Alle Datenpannen von July 2011, in denen es um Persönliche Angaben geht
28.07.2011
Unbekannte haben sich Zugriff zu den Servern von Marktkauf geschafft. Dort konnten sie auf die Kundendaten des Onlineshops sowie den Teilnehmern eines Online-Gewinnspieles einsehen. Konto- und Kreditkartzendaten waren nicht betroffen. Der Täter zwang das Unternehmen zur Information der Kunden. Hatraco ist der zuständige IT-Dienstleister von Marktkauf gewesen.
Kommentar hinzufügen
28.07.2011
Im Jahr 2009 hatten einige Landtagsabgeordnete der österreichischen Grünen einer Resolution für Netzsperren zugestimmt. Für diese Entscheidung wollten sich einige Cracker, welche sich nach eigenen Angaben zur Vereinigung AnonAustria zählen, rächen, indem sie in einen Server der Partei einbrachen und Daten kopierten. Darunter waren
- 13.000 Logindaten von Administratoren, Webredakteuren und Benutzern der Webseite – davon wurden 30 Datensätze als Beweis veröffentlicht – und
- über 800 Handynummern, 1000 E-Mail-Adressen und einige Postadressen aus Online-Petitionen.
Die Partei will die betroffenen Benutzer informieren. Die Nutzeranmeldung auf der Webseite wurde zunächst deaktiviert.
Kommentar hinzufügen
25.07.2011
Facebook ermöglicht es seinen Nutzern Videos nur für bestimmte „Freunde“ freizugeben. Dieser Mechanismus funktionierte teilweise nicht, so dass auch andere „Freunde“ auf Vorschaubilder, Kurzbeschreibungen und Tags von Videos Zugriff hatten.
Facebook hat derzeit rund 600.000.000 aktive Mitglieder.
2 Kommentare
22.07.2011
Der Gebühren Info Service (GIS) ist ein Inkassounternehmen, welches im Auftrag des Bundesfinanzministeriums der Republik Österreich und des ORF die Rundfunkgebühren eintreibt. In einen schlecht gesicherten Server der Firma wurde von Crackern, welche sich der Gruppe „Anonymous” zurechnen eingebrochen. Dabei wurde eine Datenbank mit Name, Anschrift und Telefonnummern von mehr als 200.000 Kunden kopiert. Bei rund 100.000 Kunden waren auch die Bankdaten enthalten. Bei den Kunden handelt es sich vermutlich um solche, die für die Zahlung der Gebühren ein Online-Verfahren nutzten. Sämtliche erbeuteten Daten sind unverschlüsselt und waren über eine Sicherheitslücke leicht zugänglich.
Der überwiegende Teil der Daten wurde bislang nicht veröffentlicht. Nur zwei Listen mit insegesamt etwa 120 Kundendaten wurden ins Internet gestellt. Alle davon betroffenen Gebührenzahler sind Mitarbeiter des Bundesinnenministeriums oder der Polizei. Die Listen enthalten Namen, Postanschriften, E-Mailadressen, Bankverbindung, Angaben zur Zahlungsart, Geburtsdatum, Telefonnummer und Kundennummer.
Kommentar hinzufügen
20.07.2011
Beim russischen Anbieter Megafon waren zeitweise 8000 Kurznachrichten online gewesen. Betroffen waren jene, die mittels eines Computers verschickt worden sind. Zu den veröffentlichten Daten gehörte der Nachrichtentext, das Absendedatum und die Empfängernummer. Auffindbar waren die Nachrichten bspw. über die russische Suchmaschine Yandex. Die Unternehmen veranlassen Untersuchungen, wo die genaue Ursache der Panne gelegen hat. Die SMS sind jedenfalls wieder offline.
Für Betroffene sieht das Sicherheitsunternehmen Kaspersky gute Chancen für eine Klage. Es rechnet mit einer 90%igen Gewinnchance für eine Abfindung von 1.500 Euro.
Kommentar hinzufügen
19.07.2011
Der Rewe-Konzern betreibt zwei Tauschbörsen für Tier- und Fußballsammelbilder. In diese Tauschbörse sind unbekannte eingedrungen und konnten ca. 50.000 Datensätze entwenden (die Zahl schwankt zwischen 45.000 und 52.000). Zu den Daten zählen Namen, E-Mailadressen sowie Kennwörter im Klartext. Kreditkartendaten befanden sich nicht auf dem Server.
