Alle Datenpannen aus Deutschland
11.02.2009
Die Zeitung „Computer Bild” hat ein Datenleck publiziert – und zwar lag die Bewerberdatenbank der sechsten Staffel zu „Deutschland sucht den Superstar” offen zugänglich im Netz. Ursache hierfür sei eine SQL-Injektion gewesen. Nach Hinweisen der Zeitung wurde die Lücke verschlossen.
Leider gibt es zu dieser Panne keine weiter Berichterstattung, so daß diese Meldung mit Vorsicht zu genießen ist.
Kommentar hinzufügen
08.02.2009
Am Sonntag wurde einer Düsseldorfer Lokalzeitung ein USB-Stick zugespielt. Der enthielt Namen, Adressen und Befunde von 1064 Patientinnen, die sich einer Brustoperation unterzogen hatten.
Der Sohn des Finders hatte den USB-Stick angeblich in einem Elektronik-Fachmarkt erworben. Beim Versuch Musikdateien auf den Stick aufzuspielen sei dieser ungewöhnlich schnell voll gewesen. Der betroffene Arzt und sein Mitarbeiter, sowie der Betreiber des Ladens gaben an sich den Vorfall nicht erklären zu können. Mittlerweile ermittelt die Staatsanwaltschaft.
1 Kommentar
06.02.2009
In der Oberpfalz ist ein sensibles Datenleck entdeckt worden: beim Bildungsträger Kolping waren sensible Daten von ca. 1700 Erwerbslosen im Internet öffentlich abrufbar und änderbar gewesen. Bei den Datensätzen zählten Name, Status (Bezug von Arbeitslosengeld oder Sozialhilfe), Zielberuf, Identifikationsnummer (neudeutsch: Kundennummer) sowie Anmerkungen.
Der Stern veröffentlichte anonymisiert einige dieser abrufbaren Anmerkungen :
- „psychisch nur mäßig belastbar”
- „Bewerbung von Rechtsschreibfehlern überhäuft”
- „einen sehr ungepflegten Eindruck”
- „Familienproblematik”
- „Herzproblem”
- „chronischen Entzündung der Bauchspeicheldrüse”
Das Arbeitsamt vermittelt lediglich Fortbildungsmaßnahmen, eben wie an diesen Träger „Kolping Berufshilfe” und erwartet von diesen eine Rückmeldung. Laut einer Sprecherin des Arbeitsamtes werden allerdings nicht solche Informationen erwartet, sondern lediglich eine „Erfolgsbeobachtung über die Teilnehmer”.
Die Ursache des Lecks sei ein „hausinternen Programmierfehler” – was immer man darunter verstehen mag. Die Brisanz des Falles erstreckt sich jedoch nicht nur auf die eigentliche technische Panne, sondern auch auf die Praxis der bei Kolping erfaßten Daten.
Kommentar hinzufügen
02.02.2009
Wer Kunde beim Internetanbieter 1&1 ist, konnte in den vergangenen Tagen nicht nur den eigenen Einzelverbindungsnachweis ansehen, sondern auch denen anderer Kunden. Möglich wurde dies über eine Manipulation der URL. Entdeckt wurde diese Lücke durch einen Nutzer von tecChannel bereits am 2.2.2009, der Anbieter sperrte zwischenzeitlich den Einzelverbindungsnachweis und hat am 5.2. die Lücke beseitigt. Nach Aussagen des Anbieters wurde diese Lücke jedoch nicht mißbräuchlich genutzt.
Kommentar hinzufügen
27.01.2009
Einen Telefonanschluss kann man bei der Telekom praktischerweise auch online anmelden. Dazu füllt man ein HTML-Formular aus und schickt es ab. Danach erhält man einen Downloadlink, von dem man alle Daten als PDF herunterladen kann.
„Alle” Daten ist in diesem Fall nicht übertrieben. Der Link enthielt eine Zahl. Wurde diese verringert, so konnten problemlos die Daten anderer Neukunden, so genannter „Rückkehrer”, abgerufen werden.
Die PDFs enthielten alle von den Neukunden gemachten Angaben, also Name, Adresse, bisheriger Telekommunikationsanbieter, sowie öffentliche und nicht öffentliche Telefonnummern.
Der Konzern mit dem magentafarbenen T wurde vom Magazin Stern auf das Leck aufmerksam gemacht und meldete es sofort dem Bundesdatenschutzbeauftragten. Der Fehler wurde noch am Freitag, den 23.Januar behoben. Bis zu diesem Zeitpunkt waren geschätzte 500 bis 1000 Personen betroffen.
Kommentar hinzufügen
23.01.2009
geldkarte.de ist eine Plattform der Kreditwirtschaft, auf der die Vorzüge der sogenannten „Geldkarte” Interessenten näher gebracht werden soll. Die Empfängerliste des dortigen Newsletters war eine gewisse Zeit öffentlich zugänglich gewesen – so öffentlich, daß selbst Suchmaschinen diese bereits indiziert hatten. Suchte man beispielsweise nach einem bestimmten Namen, der in dieser Liste enthalten war, wäre man unfreiwillig an diese Empfängerliste geraten.
Zudem waren einige Informationen über das Content-Management-System abrufbar gewesen, u.a. die Liste der Benutzernamen.
Laut Aussage eines Sprechers der Geldkartensysteme habe es sich hierbei allerdings nicht um einen Produktivsystem gehabdelt, sondern war nur ein Archivserver. Die Lücke wurde zudem geschlossen.
