Our research into security vulnerabilities in Webex is now attracting international attention. Due to the vulnerability, we were able to find tens of thousands of meeting links of European governments, authorities and companies open on the Internet, and I could attend a couple of meetings without being invited. Thanks to my report to the Dutch National Cyber Security Centre, the Dutch government also found out yesterday, that 1/
Deren Ausreden sind einfach nur plump und frech oder wissen die es wirklich nicht besser?!?? Nun ja, bis die mal selber deswegen betroffen sein werden…
»Verschlüsselung: Polizei will in Echtzeit an Datenströme von WhatsApp & Co.
Eine Informationsfreiheitsanfrage eröffnet Einblicke in die Arbeit der europäischen "Going Dark"-Expertengruppe, die das "Verschlüsselungsproblem" knacken soll.«
🧵 …nun ja, dies oben erwähnte könnte noch zur allgemeinen Datenverlust und Unsicherheit führen, wenn die schon damit scheitern. Dies ist für mich, das ignorieren der Sicherheit von den Verantwortlichen.
»Mithören, wenn Beamte sprechen:
Die Software Webex hat mehr Lücken, als der Betreiber Cisco behauptete. Wir fanden Tausende Videokonferenzen von Ministerien – und wählten uns in einige ein.«
Oh and in case there a journalists from the Netherlands in my bubble (or in yours, please share!): It might be interesting to do a follow-up to our article (which will be published tomorrow) because WebEx leaked tons of data from the Dutch government.
Feel free to contact me for further information. #webex#cybersecurity#netherlands
Ok, ich habe gestern mittag ein paar Anfragen rausgeschickt - und eine Deadline genannt, weil meine Erfahrung zeigt, dass sonst erstmal gar nichts passiert. Ich habe aber nicht gesagt, dass man mir erst dann antworten DARF. Trotzdem sind alle Antworten quasi gleichzeitig heute Abend eingetrudelt. Wie Deadline-Abhängig sind deutsche Behörden und US-Konzerne? 😂
Text kommt morgen früh :) #webex#cybersecurity
Oops, wieder in ein fremdes Webex-Meeting verirrt. 😜
Aber die Menschen nehmen es mit Humor. "Hallo, mein Name ist Eva Wolfangel, Ich recherchiere über Sicherheitslücken bei Webex Nur ganz kurzes Schweigen. Dann: "Herzlichen Glückwunsch, die Recherche scheint erfolgreich zu sein."
Artikel kommt bald - und ja: das Problem ist seit meinen beiden anderen Artikeln ... größer geworden. #cybersecurity#webex
Ist es denn eine systemische Sicherheitslücke oder eher eine menschliche:
zu grosse Sorglosigkeit mit dem Umgang von Einladungsmails/Meetingadressen und z.B. Nichtverwendung oder schlampige Nutzung der "Vorzimmer"-Funktion?
Nachdem wir Anfang des Monats auf eine Sicherheitslücke im #WebEx System der #Bundeswehr hingewiesen haben, zeigt sich nun, dass diese dazu genutzt werden kann, sich unbemerkt in Konferenzen einzuschalten.
