Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen von December 2010

Kleine Passwort-Panne bei addons.mozilla.org

27.12.2010

Die Mozilla Foundation, ein Zusammenschluss der Entwickler der bekannten Programme Firefox und Thunderbird, betreibt für eben diese eine Plugin-Datenbank:
http://addons.mozilla.org

Um diese Addon-Datenbank schart sich eine vielzahl von Entwicklern, die an diesen Addons programmieren. Durch ein Versehen hat Mozilla eine Datenbank mit Account-Daten inaktiver Entwickler veröffentlicht. Enthalten waren nur die MD5-Prüfsummen der Passwörter zu den Accounts. Interessant wird das Leck eigentlich nur dadurch, dass der MD5-Algorithmus mittlerweile als gebrochen gilt.

(Siehe dazu auch: Wikipedia – MD5)

Kommentar hinzufügen

Gekauft oder gestohlen?

15.12.2010

Es gibt selten Datenlecks, bei denen die Beteiligten zwei völlig verschiedene Varianten erzählen – aber wie man das Blatt auch dreht und wendet: es ist ein Datenleck. Und so eine skuriele Geschichte hat sich in der Stadtverwaltung des schleswig-holsteinischen Glücksburg ergeben.

Vertrauliche Unterlagen der 6000-Einwohner-Stadt waren in die Hände eines IT-Fachmanns gekommen. Auf den insgesamt 15 Festplatten waren unverschlüsselte Schriftstücke zu Steuerbescheiden, Dienstaufsichtsbeschwerden, Sitzungsprotokollen von nicht öffentlichen Ausschusssitzungen sowie interner E-Mail-Verkehr.

Nach Aussage des IT-Fachmanns wurden ihm Festplatten verkauft, laut Aussage der Stadtverwaltung soll dieser die Festplatten gestohlen haben. Beide Varianten werfen jedoch einen gewissen Schatten. Ob nun die Stadt sorglos Festplatten verkauft oder Außenstehende ohne größere Probleme diese entwenden können, spielt in dem Desaster eine untergeordnete Rolle.

Kommentar hinzufügen

Eventagentur publiziert Mailadressen aller Kunden

14.12.2010

Eine Eventagentur im Rhein-Main-Gebiet verschickte ein Rundschreiben an ihre Kunden – und offenbarte anscheinend jedem Kunden den gesamten Empfängerkreis. Beim Versand wurden die Empfänger direkt und nicht als Blindkopie (bzw. alle einzeln) angeschrieben.

Nach Rücksprache mit dem Verursacher sah er den Fehler ein und gelobte Besserung.

[Anmerkung: Wir sehen bei kleineren Firmen davon ab, diese zu benennen.]

Kommentar hinzufügen

New Yorker Blog wird eine Menge Passwörter los

13.12.2010

Das kommerzielle New Yorker Blog „Gawker“ und einige damit verbundene Internetseiten erlebten einen größeren ungewollten Sicherheitsaudit. Nach einem Hacker-Angriff gibt es ein 500MB großes Torrent unter anderem mit Passwörtern und Mailadressen von 273.789 Autoren und Kommentatoren zum Download.

Kommentar hinzufügen

Big Hack bei McDonalds

13.12.2010

Ähnlich wie viele andere Kunden sammelt auch McDonalds Kontaktdaten vom Stammgäste, um sie mit Rundschreiben oder Verlosungskationen zu beglücken. Solche Leistungen werden in der Regel an einen Werbepartner, in dem Fall die Arc Worldwide ausgelagert. Nun gelang es Unbekannten, sich Zugriff auf dieser Kundendatenbank zu beschaffen. Betroffen sind dabei lediglich Daten zur Kontaktaufnahme, also Adressen und Telefonnummern, jedoch keine finanziell relevanten Daten.

Unklar ist derzeit, wieviele Nutzer betroffen sind und ob sich das Leck ausschließlich auf die USA beschränkt.

Kommentar hinzufügen

Wenn geheime Informanten nicht mehr geheim sind...

11.12.2010

Im US-Bundesstaat Colorado ist die Datenbank eines Sheriffs versehentlich mehrere Monate öffentlich zugängig gewesen. In dieser Datenbank waren die Daten von ungefähr 200.000 Personen enthalten. Besonders brisant sind Angaben zu Identitäten von geheimen Informanten aus dem Drogenmilieu sowie Adressen und Telefonnummern von Zeugen, Geschädigten und Tatverdächtigen. Offen war der Zugang seit April 2010.

Das Datenleck ist aufgefallen, als einige Betroffene bei der Suche nach ihrem Namen auf Einträge in dieser Datenbank gestoßen sind. Am 24.11.2010 wurde die Lücke geschlossen. Das FBI untersucht derzeit, ob, durch die Lücke, Personen in Gefahr gebracht worden sind.

Kommentar hinzufügen

Nutzerdaten von Internetseiten der Stadt Magdeburg

09.12.2010

Über eine einfache Adressmanipulation auf der Internetseite der Stadt Magdeburg war es möglich auf interne Daten des kommunalen IT-Dienstleisters „KID Magdeburg“ zuzugreifen. Von Seiten des Dienstleisters wird betont, dass nur anderweitig öffentlich zugängliche Daten einsehbar gewesen sein sollen. Die Entdecker der Sicherheitslücke sprechen allerdings davon, dass auch eine Liste mit nicht anonymisierten IP-Adressen der Nutzer der Internetseiten einsehbar gewesen sein soll. Zu den von KID betreuten Internetseiten gehören nicht nur solche der Stadt, sondern auch von Vereinen und einigen Firmen.

Kommentar hinzufügen

NASA verkauft Rechner für Raumfahrtinteressierte

08.12.2010

Seit über 40 Jahren gibt es in der US-amerikanischen Raumfahrtbehörde NASA eine eigene Abteilung, die damit befasst ist Misstände aufzukären. In einem Report stellte sie nun fest, dass beim Verkauf ausgedienter Computer möglicherweise nicht alle Festplatten gelöscht wurden. Darauf befanden sich Daten aus dem Space-Shuttle-Programm. Außerdem waren Container, mit alten nicht sicher gelöschten Festplatten, in öffentlich zugänglichen Bereichen aufgestellt worden.

Falls jemand also auf seiner neu ersteigerten Festplatte einen Space-Shuttle-Bauplan findet, wünschen wir viel Spaß beim Nachbauen!

Kommentar hinzufügen