Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen von October 2009, in denen es um Persönliche Angaben geht

Weiteres Datenleck bei Libri

30.10.2009

Bei Libri können Großkunden einen Online-Shop einrichten, über den sie ihre Bestellungen abwickeln. Etwa 1000 Buchhandlungen nutzen dieses Angebot. Durch eine weitere Sicherheitslücke war es auch für Unberechtigte möglich sich in diese Shops einzuloggen.

Netzpolitik.org hat das Datenleck überprüft und schreibt, dass jeweils Zugriff auf die komplette Bestellhistorie, sowie die Kundenlisten mit E-Mail und Postanschrift der Kunden bestand.

Der Zugriff war möglich, da die Standardpasswörter für die Accounts fortlaufend vergeben und von den Inhabern in aller Regel nicht geändert wurden.

Kommentar hinzufügen

Bankdaten von britischen Landwirten verloren

29.10.2009

Bei einer Unterbehörde des britischen Umwelministeriums sind 39 Backup-Bänder mit sensiblen Daten verschwunden. Bis auf zwei sollen diese mittlerweile wieder aufgetaucht sein.

Die Behörde, Rural Payment Agency, ist für die Auszahlung von EU-Subventionen an die britischen Landwirte zuständig. Die Bänder enthielten Bankdaten, Adressen, Passwörter und sogenannte „Security Questions” zum Widerherstellen der Passwörter von mehr als 100.000 Bauern.

Die Umweltbehörde behauptet, dass die Backups bei einem Transfer zwischen IBM und Accenture, welche im Auftrag der Behörde arbeiten, bereits im Frühjahr abhanden gekommen seien.

Kommentar hinzufügen

Libri: Und was lesen Ihre Mitarbeiter?

29.10.2009

Bis gestern waren beim Buchversandhändler Libri etwa 500.000 Rechnungen abrufbar. Diese konnten als PDF-Dateien über eine Schleife abgerufen werden, indem einfach ein Parameter des Links variiert wurde.

Wie man sich leicht vorstellen kann enthalten Rechnungen über gekaufte Bücher sensible Daten. Da alle Rechnungen mit Name und Adresse versehen sind, können diese auch gut zugeordnet werden.

Wer unter Depressionen oder AIDS leidet, kauft sich vielleicht ein Buch darüber und möchte nicht, dass die Krankheit dem Arbeitgeber oder dem persönlichen Umfeld bekannt wird. Das gleiche gilt für Bücher über Sex-Praktiken. Wenn man von so etwas erfährt, kann man Menschen unter Druck setzen und erpressen. (Netzpolitik)

Brisant ist diese Datenpanne auch dadurch, dass Libri mit einem Datensicherheits-Label des TÜV-Süddeutschland wirbt.

Kommentar hinzufügen

VZnet: „Private“ Daten aus SchülerVZ ausgelesen

28.10.2009

Offensichtlich gab es im SchülerVZ einige Sicherheitsprobleme, die mehrfach zum Abgreifen größerer Datenmengen geführt haben. Markus Beckedahl von netzpolitik.org wurde nun erneut eine Datenbank zugespielt. Sie enthält Namen und Geburtsdaten von 118.000 Berliner Schülern. Die Datenfelder Name und Geburtsdatum wurden nur exemplarisch gewählt, um zu zeigen, dass der Angriff auch als „privat“ eingestellte Daten enthüllt. Theoretisch hätten auch Datenfelder wie Schule, Wohnort, Beziehungsstatus, politische Einstellung, Geschlecht oder das Foto ausgelesen werden können, obwohl VZnet weiter behauptet, es wäre nicht möglich private (nur für Freunde sichtbare) Daten auszulesen.

Das Crawling erfolgte über die Suche des Netzwerks. Hier können verschiedene Profildaten eingegeben werden. Als Suchergebnis werden auch Profile von Nutzern angezeigt, welche die jeweiligen Daten auf „privat“ eingestellt haben. Die Datensätze wurden zur Beweissicherung dem Bundesverband der Verbraucherzentralen (vzbv) und dem Berliner Datenschutzbeauftragten, Alexander Dix, übergeben. Dix sprach im Zusammenhang mit dieser Datenpanne von einer „völlig neuen Qualität“. Da alle drei Plattformen der VZnet-Gruppe auf dem selben System basieren ist zu befürchten, dass „private” Daten auch schon bei MeinVZ und StudiVZ ausgelesen wurden.

Der Cracker, der die Daten ausgelesen hatte, betonte indes, dass er diese nicht für kriminelle Zwecke nutzen oder veröffentlichen möchte, es gehe ihm lediglich darum auf die bestehenden Sicherheitslücken aufmerksam zu machen. Bereits vor zwei Wochen waren mehrere Datenbanken mit persönlichen Daten aus den drei VZs aufgetaucht.