So, und hier ist jetzt auch mein aktueller Artikel, für den ich uneingeladen und teils unbemerkt interne Webex-Meetings der SPD besucht habe. Keine Frage, die Partei hätte sich um die Sicherheit ihrer Videokonferenzlösung kümmern müssen und unsichere Default-Einstellungen ändern. Aber dass Cisco nach unserem Artikel über die Bundeswehr nicht wenigstens seine anderen Kunden der "sicheren Behördenlösung" gewarnt hat, finde ich noch krasser. https://www.zeit.de/digital/datenschutz/2024-05/spd-sicherheitsluecke-it-cybersicherheit #Cybersecurity#webex
Die Links und Infos zu den Meetings waren wieder offen im Netz und durch Rauf-/Runterzählen erratbar. Die meisten waren auch nicht durch ein Passwort geschützt - und da in einem Meeting alle per Telefon eingewählt waren, wurde ich nicht einmal bemerkt. (hab mich aber natürlich zeitnah zu erkennen geben)
Cisco will meine Fragen dazu nicht beantworten, weder inhaltlich zu "Security by Design" und auch nicht dazu, wie breit sie diese "sichere Behördenlösung" verkauft haben. #webex#Cybersecurity
Guten Morgen, wer es am Wochenende verpasst hat: Wir haben eine massive Sicherheitslücke bei der Bundeswehr und der Bundesregierung aufgedeckt. Die Bundeswehr hat ihren Webex-Server daraufhin vom Internet genommen (was heute mehrere hundert geplante Meetings betreffen dürfte). Der Bundesregierung hingegen scheint das alles egal zu sein. Der Meetingraum von Olaf Scholz steht jedenfalls auch heute noch offen. https://www.zeit.de/digital/datenschutz/2024-05/bundeswehr-webex-sicherheitsluecke-it-sicherheit #Cybersecurity#bundeswehr
Olaf Scholz' Webex-Meetingraum ist nicht mehr erreichbar.
Ja: der an sich war kein großes Sicherheitsrisiko, denn natürlich kann Olaf Scholz immer noch selbst entscheiden, wen er in seinen Raum hineinlässt oder rauswirft.
ABER: diese persönlichen Meetingräume leaken eine enscheidende Information, die mir heute geholfen hat, einige #Webex -Meetings zu besuchen, zu denen ich nicht eingeladen war.
Dauert noch ein paar Tage, bis alles aufgeräumt ist. Dann schreibe ich euch das auf. #Cybersecurity
Research by ZEIT ONLINE reveals a security gap in the #Germany's #Bundeswehr (army) online meetings. It was possible to publicly access over 6,000 meetings held online, many of which were included as confidential meetings, using the #Webex platform Bundeswehr runs locally.
It's possible to guess the meeting link by counting and they also had personal rooms with easy to guess passwords or none at all.
Da die #Bundeswehr mit dem #BwMessenger gezeigt hat, dass sie auch anders kann... Meine Empfehlung wäre weg von #WebEx klar hin zu BBB (sonst jitsi).
Engage!
Alle, die jeden Tag über "Cyberwar" und #Überwachung sinieren, sollten einfach mal ihre Hausaufgaben machen, wenn sie irgendwann mal ernst genommen werden wollen!
Ah okay, jetzt verstehe ich. Der Typ hat sich per Telefon eingewählt. Darüber gibt es natürlich KEINE Verschlüsselung. Das Problem ist also nicht Mobilfunk oder WLAN wie der Verteidigungsminister sagte.
Mit fairmeeting wäre kein solcher #leak möglich - denn da gibt es die Option der vollen Ende-zu-Ende Verschlüsselung und Passwortschutz. Telefoneinwahl haben wir 2023 deaktiviert, genau aus dem Grund dass unerwünschte Gäste sich verstecken könnten. Im Vergleich zu Jitsi und #Webex ist fairmeeting.net DSGVO konform, da in der #EU gehosted und von einem EU Unternehmen betrieben. Wann dürfen wir an der nächsten Ausschreibung der #Bundeswehr teilnehmen @bmi ? #taurus @fbausch
OK, eine offene #Webex zu benutzen, ist an Dummheit kaum zu überbieten. Trotzdem die Frage: Woher kannte Ivan eigentlich Zeit und Einwahldaten?
Waren die auf Bundeswehr.de unter "Anstehende Termine" gelistet?
Bundeswehr-Skandal: Wie sicher sind Webex-Konferenzen?
Die abgehörten Bundeswehroffiziere nutzten bei ihrer Konferenz den Cloud-Dienst Webex. Wie sicher ist das System? Welche Hintertüren gibt es? Oder könnte es sich um individuelles Fehlverhalten handeln?
🤦 If you ever had any doubts about #Cisco#Webex you were right! I think there are a couple of service-providers in #SouthAfrica offering this - if you value your business or PII, don't use Webex and beware of other VoIP Services that do not use E2EE https://www.bbc.com/news/world-europe-68457087