Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen von Juli 2012

Klartextpasswörter auch bei meetOne

26.07.2012

Auch die Partnerbörse meetOne speichert ihre Passwörter im Klartext. Laut Heise sind die Logindaten von allen 900.000 Mitgliedern über eine Schnittstelle (API) öffentlich zugänglich. Zusätzlich liefert diese auch gleich die passenden Profilinformationen, darunter auch Angaben zu sexuellen Interessen. Die Daten können für jeden Account abgerufen werden, indem einfach ein URL-Parameter hochgezählt wird.

Der Betreiber hat das Leck nach einer Information schnell geschlossen. Es bleibt natürlich die Frage, warum Passwörter überhaupt im Klartext gespeichert werden. Letztlich haben immer bestimmte Administratoren oder andere Mitarbeiter Zugriff auf diese Liste. Warum wird von den Nutzern verlangt diesen ein Passwort anzuvertrauen?

Nutzer sollten das verwendete Passwort schnellstmöglich auf allen Internetseiten ändern und für jede Seite ein anderes Passwort nutzen.

Kommentar hinzufügen

Australischer Telekomdienstleister aus Protest gecrackt

25.07.2012

Cacker, welche sich zur Gruppe Anonymous zählen, haben beim australischen Telekommunikationsanbieter AAPT eine 40GB große Datenbank abgegriffen. Damit wollten sie nach eigenen Angaben gegen die Vorratsdatenspeicherung protestieren.
Die Datenbank ist laut AAPT veraltet. Trotzdem enthält sie Kundendaten der Zentralbank, der Bundespolizei, der Australian Securities & Investments Commission und der Australian Crime Commission. Anonymous hat die Daten im Internet veröffentlicht.

Kommentar hinzufügen

11 Millionen Passwörter von Gamigo

23.07.2012

Bereits im Februar 2012 wurde die deutsche Online-Spiele-Plattform Gamigo gehackt. Ein Schaden für die Kunden war zuerst nicht bekannt. Erst Anfang Juli kursierte eine 478 MB große Datenbank im Internet, welche nun dem Hack bei Gamigo zugeordnet wurde. Die Datei enthält etwa 11 Millionen Passworthashes und 8 Millionen E-Mail-Adressen, von denen die meisten aus den USA, Deutschland und Frankreich stammen. Der Bezug konnte hergestellt werden, weil sich einige Nutzer extra E-Mail-Adressen für die Registrierung angelegt hatten. Diese enthielten das Wort „gamigo”.

Auch wenn die Passwörter bei der Spiele-Plattform längst geändert wurden könnte die Kombination aus E-Mail und Passwort Kriminellen zum Login auf anderen Internetseiten verhelfen.

Kommentar hinzufügen

Ontario: Wählerlisten verschwunden

17.07.2012

Im kanadischen Bundesstaat Ontario sind zwei USB-Sticks mit Wählerlisten verschwunden. Der oberste Wahlleiter ist allerdings nicht sonderlich beunruhigt. Die Listen waren zwar nicht verschlüsselt, aber auch er hofft darauf, dass sie wegen des proprietären Datenformats für Otto-Normaldieb nutzlos sind. Die Datenschutzbeauftragte von Ontario, Ann Cavoukian äußerte sich fassungslos ob dieser Tatsache.

Auf den Sticks sind für jeden der 2 Millionen Betroffenen Name, Adresse, Geschlecht und Geburtsdatum gespeichert. Außerdem enthält jeder Datensatz ein Merkmal, ob der jeweilige Bürger bei der letzten Wahl gewählt hat oder nicht. Bei einigen Bürgern sind weitere Daten gespeichert. Die Wahlberechtigten in Ontario wurden vor Identitätsdiebstahl gewarnt. Die verantwortlichen Wahlhelfer hat man von ihrer Aufgabe – dem Aktualisieren des Wählerverzeichnisses – freigestellt.

