Alle Datenpannen, in denen es um Persönliche Angaben geht
04.05.2010
Es ist ja auch schon eine gefühlte Ewigkeit her, dass sich das Schülerverzeichnis mit Datenpannen schmückte.
Netzpolitik veröffentlichte jetzt eine wissenschaftliche Untersuchung (Paper), die belegt, dass noch immer problemlos Millionen von Schülerdaten gecrawlt und in eine externe Datenbank überführt werden können.
Im konkreten Fall wurde in wenigen Tagen eine Datenbank mit 1,6 Millionen Datensätzen angelegt (rund 30% aller Nutzerprofile). Alle Datensätze enthalten mindestens Name, Schule und Link zum Bild. Je nach Privatsphäreneinstellungen der Schüler sind aber in der Regel weitere Daten verfügbar.
Interessant ist bei diesem Fall auch, dass VZNet nicht auf die Hinweise des Studenten reagiert hat, welcher den Crawler programmierte. Da alle drei VZNet-Netzwerke auf der gleichen Technologie basieren ist der Angriff auch auf MeinVZ und StudiVZ übertragbar.
Die Frage, ob es sich dabei allerdings um eine Datenpanne im eigentlichen Sinne handelt bleibt noch zu klären. Der Nutzer kann eigentlich nicht erwarten, dass personenbezogene Daten, welche er online stellt, nicht kopiert werden. Hier besteht eher ein Aufklärungsproblem – Stichwort: Medienkompetenz. Kann der Nutzer aber erwarten, dass diese Daten nur bestimmten Personen zugänglich sind?
Kommentar hinzufügen
29.04.2010
Wieder hat ein Bürger ein Visitenblatt des Kasseler Klinikums gefunden. Bereits vier Wochen zuvor hatte ein solches Papier mit Patientennamen, Geburtsdaten und Diagnosen den Weg aus dem Krankenhaus auf die Straße geschafft. Der betreffende Mitarbeiter war diesmal auf Grund handschriftlicher Notizen auffindbar. Geschäftsleitung und Mitarbeiter haben sich laut Frankfurter Rundschau „einvernehmlich getrennt.”
Normalerweise werden Visitenblätter nach dem Schichtwechsel im Schredder entsorgt.
Kommentar hinzufügen
27.04.2010
Der Vollständigkeit halber: Ein Unbekannter hatte, vor einem Lokal in Münster, eine Akte mit Unterlagen zum Sozialhilfeantrag einer Einwohnerin gefunden und diese dem WDR zugespielt. Der Stadtverwaltung zufolge, hätte diese Akte eigentlich, gemeinsam mit vielen anderen Akten aus einem angemieteten Archiv-Gebäude, vernichtet werden sollen. Die Unterlagen waren bereits mehr als fünf Jahre alt.
Kommentar hinzufügen
24.04.2010
Kirllos, nennt sich ein russischer Cracker, der zur Zeit in einschlägigen Foren und darüber hinaus auf sich aufmerksam macht. In Marktschreiermanier werden Facebook-Accounts feil geboten. Schon für sagenhafte 25 US-Dollar sind die Logins zu 1000 Accounts zu haben. Für 20 Dollar Aufschlag gibt es Deluxe-Accounts mit vielen Freunden und hoher Aktivität.
Nach Angaben der US-Sicherheitsfirma VeriSign sollen bereits die Passwörter zu mindestens 700.000 Accounts verkauft worden sein. Im Angebot sind zur Zeit allein von diesem Cracker rund 1,5 Millionen Zugangsdaten für Facebook. Da mit einem Login nicht nur die persönlichen Daten des Opfers, sondern auch die persönlichen Daten von dessen Freunden zu haben sind, sowie das Vertrauen dieser Freunde, verbirgt sich dahinter ein enormes Potential.
Die ORF Futurezone mutmaßt, dass die Daten über Phishing-Angriffe gewonnen wurden. Hier kann in Sozialen Netzwerken der „Freunde”-Faktor ausgenutzt werden. Viele Benutzer vertrauen Links in E-Mails, die scheinbar von ihren „Freunden” kommen.
Kommentar hinzufügen
31.03.2010
Wie jede große Online-Plattform speist auch Facebook regelmäßig in den Nachtstunden neuen Code in sein System ein. Diesmal gab es dabei allerdings Probleme, die dazu führten, dass auch E-Mail-Adressen von Nutzern angezeigt wurden, die dies eigentlich verbieten.
Facebook ist derzeit auch wegen zu lascher Datenschutzbestimmungen im Gerede.
