Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen, in denen es um Kennwörter geht

Facebook-Logins

24.04.2010

Kirllos, nennt sich ein russischer Cracker, der zur Zeit in einschlägigen Foren und darüber hinaus auf sich aufmerksam macht. In Marktschreiermanier werden Facebook-Accounts feil geboten. Schon für sagenhafte 25 US-Dollar sind die Logins zu 1000 Accounts zu haben. Für 20 Dollar Aufschlag gibt es Deluxe-Accounts mit vielen Freunden und hoher Aktivität.

Nach Angaben der US-Sicherheitsfirma VeriSign sollen bereits die Passwörter zu mindestens 700.000 Accounts verkauft worden sein. Im Angebot sind zur Zeit allein von diesem Cracker rund 1,5 Millionen Zugangsdaten für Facebook. Da mit einem Login nicht nur die persönlichen Daten des Opfers, sondern auch die persönlichen Daten von dessen Freunden zu haben sind, sowie das Vertrauen dieser Freunde, verbirgt sich dahinter ein enormes Potential.

Die ORF Futurezone mutmaßt, dass die Daten über Phishing-Angriffe gewonnen wurden. Hier kann in Sozialen Netzwerken der „Freunde”-Faktor ausgenutzt werden. Viele Benutzer vertrauen Links in E-Mails, die scheinbar von ihren „Freunden” kommen.

Kommentar hinzufügen

RUF Community-Plattform offen

19.01.2010

RUF ist ein Veranstalter für Jugendreisen, der auch ein Portal zur Buchung der Reisen und eine Community-Plattform zum Informationsaustausch betreibt.

Wie Netzpolitik.org berichtet, hatte die Plattform — sie wurde inzwischen aus dem Netz genommen — eklatante Sicherheitslücken, weshalb es für Ottonormalhacker problemlos möglich war Profildaten der Jugendlichen einzusehen und zu kopieren. Zugriff bestand unter anderem auf die Adressen der Mitglieder. Auf das Datenleck wurde RUF bereits vor 3 Jahren hingewiesen. Der ehrliche Finder wurde damals aber mit Hilfe von Anwälten eingeschüchtert, so Netzpolitik.org.

Wie Heise Security berichtet, wies auch das Online-Buchungssystem Sicherheitsmängel auf. Durch einfache URL-Manipulation konnten Buchungen anderer Jugendlicher abgerufen werden. So war zum Beispiel sichtbar, wer wann mit wem in welchem Hotelzimmer schlafen wird.

Kommentar hinzufügen

Weiteres Datenleck bei Libri

30.10.2009

Bei Libri können Großkunden einen Online-Shop einrichten, über den sie ihre Bestellungen abwickeln. Etwa 1000 Buchhandlungen nutzen dieses Angebot. Durch eine weitere Sicherheitslücke war es auch für Unberechtigte möglich sich in diese Shops einzuloggen.

Netzpolitik.org hat das Datenleck überprüft und schreibt, dass jeweils Zugriff auf die komplette Bestellhistorie, sowie die Kundenlisten mit E-Mail und Postanschrift der Kunden bestand.

Der Zugriff war möglich, da die Standardpasswörter für die Accounts fortlaufend vergeben und von den Inhabern in aller Regel nicht geändert wurden.

Kommentar hinzufügen

Weitere Plattform leckt Benutzerdaten

19.10.2009

Die Benutzerdaten der Veranstaltungsplattform bsmparty sind vermutlich komplett ausgelesen worden. Dem Blog netzpolitik.org wurde eine Datenbank mit 130.000 Benutzerdatensätzen zugesandt.

Die Daten enthalten eine User-ID, den Nickname, die Mailadresse, das Geburtsdatum, das Geschlecht, und den Wohnort. Außerdem sind auch das Datum des letzten Logins und der MD5-Hash des Passwortes enthalten. Das MD5-Verfahren gilt bereits seit einiger Zeit als unsicher, da sich aus den Hashes insbesondere zu einfachen Passwörtern in sehr kurzer Zeit die Klartexte ermitteln lassen.

Es besteht nicht nur die Gefahr, dass Accounts dieses Portals geknackt werden. Viele Benutzer verwenden den gleichen Nick und das gleiche Passwort auch auf anderen Internetseiten.

Kommentar hinzufügen

Hacker reißt Twitter die Kleider vom Leib

14.07.2009

Ein vermutlich aus Frankreich stammender Hacker hat Passwörter des Microblogging-Dienstes Twitter geknackt. Dabei soll es sich laut Twitter-Gründer, Evan Williams, ausschließlich um Mitarbeiter-Accounts, jedoch nicht um Kunden-Accounts gehandelt haben.

Von einigen Mitarbeitern wurden unter anderem die E-Mailaccounts ausspioniert, wodurch der Eindringling unter anderem Kreditkarten- und PayPal-Daten erlangte.

Interessant ist aber vorallem, dass der Hacker an interne Geschäftsdaten gelangte, welche er mehreren Bloggern anbot. Daraus geht laut Welt-Online hervor, dass die Geschäftsbilanz von Twitter äußerst mager ist:

Nach internen Unterlagen peilte das junge Internet-Unternehmen Anfang 2009 das Erreichen der Marke von einer Milliarde Nutzern in vier Jahren an. […] Twitter verdient aber bisher kein Geld und hatte zuletzt nach rasantem Wachstum nach verschiedenen Schätzungen 20 bis 25 Millionen Nutzer.

