte Datensicherheit!
AWS hat die serverseitige Amazon S3-Doppelschichtverschlüsselung mit im AWS Key Management Service (DSSE-KMS) gespeicherten Schlüsseln eingeführt. Diese neue Verschlüsselungsoption bietet zwei Verschlüsselungsebenen für in einen Amazon S3-Bucket hochgeladene Objekte und gewährleistet so die Einhaltung gesetzlicher Vorschriften. DSSE-KMS erfüllt die Verschlüsselungsstandards FIPS und CNSA und bietet vier serverseitige Verschlüsselungsoptionen, darunter DSSE-KMS.
Benutzer können DSSE-KMS über verschiedene Methoden aktivieren, z. B. über die AWS CLI, die AWS Management Console oder die Amazon S3 REST API. Dank seiner erweiterten Sicherheitsfunktionen ist DSSE-KMS in allen AWS-Regionen verfügbar. Preisdetails finden Sie auf den Preisseiten von Amazon S3 und AWS KMS.
02. Optimierte Zahlungssicherheit: AWS führt Zahlungskryptografie für mühelose Transaktionen ein!
Auf der re:Inforce-Konferenz stellte AWS Payment Cryptography vor, einen neuen Service zur Optimierung von kryptografischen Zahlungsvorgängen. Diese flexible Lösung erfüllt die PCI-Sicherheitsanforderungen und ersetzt lokale Hardware-Sicherheitsmodule (HSMs) für Zahlungen, indem sie Ver- und Entschlüsselungsfunktionen für zahlungsbezogene Daten bereitstellt.
Mit Unterstützung für symmetrische und asymmetrische Schlüssel wie TDES, AES und RSA gewährleistet Payment Cryptography Schlüsseltrennung, Identifizierung und Zugriffskontrolle. Durch die Nutzung der konformen HSMs von AWS ermöglicht dieser Service Zahlungsdienstleistern, -verarbeitern und Banken, die Abhängigkeit von externen Rechenzentren zu minimieren. Das Preismodell berücksichtigt Gebühren pro API-Aufruf und die Anzahl aktiver Schlüssel und ist daher für Fintechs in der Frühphase attraktiv. Derzeit verfügbar in den Regionen USA Ost und USA West.
03. iOttie-Site gehackt: Kreditkarten von Kunden bei großem Datenleck gestohlen!
Der beliebte Hersteller von Handyzubehör, iOttie, hat einen fast zwei Monate andauernden Datendiebstahl bekannt gegeben, der zum Diebstahl von Kreditkartendaten und persönlichen Informationen von Online-Käufern führte. Der Angriff wurde durch schädliche Skripte verursacht, die zwischen dem 12. April und dem 2. Juni in die iOttie-Website eingeschleust wurden. Obwohl das Unternehmen den Schadcode entfernt hat, sollten Kunden, die in diesem Zeitraum eingekauft haben, weiterhin auf potenziell betrügerische Aktivitäten achten. Der Angriff mit dem Namen MageCart unterstreicht, wie wichtig es ist, Kreditkartenabrechnungen und Bankkonten auf nicht autorisierte Transaktionen zu überwachen.
04. UPS-Datenleck setzt Kunden SMS-Phishing-Angriffen aus
UPS hat einen Datendiebstahl bei kanadischen Kunden bekannt gegeben. Dabei wurde festgestellt, dass personenbezogene Daten, die über die Online-Paketsuchfunktion erlangt wurden, für SMS-Phishing-Angriffe verwendet wurden. Der Datendiebstahl ereignete sich zwischen Februar 2022 und April 2023. Angreifer griffen dabei auf die Kontaktdaten der Empfänger zu. UPS hat Maßnahmen ergriffen, um den Zugriff einzuschränken, und benachrichtigt die Betroffenen.
Es gibt Berichte über Phishing-Versuche, bei denen sich Unternehmen wie LEGO und Apple als Betrüger ausgeben. Kunden wird geraten, Vorsicht walten zu lassen, verdächtige Links zu vermeiden und in solchen Nachrichten keine vertraulichen Informationen preiszugeben. UPS arbeitet aktiv mit Strafverfolgungsbehörden und Experten zusammen, um diese Machenschaften zu stoppen.
05. Microsoft behebt Sicherheitslücke bei der Azure AD-Authentifizierung
Microsoft hat eine Sicherheitslücke in Azure Active Directory (Azure AD) behoben, die es Angreifern ermöglicht hätte, die Kontrolle über bestimmte Konten zu erlangen. Die Schwachstelle namens nOAuth ermöglichte es Angreifern, Fehlkonfigurationen in Azure AD OAuth-Anwendungen auszunutzen, indem sie den E-Mail-Anspruch von Zugriffstoken nutzten.
Angreifer könnten die vollständige Kontrolle über das Konto des Ziels erlangen, indem sie die E-Mail-Adresse des Azure AD-Administratorkontos in die E-Mail-Adresse des Opfers ändern und die Funktion „Mit Microsoft anmelden“ verwenden. Microsoft hat Maßnahmen zur Behebung des Problems implementiert und empfiehlt Entwicklern, die Autorisierungslogik ihrer Apps zum Schutz vor unbefugtem Zugriff zu überprüfen.
