Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen von Dezember 2011

Kreditkartendaten von Militärklamottenkäufern gestohlen

29.12.2011

Bereits im August sollen Mitglieder der Vereinigung LulzSec Kundendaten von einem kalifornischen Online-Bekleidungshändler namens Special Forces Gear gestohlen haben. Diesen Hack machten sie allerdings erst jetzt öffentlich.

Unter den entwendeten Daten befinden sich 7.277 Kreditkartennummern, 40.854 E-Mailadressen und rund 36.000 Zugangsdaten zu den Kundenaccounts. Special Forces Gear betont, dass die Kreditkartendaten verschlüsselt sind. Allerdings behaupten die Cracker auch den geheimen Schlüssel vom Server entwendet zu haben, womit sie in der Lage wären die Daten zu entschlüsseln.

Der Shopbetreiber weiß bereits seit August von dem Einbruch in seine Server. Immerhin wurde der Webshop danach von einem entsprechenden Dienstleister unter Sicherheitsaspekten überarbeitet.

Kommentar hinzufügen

Statistik Nord sichert seine Datenbank nicht richtig

29.12.2011

Wie bei einem Vortrag auf dem 28. Chaos Communication Congress des Chaos Computer Clubs (CCC) bekannt wurde, gab es auf der Internetseite des Statistischen Amtes für Hamburg und Schleswig-Holstein statistik-nord.de eine Sicherheitslücke, durch welche auf interne Daten zugegriffen werden konnte.

Mittels einer SQL-Injection konnte die gesamte, hinter der Webanwendung stehende Datenbank herunter geladen werden. Nach Informationen des CCC sollen sich darunter neben allgemeinen statistischen Daten der Länder Hamburg und Schleswig-Holstein auch Daten aus dem Zensus 2011 befunden haben. Das Bundesamt für Statistik garantiert auf einer Informationsseite zur Volkszählung: „Jede einzelne dieser Informationen von und über Menschen unterliegt – abgeschottet im gesicherten Bereich der amtlichen Statistik – strengsten Datenschutz- und Datensicherheitsbestimmungen.“

Richtigstellung am 06.01.2012: Ein Blick in die Daten hat mittlerweile gezeigt, dass es sich nicht um personenbezogene Daten aus dem Zensus 2011 – wie zuerst vermutet – handelt. Der Datenbankabzug enthält nur allgemeine statistische Kennzahlen zu den Stadtteilen, wie Anzahl der Verkehrsunfälle, Anzahl der Harz-IV-Empfänger und Anzahl der Diebstahlsdelikte. Ein Sprecher des CCC hat im Kontext dieses Vorfalls lediglich die Frage aufgeworfen, wie sicher denn die Zensusdaten seien?

3 Kommentare

Cracker richten beim Versuch Robin Hood zu spielen Schaden an

26.12.2011

Eine Gruppe von Hackern oder Crackern, darüber kann man sich streiten, hat Server der US-amerikanischen Firma Strategic Forecasting (Stratfor) angegriffen und dabei Kreditkartendaten erbeutet. Sie konnten in die Datenbanken des Unternehmens eindringen, da diese schlecht gesichert waren. In einigen Fällen soll als Passwort der Firmenname verwendet worden sein.

Die Angreifer erlangten so Zugriff auf insgesamt 13.147 Kreditkartendatensätze. Diese nutzten sie um Geld auf die Konten von Hilfsorganisationen, wie dem Roten Kreuz und CARE, zu überweisen. So schön das auch klingen mag: Zum Einen könnte jeder betroffen sein, der eine Kreditkarte besitzt – und die ist heute längst kein Hinweis auf Reichtum mehr – zum Anderen könnte auch den Hilfsorganisationen ein Schaden entstehen, wenn sie das Geld aufwändig zurückbuchen müssen.

Die, welche die Daten erbeuteten, gaben sich als Mitglieder des Cracker-Kollektivs Anonymous aus. Das ist aber unklar, da andere Anonymous-Mitglieder dies dementierten.

