Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen von März 2012

Britischer Hacker sammelt mehrere Millionen persönliche Daten

31.03.2012

Ein 23-jähriger Hacker aus York war in den Jahren 2010 und 2011 schrittweise an mehrere Millionen personenbezogene Daten gelangt. Er hatte Trojanische Pferde, wie ZeuS und SpyEye sowie selbst programmierte Python-Skripte genutzt, um Nutzer auszuspionieren und Firmennetzwerke anzugreifen.

Die reinen Zahlen sind beeindruckend:

Wie der Anwalt des zu 26 Monaten Haft verurteilten Hackers mitteilte, hatte sein Mandant die Daten als reine intellektuelle Herausforderung erbeutet. Das erklärt auch, warum er gemeinsam mit seiner Freundin nur einen sehr geringen finanziellen Schaden von knapp 3.000 Euro verursachte.

1 Kommentar

Daten von 800.000 Eltern und ihren Kindern

30.03.2012

800.000 Datensätze von Kindern und ihren Eltern gingen in einem FedEx-Paket auf der Reise durch die USA verloren. Dass die Datenträger unverschlüsselt waren ist leider so selbstverständlich, dass man es kaum erwähnen muss.

Die Daten waren nach einem Notfalltest von IBM und Iron Mountain in Colorado auf dem Weg zurück zum California Department of Child Support Services. Für den Laien ist völlig unverständlich, warum die Daten unverschlüsselt auf dem Luftweg versendet wurden und warum für den Test keine verfälschten Testdaten verwendet wurden.

Laut einer Sprecherin der Behörde sind die Daten aber sicher, da sie in einem speziellen proprietären Archivformat vorliegen. In diesen „sicheren“ Archivdateien sind Adressdaten, Fahrerlaubnisnummern, Namen und Zuordnungen von Mitarbeitern zu Eltern und Pflegeeltern und ihren Kindern enthalten. Interessanterweise wurden auch Kreditkartenunternehmen über den Vorfall informiert.

10 Kommentare

Datendiebstahl in Utahs Gesundheitsministerium

30.03.2012

Beim Einbruch in einen Behördenrechner haben unbekannte Cracker in Utah eine große Menge medizinischer Daten gestohlen. Angriffsziel waren Rechner des Gesundheitsministeriums des Bundesstaates. Sie erbeuteten persönliche Informationen von insgesamt 182.000 Betroffenen, darunter vielen Kindern aus einkommensschwachen Familien, welche auf staatliche Hilfe bei der Gesundheitsfürsorge angewiesen sind. In den insgesamt rund 24.000 Dateien, welche die Angreifer herunterluden waren auch 25.000 Sozialversicherungsnummern enthalten.

Die Behörde warnte alle potentiell Betroffenen vor Identitätsmissbrauch – da die Sozialversicherungsnummer in den USA im Prinzip als Personenkennziffer bei sämtlichen Behörden genutzt wird ist dies eine besondere Gefahr – und unbefugten Abbuchungen auf Bankkonten. Die Behörde bietet den Betroffenen für ein Jahr ein kostenloses Kreditmonitoring an, um diese vor unerlaubten Transaktionen zu schützen. Werden sie damit die nächste Datenbank aufbauen, die das Interesse von Kriminellen weckt?

Der Einbruch in das System gelang übrigens, weil ein Mitarbeiter ein zu einfaches Passwort gewählt hatte.

Kommentar hinzufügen

Patientenakten in öffentlich zugänglichem Container

30.03.2012

Am Rande der ehemaligen Asklepios-Klinik in Hamburg-Eilbeck wurden in einem Sperrmüllcontainer vertrauliche Akten gefunden. In fünf Kartons befanden sich Notfallberichte, Abrechnungen, Diagnosen und Krankheitsvorgeschichten aus mehreren Hamburger Krankenhäusern. Die Tageszeitung berichtete, dass die Akten mehrere Tausend persönliche Daten enthalten. Die betroffenen Patienten sind mit vollem Namen und Wohnort in den Berichten erwähnt. Aus einigen der Akten gehen neben medizinischen auch intime Details über das Privatleben der Personen hervor.

Wie die Zeitung weiter berichtet fehlt vermutlich die gesetzliche Grundlage um Asklepios wegen mangelnden Datenschutzes oder Verstoß gegen die ärztliche Schweigepflicht anzuzeigen. Dafür stellte Asklepios Strafanzeige gegen den Journalisten von der TAZ, welcher den Datenschutzbeauftragten informierte und Einsicht in die öffentlich zugänglichen Unterlagen nahm. Der Vorwurf: „Ausspähen von Geheimnissen“.

