Tootfinder

Opt-in global Mastodon full text search. Join the index!

@Techmeme@techhub.social
2025-10-14 01:15:39

Researchers detail "Pixnapping", a new covert attack to steal 2FA codes and other private data on Android; Google's September patch only partially mitigates it (Dan Goodin/Ars Technica)
arstechnica.com/security/2025/

Hackers can steal 2FA codes and private messages from Android phones
Malicious app required to make “Pixnapping” attack work requires no permissions.

@kubikpixel@chaos.social
2025-10-04 15:55:07

»Grossunternehmen machen 2FA falsch:
Zwei-Faktor-Authentisierung ist eine der besten Sicherheitsmassnahmen für unsere Accounts im Netz. Viele Grossunternehmen setzen aber 2FA zum Nachteil der Kunden falsch ein«
Danke für den Artikel @…, ich habe ihn erst jetzt entdeckt. Leider verstehen mMn viele Firmen die IT nicht ganz wie sie die einsetzen. Es…

@metacurity@infosec.exchange
2025-12-12 15:13:47

It's finally Friday but don't head out for the weekend until you check out today's Metacurity for the top infosec developments you should know, including
--UK ICO fines LastPass $1.6 million over 2022 data breach,
--Cybercrims impersonate cops to get sensitive data on users,
--Throwaway phone numbers undercut SMS 2FA,
--Chinese inverters threaten the power grid,
--Second Irish HSE attack revealed,
--Irish Justice Minister apologizes for gaffe ov…

UK ICO fines LastPass $1.6 million over 2022 data breach
Cybercrims impersonate cops to get sensitive data on users, Throwaway phone numbers undercut SMS 2FA, Chinese inverters threaten the power grid, Second Irish HSE attack revealed, Irish Justice Minister apologizes for gaffe over PSNI data breach, Korea seeks punitive fines over breaches, much more

@nohillside@smnn.ch
2025-10-17 07:07:45

Was ist eine „gefälschte E-Mail-Adresse“? Und wie schützt 2FA dagegen, dass Dritte ein Account mit der eigenen Wohnadresse eröffnen?
srf.ch/sendungen/kassensturz-e

@eichkat3r@hessen.social
2025-10-12 10:33:37

ich hasse 2FA

@mxp@mastodon.acm.org‬
2025-12-06 09:33:54

@… Vielleicht habe ich die frage auch falsch verstanden. Wenn es um ein zweites gerät für 2FA geht, das ist nicht nötig; die 2FA-app kann auch auf dem gleichen gerät laufen.

‪@mxp@mastodon.acm.org‬
2025-12-06 09:33:54

@… Vielleicht habe ich die frage auch falsch verstanden. Wenn es um ein zweites gerät für 2FA geht, das ist nicht nötig; die 2FA-app kann auch auf dem gleichen gerät laufen.

@zachleat@zachleat.com
2025-12-03 17:15:48

@… it doesn’t do 2FA with GHA, fwiw 😅

@azonenberg@ioc.exchange
2025-10-27 15:12:25

Security annoyance of the day: Mandatory 2fa that then gives you an option to trust a device for the next 7 days.
Frequent enough to be annoying, but lacks the e.g. anti-phish protections of doing it every time. Worst of both worlds.

@csessh@social.linux.pizza
2025-11-06 14:38:08

SMS 2FA: exists
Me: paying just to login to banks😭

@ayn@trunk.lol
2025-10-01 23:31:19

This improvement of grabbing 2fa codes from third-party app notifications is super useful when my main number is on google voice.

@lil5@social.linux.pizza
2025-11-27 18:15:04

Ask a SaaS product what backup solutions they use and if they store it at a different company, you get nothing, no reply.
#hanko #HankoAuth #SaaS
Please have faith in Bezos
Shame…

Hanko | Modern Authentication. On Your Terms.
Open source, privacy-first, and built to scale. Hanko is the fastest way you integrate passkeys, 2FA, SSO, and more, with full control over your data. Move between self-hosted and Hanko Cloud anytime. No lock-in. Just auth how it should be: secure, fast, user friendly, and fully yours.

@zachleat@zachleat.com
2025-12-02 23:17:32

@… I wouldn’t expect so (but I couldn’t say 100%). Sounds like you made a config error somewhere? I locked down npm publishing access to require 2FA and disallow tokens and deleted my tokens from GitHub Settings too — I’d also check your Actions yml to make sure the token isn’t being used there

@kubikpixel@chaos.social
2025-12-05 15:00:05

»Cyberkriminalität — Millionen Payback-Konten angreifbar:
Cyberkriminelle nutzen aktuell offenbar eine Schwachstelle im Sicherheitskonzept von Payback aus, um Kundendaten und Bonuspunkte zu stehlen«
Die Frage ist eigentlich: Weshalb nutzen populäre App Dienste immer noch kein Argon2 & Co. Passwort Hashes so wie E-Mail Adressen im Klartext und nicht zB 2FA / Passkeys?
📺

Millionen Payback-Konten angreifbar
Cyberkriminelle nutzen aktuell offenbar eine Schwachstelle im Sicherheitskonzept von Payback aus, um Kundendaten und Bonuspunkte zu stehlen. Dies zeigen Recherchen von STRG_F (NDR/funk). Potenziell betroffen sind Millionen Konten.

@mxp@mastodon.acm.org‬
2025-12-06 09:11:27

@… Ah, wenn du unterwegs kein Internet hast, brauchst du auch keine 2FA – problem gelöst ;-)

‪@mxp@mastodon.acm.org‬
2025-12-06 09:11:27

@… Ah, wenn du unterwegs kein Internet hast, brauchst du auch keine 2FA – problem gelöst ;-)

@Techmeme@techhub.social
2025-10-27 11:50:50

X plans to retire the Twitter.com domain, prompting users to re-enroll their security keys for 2FA, and will lock accounts that are not updated by November 10 (Will McCurdy/PCMag)
pcmag.com/news/using-a-securit

‪@mxp@mastodon.acm.org‬
2025-12-06 10:13:51

@… Nach meiner erfahrung wird das oft suggeriert, ist aber nicht nötig. Wie gesagt, ich hatte nie ein smartphone. Ich benutze für 2FA (SWITCH edu-ID, Microsoft und GitHub) auf dem Mac Step Two, ohne separates mobilgerät.

@mxp@mastodon.acm.org‬
2025-12-06 10:13:51

@… Nach meiner erfahrung wird das oft suggeriert, ist aber nicht nötig. Wie gesagt, ich hatte nie ein smartphone. Ich benutze für 2FA (SWITCH edu-ID, Microsoft und GitHub) auf dem Mac Step Two, ohne separates mobilgerät.

@ayn@trunk.lol
2025-10-01 23:31:19

This improvement of grabbing 2fa codes from third-party app notifications is super useful when my main number is on google voice.