Alle Datenpannen, in denen es um Persönliche Angaben geht
24.09.2010
Die Firma ACS:Law ist eine große britische Abmahnkanzlei. Für umgerechnet rund 500 Euro pro Fall versendet sie Glückwunschkarten mit Zahlungsaufforderung an Personen, die illegal urheberrechtlich geschützte Daten aus dem Internet heruntergeladen haben. ACS:Law hat sich besonders auf Erotikfilme spezialisiert.
Als herzliches Dankeschön für deren Tätigkeit, hatten sich zahlreiche Nutzer zusammengeschlossen und gleichzeitig die Internetseite von ACS:Law besucht. Als einige Tage nach diesem DDoS-Angriff ein Backup eingespielt wurde, bekamen die Besucher nicht die Webseite, sondern das Wurzelverzeichnis des Servers zu sehen. Auf dem Server befand sich auch eine Backup-Datei mit rund 1000 E-Mails und diese fanden sich wiederum kurze Zeit später beim Torrent-Seed The Pirate Bay.
Die E-Mails enthalten neben Informationen über die Arbeitspraktiken der Anwaltskanzlei sowie Informationen über deren Mitarbeiter und Klienten auch persönliche Daten von mehreren Tausend Personen, die wegen illegaler Porno-Downloads abgemahnt wurden. Die Zahlen der Betroffenen variieren in den einzelnen Presseberichten. Der Guardian spricht von 8000 Kunden des Anbieters Sky Broadband, 500 BT-Kunden (British Telecom), 400 Plusnet-Kunden und 5000 anderen Bürgern.
Die Listen enthalten neben den Namen und Adressen der Abgemahnten auch deren IP-Adresse, Kreditkartennummer und die Namen der heruntergeladenen Pornofilme. Die Zusammenstellung der Daten eignet sich damit optimal für Identitätsdiebstahl, Kreditkartenbetrug und Erpressung. Der Kanzlei droht nun möglicherweise eine Strafe von 500.000 Pfund durch die Datenschutzbehörde.
Auch den Providern droht möglicherweise eine Strafe, da sie die E-Mails an die Kanzlei nicht verschlüsselt hatten. Sky Broadband, British Telecom, O2 und einige andere Anbieter haben angekündigt, vorerst nicht mehr mit ACS:Law zusammenzuarbeiten.
Kommentar hinzufügen
18.09.2010
Nach den Meldegesetzten ist man verpflichtet, die Wohnsitze bei den Kommunen zu melden. Normalerweise sollte man davon ausgehen, daß solche Daten einzig und allein einen hoheitlichen Charakter haben. Doch in der Regel werden diese Daten weitergeben, z.B. an Telefonbuchverlage. Wer das nicht möchte, hat die Möglichkeit, dem zu widersprechen (das nennt sich Auskunfts- bzw. Übermittlungssperre, sozusagen ein Opt-Out).
Der Gemeindeverwaltung in Eching ist nun das Malheur passiert, Daten von Minderjährigen herauszugeben.
Kommentar hinzufügen
17.09.2010
Das Schöne an Online-Zeitungen ist ja, dass man nur die Artikel anklickt, für welche man sich tatsächlich interessiert, statt jeden Tag einen fetten Packen Papier im Briefkasten zu haben, von dem man am Ende günstigsten Falls ein Drittel liest. Eine nette Idee ist da die individualisierte Tageszeitung niiu. Online wählt man aus, welche Themen welcher Zeitung man lesen möchte und erhält die Zusammenstellung dann jeden Morgen nach Hause.
Die eigene Printausgabe lässt sich auch online als PDF abrufen. Wie sich herausstellte, können durch URL-Manipulation aber auch die Ausgaben anderer Kunden abgerufen werden. Man erfährt dabei Name und Adresse des Abonnenten, sowie natürlich dessen individuelle Zeitungs- und Themenauswahl. Dabei ist laut Leitmedium auch der Zugriff auf alle bisherigen Ausgaben möglich, vermutlich auch auf solche von ehemaligen Kunden. Niiu äußerte aber in einer Stellungnahme gegenüber Golem, dass es sich bei den betroffenen Kunden nur um jene handelt, die die Option E-Paper ausdrücklich aktiviert hätten.
Ein Ärgernis für die Verleger könnte sein, dass auf diese Weise Bezahlartikel großer (internationaler) Zeitungen ohne Paywall zugänglich sind. Insgesamt können etwa 35000 Printausgaben online abgerufen werden.
Kommentar hinzufügen
30.08.2010
Schlecker ist ein weiteres Mal" hoch kommunikativ: über eine öffentliche Internetadresse war es möglich, zu prüfen, ob jemand die Rundschreiben von Schlecker abonniert hat. Wird die Adresse gefunden, wird der hinterlegte Name und die abonnierten Themen aufgelistet.
Kommentar hinzufügen
27.08.2010
Insgesamt sieben Millionen E-Mail-Adressen und 150.000 vollständige Adressdatensätze, das ist die Ausbeute aus einer Sicherheitslücke beim Marketing-Dienstleister Artegic. Es handelt sich dabei um persönliche Daten von Nutzern des Online-Shops der Drogeriekette Schlecker.