Kommentar hinzufügen

Lebensläufe beim britischen Guardian

27.10.2009

Kriminelle konnten in die Online-Stellenbörse der britischen Tageszeitung „The Guardian” eindringen und hatten somit potentiellen Zugriff ca. eine halbe Million Datensätze von Bewerbern gehabt, inklusive Lebensläufe. Die betroffenen Anwender wurden per E-Mail informiert. Die amerikanische Seite des Guardians ist allerdings nicht betroffen.

Die Lücke soll bereits geschlossen werden, allerdings schweigt die Zeitung, wie die Eindringlinge in das System eingedrungen worden sind.

Kommentar hinzufügen

Offener Server bei Lidl-Ableger in Irland

24.10.2009

Beim irischen Ableger der Discountkette Lidl war zeitweise ein Server von außen zugänglich. Unbekannte hatten sich von dort offensichtlich große Mengen brisanter Daten beschafft und diese dann einem ehmaligen Lidl-Mitarbeiter zugespielt.

Der Ex-Mitarbeiter, ein Deutscher der für das Irlandgeschäft zuständig war, berichtet von einer Festplatte mit mehr als 200.000 Dokumenten. Darunter Umsatzzahlen, Einkaufsplanungen, Schriftverkehr zwischen dem Unternehmen und Ärzten der Mitarbeiter, Krankmeldungen, Diagnosen und Abmahnungen von Beschäftigten.

Wie die Rheinische Post berichtet soll Lidl zunächst kein Interesse an dem Fall gehabt haben. Plötzlich droht der Konzern jetzt aber mit rechtlichen Schritten gegen den ehemaligen Mitarbeiter.

Kommentar hinzufügen

Zurich: Backupdatenträger verlorengegangen

22.10.2009

Dem schweizer Versicherungsdienstleister Zurich Financial Services ist in einer südafrikanischen Niederlassung ein Backupband abhanden gekommen. Der unverschlüsselte Datenträger enthält die Kundendaten von mehr als einer Million Südafrikaner. Außerdem sollen 51.000 Briten und 40.000 Botswaner betroffen sein.

Enthalten sind die Versicherungspolicen für Schadensversicherungen. Daten von Lebensversicherungen waren nicht betroffen.

Der Zurich-Konzern hat ein externes Unternehmen mit der Untersuchung des Vorfalls beauftragt.

Update: Im August 2010 musste die britische Zurich-Tochterfirma dafür eine Strafe von 2,75 Mio. Euro an die Finanzaufsicht zahlen.

Kommentar hinzufügen

VZnet: „Private“ Fotos auch ohne Berechtigung ansehen

19.10.2009

Die Pannenserie bei den VZnet-Netzwerken setzt sich fort. Spreeblick schreibt, dass es über die mobile Version von StudiVZ möglich ist auch Fotos einzusehen, für die man keine Berechtigung hat. Das heißt jeder Nutzer kann über sein Smartphone Fotos einsehen, die ein anderer Benutzer in seinem „privaten“ Bereich hat.

Kommentar hinzufügen

Weitere Plattform leckt Benutzerdaten

19.10.2009

Die Benutzerdaten der Veranstaltungsplattform bsmparty sind vermutlich komplett ausgelesen worden. Dem Blog netzpolitik.org wurde eine Datenbank mit 130.000 Benutzerdatensätzen zugesandt.

Die Daten enthalten eine User-ID, den Nickname, die Mailadresse, das Geburtsdatum, das Geschlecht, und den Wohnort. Außerdem sind auch das Datum des letzten Logins und der MD5-Hash des Passwortes enthalten. Das MD5-Verfahren gilt bereits seit einiger Zeit als unsicher, da sich aus den Hashes insbesondere zu einfachen Passwörtern in sehr kurzer Zeit die Klartexte ermitteln lassen.

Es besteht nicht nur die Gefahr, dass Accounts dieses Portals geknackt werden. Viele Benutzer verwenden den gleichen Nick und das gleiche Passwort auch auf anderen Internetseiten.

Kommentar hinzufügen

VZnet: Nutzerprofile auf allen drei Netzwerken ausgelesen

17.10.2009

Ein Cracker hat aus den sozialen Netzwerken der VZnet-Gruppe StudiVZ, MeinVZ und SchülerVZ automatisiert Profildaten ausgelesen. Es hatte in den vergangenen Tagen bereits einen ähnlichen Fall gegeben. Ein Bot ist innerhalb der drei Communities von Freund zu Freund gesprungen und hat auf diese Weise die Profile abgegrast. In der so erzeugten Datenbank wurden unter anderem Wohnort, Geburtsdatum, Beziehungsstatus, Hobbys, Lieblingsmusik und Lieblingsfilm gespeichert.

Es kann als sicher angenommen werden, dass 48.000 Profile kopiert wurden. Vermutlich waren es aber deutlich mehr.

Kommentar hinzufügen

1 2