Laut Aussage von Rewe wurden die betroffenen Kunden informiert und eine spezielle Anrufzentrale eingerichtet.
Nachtrag vom 05.08.2011: Die Daten sollen in mehreren Fällen für Online-Einkäufe mit gefälschter Identität genutzt worden sein. Die Kölner Polizei hat unterdessen einen Verdächtigen ermittelt.
Nachtrag vom 18.08.2011: Der Verdächtige hat sich der Polizei gestellt. Er hatte einige der Daten im Internet veröffentlicht und außerdem eine Anleitung online gestellt, durch die auch andere Kriminelle in den Besitz der Daten kamen und diese für Online-Betrug missbrauchen konnten.
1 Kommentar
16.07.2011
Eine neue Suchfunktion ermöglichte es Mitarbeitern der Rheinbahn auf Personaldokumente ihrer Kollegen zuzugreifen. Die Panne entstand, da die Dokumente bereits vorher falsch auf den Rechnern abgelegt wurden und durch die neue Suchfunktion nun der Zugriff ermöglicht wurde. Es konnten unter anderem Beurteilungen, Zeugnisse, Abmahnungen und einige E-Mail-Korrespondenzen angesehen werden.
Kommentar hinzufügen
15.07.2011
Eher unfreiwillig gibt die „Deutsche Burschenschaft” Einblicke in ihre Arbeit und ihr Positionen. Unbekannte spielten mehr als 3000 Seiten mit Sitzungsprotokollen, internen Dokumenten und Strategiedokumenten der letzten 11 Jahre der Presse zu. Spiegel und Indymedia veröffentlichen einen Teil dieser Unterlagen.
Kommentar hinzufügen
09.07.2011
Unbekannte veröffentlichten auf einer Webseite eine Liste mit Telefonnumern von Mitgliedern der Freiheitlichen Partei Österreichs (FPÖ) und riefen zu Telefonstreichen auf. Die Telefonnummern der Rechtspopulisten stammen entweder von einem gehackten Server, von einem gestohlenen Handy oder direkt von einem Parteimitglied. Die Unbekannten behaupten, dass sie die Telefonnumern von einem Server der FPÖ gestohlen haben. Dem widersprach die Führung der Partei allerdings.
Kommentar hinzufügen
08.07.2011
Eine Gruppe von Crackern hat Daten im Internet veröffentlicht, welche sie von einem Server der Bundeszollverwaltung kopiert hatten. Wie die Bundespolizei bestätigte, handelt es sich dabei um unverschlüsselte Passwörter sowie Software und Protokolldaten für die GPS-Überwachung von Fahrzeugen, welche die Bundespolizei für den Zoll zur Verfügung gestellt hat. Bei den Bewegungsprofilen kann man nur hoffen, dass es sich um einen Feldversuch des Zolls handelt und nicht um die GPS-Daten aus echten Ermittlungsverfahren. Für die Behörde könnte dies äußerst peinlich werden, wenn Rechner mit solchen sensiblen Daten über das Internet erreichbar wären.
Die Cracker sehen ihren Angriff als Protest gegen die Vorratsdatenspeicherung und andere moderne Überwachungstechnologien. – Und in der Tat: Man möchte sich ungern vorstellen, dass es sich um einen Server mit Vorratsdaten (von ihren Verfechtern auch „Mindestdaten“ genannt) handelt.
Nachtrag vom 11.07.2011: Bei den Geodaten handelte es sich einesteils um Testläufe und andernteils um tatsächliche Observationen. Die Bewegungsprofile wurden mittlerweile anschaulich auf einer Karte visualisiert, wobei diese die Bewegungen der einzelnen Observationsziele nicht getrennt darstellt. Außerdem wurden mit diesen Daten die Telefonnummern der GPS-Tracker veröffentlicht. Es handelt sich hier um Wanzen mit SIM-Karte, die ähnlich einem Mobiltelefon funktionieren. Netzpolitik hat einige der Wanzen angerufen und festgestellt dass diese auch nach dem Leck teilweise noch genutzt werden können um die Verdächtigen abzuhören.
Nachtrag vom 09.01.2012: Wie die Hacker in den Server eindringen konnten beschreibt Netzpolitik.org unter dem Titel: Bundespolizei-Beamter überwacht Tochter: Was kann da schiefgehen?
Kommentar hinzufügen