Kommentar hinzufügen

E-Mailadressenverteiler bei Arminia Bielefeld

24.12.2011

Für eine E-Mail an die Vereinsmitglieder nutzte ein Arminia-Mitarbeiter leider nicht die Blindkopie-Funktion (BCC). Dadurch offenbarte er 1.455 Mailadressen. Der Verein entschuldigte sich in einer weiteren Mail für das Malheur. Die Neue Westfälische zitiert Rena Tangens vom FoeBuD: „Wenn die Adressen bestimmten Leuten zuzuordnen sind, könnten diese jetzt ungebetene Post bekommen oder in Spam-Verteilern eingetragen werden.“

Kommentar hinzufügen

RIFT-Onlinespielerdatenbank gecrackt

23.12.2011

Cracker haben die Server des Spieleentwicklers Trion World Network angegriffen und Daten von Spielern des Onlinespiels entwendet. Zu den kopierten Daten zählen laut Heise Mailadressen, Rechnungsadressen, Geburtsdaten und Teile der Kreditkartendaten. Von den Kreditkartennummern sollen die ersten und die letzten vier Stellen, sowie das Ablaufdatum in der Datenbank enthalten gewesen sein.

Außerdem ist es nötig, dass die Benutzer ihre Passwörter ändern. Die Datenbank enthielt zwar nur die Hashwerte der Passwörter, möglicherweise können dann aber mit Hilfe von Rainbowtables die Passwörter geknackt werden.

Kommentar hinzufügen

E-Mailadressen von Dr.-Oetker-Bewerbern

19.12.2011

Die Dr. August Oetker Nahrungsmittel KG hat wie viele Großunternehmen ein Onlinestellenportal, in dem sich Bewerber anmelden können um ihre Qualifikationen zu präsentieren und sich auf bestimmte Stellen zu bewerben. Um die Nutzer über eine geänderte Datenschutzerklärung zu informieren wurden diese angemailt, nur leider nicht als Blindkopie. Im Empfängerfeld der E-Mail standen etwa 200 Mailadressen, überwiegend mit Klarnamen, bevor der Versand gestoppt werden konnte. Das Unternehmen entschuldigte sich für die Panne.

Die Adressen der Bewerber sind deshalb so sensible Informationen, weil sich viele Menschen auch aus einem bestehenden Arbeitsverhältnis heraus bei einem anderen Arbeitgeber bewerben.

Kommentar hinzufügen

Bundeswehrkarriere für Minderjährige?

14.12.2011

Das Einwohnermeldeamt der Stadt Eutin in Ostholstein hat versehentlich falsche Daten an die Bundeswehr gemeldet. Normalerweise erhält diese die Adressen von 17-jährigen um bei diesen Werbung für eine Karriere bei der Bundeswehr zu machen (bzw. früher um sie zur Musterung vorzuladen). Diesmal wurden allerdings versehentlich auch Daten von jüngeren Kindern übermittelt. Das Rathaus entschuldigte sich für die Datenpanne.

2 Kommentare

Anbieterdaten bei Immobilienscout24

13.12.2011

Cracker hatten sich Zugriff auf die Datenbank des Online-Immobilienanbieters Immobilienscout24 verschafft. Sie erlangten dabei Kenntnis von Namen, Kontaktdaten und internen Registrierungsnummern. Laut Betreiber handelt es sich bei den Kontaktdaten nur um solche, welche auch über das Webportal an den jeweiligen Immobilienangeboten sichtbar sind. Trotzdem rät Immobilienscout24 seinen Kunden dazu, das Passwort zu ändern.

Kommentar hinzufügen

Facebook: Private Bilder öffentlich einsehbar

07.12.2011

Das soziale Netzwerk Facebook erlaubt es hochgeladene Bilder als privat zu markieren. Sie sind dann nur für andere Nutzer sichtbar, wenn diese der eigenen Freundesliste angehören. Soweit jedenfalls die Theorie.

Durch einen Softwarefehler war es möglich private Bilder fremder Nutzer trotzdem zu sehen, auch wenn man nicht in deren Freundesliste war. Dazu bedurfte es eines kleinen Tricks: Der interessierte Nutzer musste ein Bild des „Opfers“ als anstößig melden. Während dieses Vorgangs bekam er die Möglichkeit weitere Bilder des „Opfers“ als anstößig auszuwählen – auch private Bilder.

Die Lücke in der Software wurde inzwischen geschlossen. Besonderes Interesse in den Medien hatte sie vermutlich dadurch geweckt, dass auf diese Weise auch private Bilder des Facebook-Gründers Mark Zuckerberg sichtbar waren.

Kommentar hinzufügen