Kommentar hinzufügen

Über eine Million Kreditkartendaten erbeutet

30.03.2012

Wie Heise berichtet sollen Angreifer eine Sicherheitslücke bei dem Unternehmen Global Payments mit Sitz in Atlanta ausgenutzt haben um Kreditkartendaten von einem Rechner zu erbeuten. Mit dem Unternehmen arbeiten unter anderem die Kartenanbieter MasterCard, Visa, American Express und Discover Financial Services zusammen. Global Payments wickelt dabei die Zahlungsprozesse mit den Einzelhändlern ab. Sicherheitsforscher gingen zuerst davon aus, dass etwa 56.000 Kreditkarten von dem Diebstahl betroffen sind. Wie der ORF berichtet wird die Anzahl der gestohlenen Datensätze aber mittlerweile mit 1,5 Millionen beziffert. Es wurden bereits mehrere hundert Missbrauchsfälle gemeldet. Von dem Datendiebstahl sind allem Anschein nach nur US-Kunden betroffen.

Kommentar hinzufügen

Angriff auf Dating-Portal offenbart tausende E-Mail-Adressen

27.03.2012

MilitarySingles.com ist ein Online-Dating-Portal für US-amerikanische Soldaten (und jene, die mit ihnen in Kontakt kommen wollen). Nun wurden die E-Mail-Adressen von 170.000 Nutzern dieser Internetseite von Crackern einer Gruppe mit dem Namen LulzSec Reborn veröffentlicht. Zum Beweis des gelungenen Angriffs hatten die Cracker auch eine Nachricht auf der Seite platziert. ESingles, der Betreiber der Plattform dementierte den Vorfall trotzdem zunächst.

Kommentar hinzufügen

Britisches Pharmaunternehmen vergisst Datenträger zu löschen

27.03.2012

Um Nebenwirkungen bei der Einnahme mehrerer verschiedener Medikamente zu untersuchen und zu dokumentieren hatte sich das britische Pharmaunternehmen Pharmacyrepublic Limited ein entsprechendes System ausgeliehen. Man erfasste damit die Daten von insgesamt etwa 2.000 Patienten. Als die Leihgabe beendet wurde gab man auch gleich die im System gespeicherten Patientendaten weiter. Immerhin waren die Daten passwortgeschützt.

Kommentar hinzufügen

Offenes Intranet beim Landesgericht Wiener Neustadt

13.03.2012

Es lohnt sich gelegentlich den eigenen Namen in die Maske eines der großen Internetsuchdienste einzugeben und die Ergebnisse zu studieren. Diese Erfahrung jedenfalls dürfte eine Österreicherin gemacht habe, welche gemeinsam mit 900 anderen Geschädigten gegen einen insolventen Finanzdienstleister klagt.

Wie sie ihren Anwälten Anfang März 2012 mitteilte, war sie so auf eine Seite aufmerksam geworden, auf welcher sie sämtliche Gerichtsakten einsehen konnte. Diese enthalten unter anderem die Namen der beteiligten Kläger sowie die Höhe ihrer Forderungen. Nach näherer Analyse durch die Anwälte zeigte sich, dass die Akten dort eher einsehbar waren, als sie den Anwälten zugestellt wurden. Wie sich herausstellte war über eine veraltete Internetseite ein Zugriff aus dem Internet auf das gerichtsinterne Aktenverwaltungssytem möglich.

Die Panne wurde beim Landesgericht Wiener Neustadt zur Anzeige gebracht. Einem Bericht der Wiener Zeitung und dem Impressum auf den immernoch im Google-Cache verfügbaren Seiten nach zu urteilen, war die Internetseite von einem Richter programmiert. Ohne diesem zu nahe treten zu wollen, scheint es dem Landesgericht also an fachkundigem IT-Personal zu fehlen.

Kommentar hinzufügen

Erneut Kundendaten bei Manwin geklaut

13.03.2012

„Digital Playground“ nennt sich ein Pornoportal, welches von Manwin betrieben wird. Diesem entstammen 72.000 E-Mail-Adressen und 40.000 Kreditkartennummern einschließlich Ablaufdatum, sowie Links zu sonst bezahlpflichtigen Inhalten, Administratorpasswörter und Software-Keys. Die Hacker von „The Consortium“ veröffentlichten die Kundendaten bisher glücklicherweise nicht.

Das luxemburgische Unernehmen Manwin war bereits in den vergangenen Wochen Ziel zweier erfolgreicher Angriffe. Die Sicherheit von Digital Playground soll jetzt überprüft werden.

Kommentar hinzufügen

Angeklagter veröffentlicht Gerichtsakten auf Youtube

05.03.2012

Ein in einem Missbrauchsverfahren Angeklagter aus dem österreichischen Salzkammergut hat Prozessakten auf der Videoplattform Youtube veröffentlicht. Neben Namen und Zeugenaussagen gehörten zu den abgefilmten Akten auch Nacktfotos der Opfer aus ihrer Jugendzeit.

Wie Unwatched berichtet gelang es der österreichischen Polizei innerhalb von 13 Monaten nicht die Bilder von der Videoplattform zu entfernen. (Das ist äußerst erstaunlich, wenn man bedenkt, wie schnell Videos auf Veranlassung privatwirtschaftlicher Institutionen von Youtube verschwinden.) Auf Veranlassung einer Wiener Anwaltskanzlei wurden die Videos letztlich von der Internetseite entfernt.

Kommentar hinzufügen

1 2