Twitter sieht den Angriff als Gewinn, da er nur gegen Mitarbeiter und nicht gegen Kunden gerichtet war. Die Firma könne daraus lernen, sagte Williams.

Kommentar hinzufügen

Trojanisches Pferd bei Aviva

03.06.2009

Bei einer US-Tochter des britischen Versicherungskonzerns Aviva wurden die Daten von rund 550 Versicherten ausgespäht. Dazu zählen Namen, Adressen und Sozialversicherungsnummern. Vermutlich hatte man sich ein trojanisches Pferd eingefangen, welches vermutlich die Passwörter der Mitarbeiter ausspioniert hatte.

Kommentar hinzufügen

Jobbörse Monster wurden Daten gestohlen

25.01.2009

Datendiebe haben erneut Zugriff auf die Datenbank von monster.com erlangt und dabei Zugangsdaten, Namen, E-Mail-Adressen, Telefonnummern sowie demografische Daten gestohlen. Nicht betroffen sind Bewerbungsunterlagen sowie Sozialversicherungsnummern – so die derzeitige Meldung.

Wie die Datendiebe eindringen konnten und wieviele Daten tatsächlich entwendet haben, ist noch nicht bekannt.

Kommentar hinzufügen

Amazon-Kreditkarte? Pech gehabt!

12.12.2008

Wir wissen, was Sie am 13.August 18:45 Uhr gekauft haben. Und nicht nur das. Die Redakteure der Frankfurter Rundschau können sogar behaupten: „Wir kennen auch die PIN dazu.” Zwei Tage vorm dritten Advent ging bei der Tageszeitung ein Paket ein, welches eine Vielzahl von Microfiches enthielt. Absender: anonym. Die Daten stammen vermutlich von der Firma Atos Worldline, die unter anderem die Abrechnungen für die Berliner Landesbank (LBB) macht. Die wiederum ist Deutschlands größte Kreditkartenausgabestelle und vergibt auch Karten für andere Banken und Institutionen wie Amazon oder den ADAC.

Die unverschlüsselten Microfiches enthalten laut Frankfurter Rundschau Unmengen Transaktionsdaten einzelner Kreditkarten aus dem August 2008, sowie die PINs einiger Karten. Zu den Transaktionsdaten gehören nicht nur Kartennummer und Transaktionsziel, sondern auch Name, Adresse und Kontonummer der Kunden. Die LBB beschwichtigt am darauffolgenden Tag:

In der gestohlenen Datensendung sind keine Geheimnummern (PIN) enthalten, die den Zugriff auf Kreditkartenkonten von Kunden ermöglichen.

Ob die Daten noch anderen Personen oder Institutionen angeboten wurden ist nicht bekannt. Der Berliner Datenschutzbeauftragte, Alexander Dix, äußerte sich erbost darüber, wie mit solch sensiblen Daten umgegangen wird. Nun sind Banken bekannt dafür, dass sie wenig Wert auf die Sicherheit ihrer Kunden legen. In diesem Falle könnte der Schaden aber auch für die Banken beträchtlich sein. In diesem Zusammenhang ist es völlig unverständlich, warum immernoch derart veraltete Speichermedien, die keinerlei Vertraulichkeit sicherstellen, verwendet werden. Es bleibt nur zu hoffen, dass Verschlüsselung Einzug hält, bevor eine andere Zeitung sämtliche EC-Transaktionen der vergangenen 10 Jahre veröffentlichen darf.

Eine Woche später stellte sich heraus, dass die Frankfurter Rundschau das Päckchen angeblich nur durch eine Vertauschung bei einem Kurierdienst erhalten hatte.

Anmerkung (Stand 20.03.2009): Gegen die beiden Kuriere wurde nun Anklage erhoben – wegen Diebstahl, Urkundenfälschung und Verstoß gegen das Postgeheimnis.

Kommentar hinzufügen

USB-Stick auf Parkplatz gefunden

03.11.2008

Und wieder einmal verursachten britische Behörden eine Datenpanne: ein USB-Stick enthielt Benutzernamen und Kennwörter für ein Computersystem der Regierung. Über diese Plattform konnten Renten- und Kindergeldanträge sowie Steuererklärungen online erledigt werden. Über das Ausmaß der Panne gehen die Ansichten zwischen Behörde und Presse weit auseinander: die Behörde spricht von einer „Handvoll Leute” und die Kennwörter seien verschlüsselt. Die „Mail on Sunday” berichtet dagegen, daß ein Zugang zu den Daten von zwölf Millionen Menschen möglichen gewesen wäre. Auf jeden Fall hat die Regierung erst einmal reagiert und das System vorrübergehend geschlossen.

Kommentar hinzufügen

Armeeangehörige und -bewerber

10.10.2008

Das britische Verteidigungsministerium hat einen weiteren Datenverlust zu verzeichnen: eine tragbare Festplatte mit persönlichen Daten von ca. 100.000 Armeeangehörigen und weiteren rund 600.000 Armeeanwärtern ist in den Räumen des IT-Dienstleisters EDS verschwunden. Auf dem Datenträger waren Adressen, Passnummern, Geburts- und Führerscheindaten sowie in einigen Fällen auch Telefonnummern und Bankverbindungen.

Kommentar hinzufügen

1 2 3 … 8 9 10 11