Kommentar hinzufügen

Billabong speichert Passwörter im Klartext

13.07.2012

Billabong stellt Modeartikel für Skater, Surfer und Snowboarder her. Und sie speichern Passwörter im Klartext. Das wissen wir seit eine SQL-Injection über die Webseite des Unternehmens die Logindetails offenbarte. Die im Internet veröffentlichte Liste enthält Passwörter und E-Mail-Adressen von 21.435 Benutzern, die sich nun über Identitätsmissbrauch freuen dürfen.

Kommentar hinzufügen

Passwörter aus NvidiaForum

13.07.2012

Der kalifornische Grafikkartenhersteller Nvidia betreibt für seine Kunden ein Forum mit etwa 400.000 angemeldeten Benutzern. Bei einem Einbruch in das System kopieren unbekannte Cracker deren Logindaten. Nach Angaben von Nvidia sind die Passwörter zwar verschlüsselt, es wird jedoch eindringlich empfohlen gleiche Passwörter bei anderen Anbietern zu ändern.

Plugins wie PwdHash, die aus einem Masterpasswort für jede Internetseite ein anderes Passwort generieren gibt es nahezu für jeden Browser.

Kommentar hinzufügen

Datenpanne enttarnt Steuersünder

12.07.2012

Außnahmsweise war es mal nicht nötig eine sogenannte Steuer-CD anzukaufen: Ungeschicktes Handeln eines Schweizer Bankangestellten versorgte die deutschen Behörden mit den Daten von rund 5000 Personen, die des Steuerbetrugs verdächtigt werden. Der Angestellte der Credit Suisse hatte seinen Arbeitsplatz von der Schweiz nach Frankfurt am Main verlegt. Dabei führte er eine brisante Datei mit den relevanten Daten mit. Die Steuerbehörden mussten so nur noch in der deutschen Finanzmetropole zugreifen um die Adressen der Verdächtigen sicherzustellen.

Kommentar hinzufügen

Über 400.000 Yahoo!-Passwörter veröffentlicht

12.07.2012

Eine Cracker-Gruppe mit dem Namen D33DS Company veröffentlichte 453.491 Klartextpasswörter und die zugehörigen E-Mail-Adressen im Internet. Alle Daten stammen aus dem Yahoo! Contributor Network. Die Kriminellen sollen über eine SQL-Injection an die Daten gelangt sein. In der Auflistung befinden sich nicht nur E-Mail-Adressen von Yahoo!, da die Datenbank bereits älteren Datums ist und einige Accounts durch Zukäufe von Projekten zu Yahoo! kamen.

Kommentar hinzufügen

Android-Fanseite gerackt

12.07.2012

Über eine bereits veröffentlichte Sicherheitslücke drangen Cracker in die Datenbank des Android-Fanforums Phandroid ein. In den rund 1 Mio. Datensätzen sind unter anderem Benutzernamen, E-Mail-Adressen, gehashte Passwörter und die IP-Adresse bei Registrierung des Accounts enthalten. Phandroid vermutet, dass es den Crackern um die E-Mail-Adressen ging, um diese später für Spam zu missbrauchen.

Kommentar hinzufügen

Formspring gecrackt

11.07.2012

Über eine Sicherheitslücke auf einem Entwicklerserver konnten Kriminelle an die Logindaten für einen Datenbankserver von Formspring gelangen. Von dem Datenbankserver konnten die Cracker eine Liste mit Passworthashes kopieren. Formspring ist eine Frage-und-Antwort-Seite mit Sitz in San Francisco.

Die Passwörter sollen mit „Salt” gehasht und deshalb sehr schwer zu knacken sein. Formspring informierte augenblicklich sehr ausführlich über das Datenleck und zwingt alle Nutzer beim nächsten Login ein neues Passwort zu wählen. Von den insgesamt 28 Millionen Nutzern sollen etwa 420.000 unmittelbar von dem Hack betroffen sein.

Kommentar hinzufügen