Kommentar hinzufügen
30.03.2010
Übersichtsblätter für Arztvisitten und Schichtübergaben sind in einem Krankenhaus nichts ungewöhnliches. Sie enthalten Informationen über die Patienten, wie Name, Geburtsdatum, Diagnose und natürlich die Zimmernummer. Ungewöhnlich ist aber, wenn solche vertraulichen Unterlagen von Passanten auf der Straße aufgelesen werden – so geschehen im Klinikum Kassel. Das Blatt listete die Diagnosen von etwa 20 Psychiatriepatienten: unter anderem paranoide Depression, dissoziale Persönlichkeitsstörung und paranoide Schizophrenie.
Das Krankenhaus bedauerte den Vorfall, vermutlich habe ein Mitarbeiter den Zettel nicht wie vorgesehen entsorgt, sondern in seiner Dienstkleidung vergessen und draußen verloren. Die Klinik hat den Landesdatenschutzbeauftragten informiert und will die Mitarbeiter nun durch eine Schulung sensibilisieren.
Kommentar hinzufügen
25.03.2010
Neulich stand der Gebührenbeauftragte des Mitteldeutschen Rundfunks vor meiner Tür. Der war dabei „verdächtige” Haushalte abzuklappern. Wie sich schnell herausstellte, war meine Adresse einfach nicht aktualisiert. Warum die GEZ nur neue Adressen von den städtischen Meldestellen bezieht und keine Adressänderungen, wollte er mir aber nicht sagen.
Auch der Hessische Rundfunk schickt die „Eintreiber” im Auftrag der GEZ in die Haushalte. Die sind ausgestattet mit Karteien über Zahler und potentielle schwarze Schafe. Nicht schlecht staunte ein Autohändler im mittelhessischen Vogelsbergkreis, als er, nach einer Probefahrt, eine solche Kartei in einem seiner Neuwagen entdeckte. Auf den Karteikarten sind Namen, Adressen und Bankverbindungen aufgedruckt, ergänzt durch handschriftliche Notizen über verwandschaftliche Beziehungen. Der Hessische Rundfunk spielte den Vorfall herunter: „Er habe die Karten aber nicht auf den Müll oder die Straße geworfen, sondern lediglich in einem Auto gelassen,” zitiert der Kreis-Anzeiger die zuständige Abteilungsleiterin.
Kommentar hinzufügen
15.03.2010
Beim Telefonanbieter Vodafone schlug ein Datenleck auf, deren Ursache bereits 10 Jahre zurück lag. Damals noch unter Arcor sind Daten von rund 5000 Kunden mit Name, Adresse und Telefonnummer (jedoch keine Kontodaten) in Umlauf gekommen. Scheinbar vermutete man diese Daten von der Deutschen Telekom, doch das stellte sich bald als falsch veraus.
Kommentar hinzufügen
08.03.2010
Wie in jedem Jahr erhielten die erfolgreichen unter den Teilnehmern des Münster Marathons auch Ende 2009 eine DVD mit Film und Urkunde. Allerdings folgte diesmal der Ersten bald eine Zweite, mit Brief und Rückumschlag. Rückumschlag? Genau, der Veranstalter forderte die Teilnehmer auf die erste DVD umgehend zurückzusenden, da sie einen technischen Fehler enthalte. Zudem sollte eine Erklärung unterschrieben werden, dass die DVD nicht kopiert wurde.
Wem das komisch vorkam, der konnte entweder die alte DVD durchsuchen oder schon bald in der Zeitung lesen, was der Grund war: Die Veranstalter hatten versehentlich die komplette Teilnehmerdatenbank mit auf die DVD pressen lassen – selbstverständlich ohne Passwortschutz: Geburtsdaten, Bankdaten, Anschriften und E-Mail-Adressen von 3500 Teilnehmern.
Bemängelt wurde vorallem, dass die Teilnehmer allein aus der Presse über die Panne aufgeklärt wurden. Das Vorgehen war aber angeblich so mit dem Landesdatenschutzbeauftragten abgesprochen. Da es sich vermutlich nicht um einen vorsätzlichen Verstoß handelt, wird kein Bußgeld verhängt. Warum eigentlich nicht?
Kommentar hinzufügen
16.02.2010
Der Mineralölkonzern Shell verzeichnete den Verlust von Daten zu 176.000 Mitarbeitern und Lieferanten. Diese befanden sich in einer gestohlenen Adressliste und wurde per E-Mail versendet, scheinbar bevorzugt an Lobbyisten und Aktivierten mit kritischer Einstellung zu Shell.
Kommentar hinzufügen