Unbekannte sollen auf einen Server der Firma ein Trojanisches Pferd aufgespielt haben. Durch dieses Programm war es dann möglich aus dem Internet auf die Datenbank zuzugreifen und die Datensätze herunterzuladen. Artegic vermutet, das schwarze Schaf deshalb unter seinen Mitarbeitern dass interne oder externe Zugriffsberechtigte das Programm installiert haben oder aber, dass Fremde das Passwort erlangten um das Trojanische Pferd zu installieren.
Schlecker betonte, dass die Sicherheitslücke mittlerweile geschlossen und kein unbefugter Zugriff auf die Daten mehr möglich sei. Bleibt abzuwarten, ob die Drogeriekette die betroffenen Kunden wie angekündigt „umfassend“ informiert.
Update: Schlecker beabsichtigt, die Kunden mit einem Einkaufsgutschein in Höhe von 5 Euro zu entschädigen. Wenn man einem Kommentar im heise-Forum Glauben schenken will, scheint dieser jedoch an einen Mindestbestellwert gekoppelt zu sein.
2 Kommentare
20.08.2010
Im Zuge einer Systemumstellung standen bei der Versicherungsgesellschaft „Alte Leipziger” Daten von ca. 3.600 Versicherungsanträgen online. Zu den Daten zählten u.a. Gedburtsdatum, Nationalität, Familienstand, Angban zu Kindern, Bankverbindungen, Beruf, Fahrzeuge sowie deren eventuelle Vorschäden und der bisherige Versicherer. Die Daten konnten von einem Unterordner des Servers direkt heruntergeladen werden. Die Lücke wurde nach Bekanntwerden geschlossen
Kommentar hinzufügen
04.08.2010
Ein Gebührenbeauftragter des Bayrischen Rundfunks hatte in Regensburg einige seiner Karteikarten verloren. Delikat ist das deshalb, weil auf den Kärtchen sämtliche Details zu den Gebührenzahlern verzeichnet sind: Name, Adresse, Geburtsdatum, Bankverbindung, Kundenstatus (privat oder geschäftlich) und eine eventuelle Befreiung von den Gebühren. Bereits im März hatte es in Hessen einen ähnlichen Vorfall gegeben.
Kommentar hinzufügen
25.07.2010
Hell Pizza ist eine große neuseeländische Fast-Food-Kette. Über die schlecht gesicherte Internetseite des Unternehmens haben Kriminelle, die gesamte Kundendatenbank abgegriffen und diese veröffentlicht. Darin finden sich die Adressen und Telefonnummern von insgesamt etwa 230.000 Neuseeländern. Außerdem enthält die Datenbank E-Mail-Adressen und Passwörter für die Online-Bestellung, sowie sämtliche bereits abgewickelte Bestellungen.
Kommentar hinzufügen
14.07.2010
Pornografie gibt es ja im Netz genug. Manch einer will aber vielleicht nicht nur oberflächlich konsumieren, sondern interessiert sich auch für die Hintergründe. Solche Klienten sind beim US-amerikanischen Pronounternehmen Adam and Eve genau richtig. Auf deren Server waren sämtliche Informationen über die Entstehung der Pornos, ihre Darsteller und Gewinne frei aus dem Internet zugänglich. Der Server war lediglich durch ein vom Hersteller vergebenes Standardpasswort geschützt, welches im Server-Handbuch verzeichnet ist. Wie Gulli berichtet, waren auf den Festplatten private und geschäftliche Daten vermischt:
Verträge, Vorlagen für Pressemitteilungen und Kostenkalkulationen von laufenden und zukünftigen Produktionen sind dort zu finden. So auch diverse Abrechnungen, digitalisierte Quittungen von Hotelaufenthalten, Providerabrechnungen, Strategiepapiere gegen unerlaubte Streaming-Webseiten und vieles mehr. Die Bilder der Geburtstagsbilder [sic] des Sohnes sind auf der Platte des CEOs nur eine Schublade von den Hardcore-Bildern der Models entfernt. Zu finden sind aber auch Excel-Dateien mit Einladungslisten der Big Player der Pornoindustie für Partys inklusive E-Mail-Adresse von Darstellern, Kameraleuten etc. Daneben finden sich Flowcharts, Lizenzverträge, Bilder des Geschäftsführers aus Stretch-Limousinen mit leicht bekleideten Begleiterinnen und vieles mehr.
Kommentar hinzufügen
08.07.2010
Die sogenannte „Content-Industrie“ hätte sich über so einen Coup sichererlich gefreut: Einem Argientinier ist es gelungen 4 Millionen Nutzerdatensätze aus der Datenbank des Bittorentindex und -trackers, The Pirate Bay, zu kopieren. Die Datensätze enthalten den Login-Namen, die IP-Adresse, die E-Mail-Adresse sowie Passwort-Hashes. Außerdem sind zu jedem registrierten Nutzer die hochgeladenen Torrents verzeichnet. Sofern es sich bei den damit verbreiteten Medien um lizenzrechtlich geschütztes Material handelt, dürften die entsprechenden Rechteverwerter großes Interesse an diesen Daten haben.
Kommentar hinzufügen