Alle Datenpannen mit dem Suchbegriff »3«, in denen es um Persönliche Angaben geht
19.10.2009
Die Benutzerdaten der Veranstaltungsplattform bsmparty sind vermutlich komplett ausgelesen worden. Dem Blog netzpolitik.org wurde eine Datenbank mit 130.000 Benutzerdatensätzen zugesandt.
Die Daten enthalten eine User-ID, den Nickname, die Mailadresse, das Geburtsdatum, das Geschlecht, und den Wohnort. Außerdem sind auch das Datum des letzten Logins und der MD5-Hash des Passwortes enthalten. Das MD5-Verfahren gilt bereits seit einiger Zeit als unsicher, da sich aus den Hashes insbesondere zu einfachen Passwörtern in sehr kurzer Zeit die Klartexte ermitteln lassen.
Es besteht nicht nur die Gefahr, dass Accounts dieses Portals geknackt werden. Viele Benutzer verwenden den gleichen Nick und das gleiche Passwort auch auf anderen Internetseiten.
Kommentar hinzufügen
17.10.2009
Wie sich herausstellte sind zuletzt die Zugriffsrechte bei Google Docs ein wenig durcheinander geraten. Google Docs bietet die Möglichkeit Dokumente mit anderen Google-Nutzern zu teilen.
Nach dem letzten Update war es jedoch auch für nicht freigeschaltene Benutzer möglich gewesen Dokumente einzusehen. Da manche diesem Service sehr vertrauen sind auf diese Weise auch Dokumente mit Kontodaten in die Hände Unberechtigter gelangt.
„Der Nutzer verliert vollständig die Kontrolle über seine Daten”, warnte jüngst das Bundesamt für Sicherheit in der Informationstechnik. Die Nutzung von Google-Diensten sei daher „sowohl aus IT-sicherheitstechnischen Gründen als auch aus Sicht des Datenschutzes aktuell nicht zu empfehlen.” (heute.de)
Kommentar hinzufügen
17.10.2009
Der Finanzdienstleister AWD räumte nun noch ein anderes Datenleck ein. Bereits zu einem früheren Zeitpunkt sollen Daten von 1500 Mitarbeitern an die Öffentlichkeit gelangt sein.
Laut Neue Westfälische Zeitung sind die Daten bereits 2003 und 2004 im Internet aufgetaucht. Es handelt sich dabei um eine Liste mit Kontoständen und dem Umsatz einzelner Angestellter von AWD. Enthalten sind unter anderem auch die Personalnummern, Namen, Beginn des Arbeitsverhältnisses, Vergütungsstufe, Darlehen, Vorschüsse und monatliche Einnahmen.
AWD vermutet hinter dieser Veröffentlichung einen Rachefeldzug.
Kommentar hinzufügen
03.06.2009
Bei einer US-Tochter des britischen Versicherungskonzerns Aviva wurden die Daten von rund 550 Versicherten ausgespäht. Dazu zählen Namen, Adressen und Sozialversicherungsnummern. Vermutlich hatte man sich ein trojanisches Pferd eingefangen, welches vermutlich die Passwörter der Mitarbeiter ausspioniert hatte.
Kommentar hinzufügen
30.03.2009
Die Abwrackprämie hatte schon im Januar das Potential, zum Unwort des Jahres erklärt zu werden. Nun überschattet das Ganze auch noch die Folgen einer übereifrigen Umstellung des Beantragungsverfahren. Anstelle von Papierformularen wird die Subventionierung muß nun online getätigt werden. Und diese Umstellung erfolgt nicht reibungsfrei: durch massive Performanceprobleme gibt es ebenso eine Datenpanne.
Dabei erhalten Antragsteller eine E-Mail zur Bestätigung, an der ein PDF-Dokument angehangen ist. Jedoch in mehreren Fällen handelt es sich um die Bestätigung einer anderen Person. Zu den angegeben Daten gehören Wohn- und E-Mailadresse sowie Angaben zum Fahrzeug (Typ, Fahrgestellnummer sowie Typ und Schadstoffklasse des Neuwagens). Betroffen von der Panne sind ca. 200 Antragsteller.
Anzumerken sei noch, daß die Beantragung unverschlüsselt (ohne HTTPS) erfolgt.
Kommentar hinzufügen
28.02.2009
Nachdem Details über die Krankheitsgeschichte einer Prominenten an die Presse gelangt waren, wurde das Leck im Universitätsklinikum Eppendorf (UKE) in Hamburg ausgemacht. Nach der Einführung eines neuen Systems mit elektronischer Krankenakte hatten unnötig viele Mitarbeiter Zugriff auf die Patientendaten. Die TAZ spricht von bis zu 80 Mitarbeitern pro Krankenakte (die Morgenpost sogar von bis zu 5800).