Zur Panne gibt es ein kleines Dokumentationsvideo
Kommentar hinzufügen
20.12.2008
Die Polizei rückte mit einem Großaufgebot an. Sicherungswagen blockierten die Autobahn. Dann suchten Bereitschaftspolizisten im Schein ihrer Taschenlampen die Fahrspuren und die Seitenstreifen nach den Belegen ab. Teilweise mussten die Einsatzkräfte in den steilen, von Dornengestrüpp durchsetzten Hang neben der Autobahn klettern. „Es ging um Datenschutz”, sagt ein Beamter.
Im ersten Moment dachte ich an einen falsch datierten Aprilscherz, als ich diese Meldung in der Welt las. Ein DHL-Fahrer hatte mehrere Kisten seiner Ladung auf der Autobahn verloren. In den Kisten befanden sich Kassenbelege von Karstadt, welche von einem Warenhaus in die Zentrale transportiert werden sollten. Auf den verstreuten Quittungen waren Namen und Kreditkartendaten von Karstadt-Kunden vermerkt.
Kommentar hinzufügen
18.12.2008
Eine Mitarbeiterin der WestLB hat versehentlich Adressen von Geschäftskunden an einen Unbeteiligten geschickt. Eigentlich sollte die Datei an ihre eigene E-Mailadresse gehen, weil sie zu Hause weiterarbeiten wollte. Laut WestLB waren allerdings keine brisanten Daten wie Kontonummern betroffen.
Bemerkenswert ist allerdings, dass die Süddeutsche Zeitung schrieb:
In Gegenwart eines Datenschützers wurde die Datei bei dem versehentlich angeschriebenen Empfänger inzwischen gelöscht.
Beunruhigend ist, dass dieser Satz wahrscheinlich beruhigen sollte. Die Menschen müssen endlich begreifen, dass das Löschen digitaler Daten nicht mit dem Verbrennen eines Stück Papier vergleichbar ist.
Kommentar hinzufügen
12.12.2008
Wir wissen, was Sie am 13.August 18:45 Uhr gekauft haben. Und nicht nur das. Die Redakteure der Frankfurter Rundschau können sogar behaupten: „Wir kennen auch die PIN dazu.” Zwei Tage vorm dritten Advent ging bei der Tageszeitung ein Paket ein, welches eine Vielzahl von Microfiches enthielt. Absender: anonym. Die Daten stammen vermutlich von der Firma Atos Worldline, die unter anderem die Abrechnungen für die Berliner Landesbank (LBB) macht. Die wiederum ist Deutschlands größte Kreditkartenausgabestelle und vergibt auch Karten für andere Banken und Institutionen wie Amazon oder den ADAC.
Die unverschlüsselten Microfiches enthalten laut Frankfurter Rundschau Unmengen Transaktionsdaten einzelner Kreditkarten aus dem August 2008, sowie die PINs einiger Karten. Zu den Transaktionsdaten gehören nicht nur Kartennummer und Transaktionsziel, sondern auch Name, Adresse und Kontonummer der Kunden. Die LBB beschwichtigt am darauffolgenden Tag:
In der gestohlenen Datensendung sind keine Geheimnummern (PIN) enthalten, die den Zugriff auf Kreditkartenkonten von Kunden ermöglichen.
Ob die Daten noch anderen Personen oder Institutionen angeboten wurden ist nicht bekannt. Der Berliner Datenschutzbeauftragte, Alexander Dix, äußerte sich erbost darüber, wie mit solch sensiblen Daten umgegangen wird. Nun sind Banken bekannt dafür, dass sie wenig Wert auf die Sicherheit ihrer Kunden legen. In diesem Falle könnte der Schaden aber auch für die Banken beträchtlich sein. In diesem Zusammenhang ist es völlig unverständlich, warum immernoch derart veraltete Speichermedien, die keinerlei Vertraulichkeit sicherstellen, verwendet werden. Es bleibt nur zu hoffen, dass Verschlüsselung Einzug hält, bevor eine andere Zeitung sämtliche EC-Transaktionen der vergangenen 10 Jahre veröffentlichen darf.
Eine Woche später stellte sich heraus, dass die Frankfurter Rundschau das Päckchen angeblich nur durch eine Vertauschung bei einem Kurierdienst erhalten hatte.
Anmerkung (Stand 20.03.2009): Gegen die beiden Kuriere wurde nun Anklage erhoben – wegen Diebstahl, Urkundenfälschung und Verstoß gegen das Postgeheimnis.
Kommentar hinzufügen
06.12.2008
Nach Recherchen der Wirtschaftswoche sind auf dem Schwarzmarkt Bankdaten von etwa 21 Millionen Deutschen im Umlauf. Dem Magazin wurde diese Datenbank für 12 Millionen Euro angeboten. Die Datensätze enthalten Angaben zur Person, Kontonummer, Bankleitzahl und teils sogar Angaben zum Vermögen. Nun ermittelt die Staatsanwaltschaft.
Erste Hinweise deuten darauf hin, dass die Daten aus Callcentern stammen, die im Auftrag großer Unternehmen arbeiten. Diese geben ihre Kundendaten dann an die Callcenter weiter, welche teilweise wieder andere Firmen beauftragen. Dort verlieren sich dann sowohl die Spuren, als auch die Kontrolle über die Kundendaten.
Kommentar hinzufügen