News Asus-Live-Update-Angriff: Asus hat Passwörter selbst auf GitHub veröffentlicht

[SIR_Thomas_TMC]

Kann mir wer erklären was github ist und wieso da öffentlich Entwicklungsdaten liegen?

 

[Jesterfox]

Warum werden Passwoerter immer noch nicht so abgesichert, dass bei einem Klau der gespeicherten Daten keine Rueckschluesse auf das Originalpasswort machbar sind. Das ist doch der eigenltich viel groessere Fail.

Weil dir das in dem Fall nichts bringt... du kannst dich ja nicht mit dem Hash selber authentifizieren, da muss schon das "richtige" Passwort genommen werden. Denn in dem Fall wurde ja keine Login-Datenbank abgegriffen sondern es wurde der in der Software hinterlegte Account + Passwort abgegriffen, etwas das eigentlich niemals in ein Repository eingecheckt werden darf (aber eben leider dort landete)

 

[shadowrid0r]

Das Schaurig-Witzige dabei ist: Bevor man etwas installiert, aber Ausnahmsweise nicht nur ´durchklickt´ dabei, und sich somit doch mal den gaaanzen Bedingungskram durchließt, wo ja gern suggeriert wird wie Sicher das alles sei... Sieht man hier ja nun wie Hersteller, Programmierer, der ganze Puff halt, das bisher gehandhabt haben.

 

[Marcel55]

Hm aber wer Missbraucht sowas?
Wenn dann würde ich mich an Asus wenden und sagen hier, ihr habt da die Passwörter veröffentlicht, macht die lieber weg und ändert die.
Wobei das ja auch irgendwann passiert ist.

Alles andere wäre nicht mit meinem Gewissen vereinbar, aber wahrscheinlich gibt es einfach zu viele Menschen ohne Gewissen.

Open-Source ist ja schon der richtige Weg, natürlich muss man ein bisschen aufpassen was man da hochlädt, aber grundsätzlich sollte die Motivation dahinter durch sowas nicht geschädigt werden.

 

[Seiku]

Und das meine Leute ist der Grund warum man nicht bei jedem Produkt Auto-Updates aktiviert haben sollte.

 

[Klassikfan]

Da ist man glatt froh beim letzten Kauf einen Bogen um Asus gemacht zu haben...

Schon witzig.... Beim letzten MB-Kauf hab ich Asus nur deswegen ausgeschlossen, weil das Board keinen SPdif hatte....

 

[Weyoun]

Beim nächsten mal kaufe ich wieder AsRock, irgendwie muss man ja Flagge zeigen.

Ich hau' mich weg!
https://de.wikipedia.org/wiki/ASRock
https://de.wikipedia.org/wiki/Pegatron

 

[Klassikfan]

Ich hau' mich weg!
https://de.wikipedia.org/wiki/ASRock
https://de.wikipedia.org/wiki/Pegatron

Na ja.... In dem zweiten Artikel stehts aber auch drin, daß Asus nur noch 17% an Pegatron hält. Und die Zeiten, wo ASrock-Boards Billigableger von Asus-Boards waren, sind laaaange vorbei!

 

[Garack]

Da ist man glatt froh beim letzten Kauf einen Bogen um Asus gemacht zu haben...

Und wenn es den Angreifern direkt SO leicht gemacht wurde, möchte ich gar nicht wissen was da noch alles im Argen ist. Traurig wenn man auf die Art und Weise von innen ge****t wird.
Die Erfahrung durften wir ja unlängst auch machen

Das hatte jeder Hersteller mal mehr mal weniger. Lenovo hatte sogar selbt ne Backdoor mit Auslesbarem private Key geschrieben und auf den Notebooks installiert ne Zeit lang. Bei Intel ist die Management Engine sogar erlaubt als offizielle Backdoor.

 

[feidl74]

Hm aber wer Missbraucht sowas?
Wenn dann würde ich mich an Asus wenden und sagen hier, ihr habt da die Passwörter veröffentlicht, macht die lieber weg und ändert die.
Wobei das ja auch irgendwann passiert ist.

richtig asus hat nur 6 tage gebraucht um nach dem hinweis auf dieses "unwesentliche" Problem zu reagieren. ist doch richtig schnell, 6 tage nachdem man kenntniss davon hat, das ein mitarbeiter iwo pws veröffentlicht hat(seis nun aus versehen oder purer Dummheit). daran siehst du doch wie wichtig asus das genommen hatXD. und jetzt stelle dir mal vor, wie wichtig firmen es nehmen, wenn iregendwo daten von iwem auftaucvhen, durch z.b. ein leck(mitarbeiter)....