Kommentar hinzufügen
27.02.2009
Ein Universitätsprofessor aus New Hampshire, der an Peer-to-Peer-Netzwerken forscht, hat mehrere zehntausend frei verfügbare Patientenakten gefunden. Ein paar Klicks in einer P2P-Suchmaschine brachten die Daten zum Vorschein. Sie reichen von AIDS- über Krebspatienten bis hin zu Menschen mit psychischen Leiden.
Unter den Torrent-Dateien fand sich auch eine Datenbank mit insgesamt 20.000 Krankenakten, die vornehmlich aus vier größeren Kliniken stammte. Sie enthielt Namen, Sozialversicherungsnummer, Versicherer und Diagnosen.
Die Daten sind noch immer verfügbar und könnten für medizinischen Betrug oder Identitätsdiebstahl missbraucht werden.
Kommentar hinzufügen
16.02.2009
Das NDR-Fernsehen hat auf eine Sicherheitslücke des Verlagshauses Madsack hingewiesen. Auf den Internetseiten waren „unter bestimmten Umständen” (Pressemeldung) Zugriff auf die Kundendaten (einschl. Kontoverbindung) mehrerer Abonnenten möglich. Zu Madsack gehören Zeitungen wie „Neue Presse”, „Hannoverschen Allgemeinen Zeitung”, „Leipziger Volkszeitung” und „Göttinger Tageblatt”. Der Datenschutzbeauftragte aus Schleswig-Holstein Dr. Thilo Weichert stuft das Sicherheitsloch als massiv ein.
Nach Aussage der Zeitung wurde die Lücke bereits wieder geschlossen. Ein Mißbrauch soll nicht festgestellt worden sein.
Kommentar hinzufügen
06.02.2009
In der Oberpfalz ist ein sensibles Datenleck entdeckt worden: beim Bildungsträger Kolping waren sensible Daten von ca. 1700 Erwerbslosen im Internet öffentlich abrufbar und änderbar gewesen. Bei den Datensätzen zählten Name, Status (Bezug von Arbeitslosengeld oder Sozialhilfe), Zielberuf, Identifikationsnummer (neudeutsch: Kundennummer) sowie Anmerkungen.
Der Stern veröffentlichte anonymisiert einige dieser abrufbaren Anmerkungen :
- „psychisch nur mäßig belastbar”
- „Bewerbung von Rechtsschreibfehlern überhäuft”
- „einen sehr ungepflegten Eindruck”
- „Familienproblematik”
- „Herzproblem”
- „chronischen Entzündung der Bauchspeicheldrüse”
Das Arbeitsamt vermittelt lediglich Fortbildungsmaßnahmen, eben wie an diesen Träger „Kolping Berufshilfe” und erwartet von diesen eine Rückmeldung. Laut einer Sprecherin des Arbeitsamtes werden allerdings nicht solche Informationen erwartet, sondern lediglich eine „Erfolgsbeobachtung über die Teilnehmer”.
Die Ursache des Lecks sei ein „hausinternen Programmierfehler” – was immer man darunter verstehen mag. Die Brisanz des Falles erstreckt sich jedoch nicht nur auf die eigentliche technische Panne, sondern auch auf die Praxis der bei Kolping erfaßten Daten.
Kommentar hinzufügen
27.01.2009
Einen Telefonanschluss kann man bei der Telekom praktischerweise auch online anmelden. Dazu füllt man ein HTML-Formular aus und schickt es ab. Danach erhält man einen Downloadlink, von dem man alle Daten als PDF herunterladen kann.
„Alle” Daten ist in diesem Fall nicht übertrieben. Der Link enthielt eine Zahl. Wurde diese verringert, so konnten problemlos die Daten anderer Neukunden, so genannter „Rückkehrer”, abgerufen werden.
Die PDFs enthielten alle von den Neukunden gemachten Angaben, also Name, Adresse, bisheriger Telekommunikationsanbieter, sowie öffentliche und nicht öffentliche Telefonnummern.
Der Konzern mit dem magentafarbenen T wurde vom Magazin Stern auf das Leck aufmerksam gemacht und meldete es sofort dem Bundesdatenschutzbeauftragten. Der Fehler wurde noch am Freitag, den 23.Januar behoben. Bis zu diesem Zeitpunkt waren geschätzte 500 bis 1000 Personen betroffen.
Kommentar hinzufügen