 

[Mcr-King]

Dass Hauptproblem eines WLAN ist erstens ist es öffentlich zweitens ist Öffentliche Bereich extra. (PC Sever blabla)

Zweitens schon vergessen da gab es einen schönen Fehler in Routern div. Hersteller. 😉

Dritens sind die Smartphones von zig Herstellern und vers. OS sicher nicht wenn nicht aktuell.

Viertens mein Anliegen ist niemand zuschauen sondern zu helfen wenn es Lücken gibt.

Zur Sache ja sowas passiert in letzter Zeit doch öfter ob ein Zusammenhang mit Intel besteht ist offen. Trotzdem ist es traurig dass grosse OEMs lieber weniger Gewinn machen, als AMD zu nehmen die zurzeit Sicherer und Billiger und verfügbar sind.

 

[TierParkToni]

Mal wieder gut für jeden der nicht jeden Autoupdater und jede Herstellersoftware installiert.
Meine wenigen Treiber, Runtimes und Programme kann ich auch manuell erneuern, ohne extra Schlupflöcher.

Benötigt aber auch ein wenig Sachverstand und Eigeninteresse - beides ist in freier Wildbahn leider nur noch selten anzutreffen bzw ist durch Wissen von ComputerBild, PCWelt, SpiegelONLINE oder ähnliches ersetzt worden...

Ergänzung (28. März 2019)

na das wird ja lustig, wenn das autonome fahren kommt. bin mal gespannt wenn nen "spassvogel" dann solche PWs nutzt um diese verkehrsinfrastruktur lahmzulegen. und wenn nicht nur asus Mitarbeiter solche PWs veröffentlichen ist Daimler, BMW etc davor auch nicht gefeit^^

Mein Auto fährt jetzt schon autonom - der Fahrer ist zumindest beim Fahren autonom von Facebook, Whatsapp oder gar simplen telefonieren 😉 und das Auto wird es vermutlich "bis der TÜV uns scheidet" mit seinen bisher 21 Jahren auf der Piste, ebenso wie sein Halter/Fahrer, auch weiterhin so bleiben...
Schlecht wird mir nur jeden Tag, wenn ich die "dualen Fahrersysteme" (1 Auge + 1 Hand auf dem Handy, der Rest ist nicht wirklich koordiniert anzutreffen, aber zumindest fürs Fahren verantwortlich) im Stadtverkehr miterleben darf, da braucht es noch nicht einmal einen Infrastruktur-Hacker....

 

[AncientAlien]

Mehr als Kopfschütteln bleibt einem nicht, angesichts der Idiotie die hier beschrieben wird.
Mein aktuelles Mainboard (Asus PRIME X370-PRO) ist leider von dieser Firma, auch wenn ich die Updates natürlich nicht aktiviert habe. Beim nächsten mal kaufe ich wieder AsRock, irgendwie muss man ja Flagge zeigen.

AsRock gehört doch auch zu Asus

 

[Marcel55]

@AncientAlien
Schon lange nicht mehr.

richtig asus hat nur 6 tage gebraucht um nach dem hinweis auf dieses "unwesentliche" Problem zu reagieren. ist doch richtig schnell, 6 tage nachdem man kenntniss davon hat, das ein mitarbeiter iwo pws veröffentlicht hat

Natürlich wären 6 Stunden besser als 6 Tage, aber es hätten auch 6 Wochen dauern können.

Ist natürlich ärgerlich. Wenn Ich Tools/Treiber vom Hersteller lade möchte ich diesem schon vertrauen können.

 

[Coca_Cola]

Bestätigt mein Eindruck das aus Asus ein Pfusch- und Schrotthersteller geworden ist.
Mich wundert das immernoch so viele auf den Verein hereinfallen.

 

[feidl74]

AsRock gehört doch auch zu Asus

nein, wurde 2002 ausgegliedert und gehört zur Pegatron Corporation. nix mehr asus, schon länger nicht mehr^^

 

[EdwinOdesseiron]

Ich hau' mich weg!
https://de.wikipedia.org/wiki/ASRock
https://de.wikipedia.org/wiki/Pegatron

Eigene Links nicht gelesen?

 

[AncientAlien]

nein, wurde 2002 ausgegliedert und gehört zur Pegatron Corporation. nix mehr asus, schon länger nicht mehr^^

Ja aber Pegatron ist doch eine Asus Tochter?^^

 

[Jesterfox]

Ja aber Pegatron ist doch eine Asus Tochter?^^

Asus hält nur noch 17% der Aktien. Und selbst dann sind es noch getrennte Unternehmen.

 

[yummycandy]

Warum sind da eigentlich Passwörter in Quelldateien hardcodiert? Es handelt sich doch um Clientsoftware, die sowieso nur r/o benötigt und sich denmach mit anonymous an FTPs anmeldet?!