Alle Datenpannen, in denen es um Finanzdaten geht
07.09.2008
In Großbritanien ging ein USB-Stick verloren, auf dem sich Daten von britischen Gefängniswärtern (Name, Geburtsdaten, Versicherungsnummer) sowie Finanzinformationen (Rechnungen von Dienstleistern) befanden. Der Datenträger ist im Juli 2007 verschwunden, 14 Monate später wurde das Ministerium über den Verlust informiert. Neben der Datenpanne scheint dieser Fall mit einem Kommunikationsproblem gekoppelt zu sein. Beteiligt am Verlust war hierbei der Dienstleister EDS.
Kommentar hinzufügen
27.08.2008
In einem Internetauktionshaus wurde eine Festplatte für ca. 45 Euro verkauft. Auf dieser waren unverschlüsselte Daten von Kunden von American Express, NatWest und Royal Bank of Scottland zu finden. Konkret handelte es sich hierbei um Namen, Adressen, Telefonnnummern, Konto- und Kreditkartennummern sowie Unterschriften.
Eingestellt wurde diese Auktion von einem ehemaligen Mitarbeiter des Datenverarbeitungsdienstleisters Graphic Data. Dieses Unternehmen unterstützt diese Banken bei der Digitalisierung von Belegen.
Kommentar hinzufügen
20.08.2008
Bis dato bot der Internetbezahldienst PayPal einen Service zur einfachen Kontenabfrage an. Jeder Teilnehmer konnte bei einer Servicenummer anrufen und dort Auskunft über sein Konto erhalten.
Dazu hat der Kunde der eBay-Tochter eine Telefonnummer und seine Kontonummer hinterlegt. Am Servicetelefon identifiziert er sich dann mit dieser Telefonnummer und den letzten vier Ziffern der Kontonummer. Da aber Telefonnummer und Kontonummer bei vielen Menschen, insbesondere bei kleingewerblichen Online-Händlern, kein Geheimnis sind, ist es leicht für Unbefugte deren Daten abzurufen.
PayPal hat den Dienst mittlerweile umgestaltet. eBay-Sprecher Nerses Chopurian schloss aus, dass die PayPal-Datenschutzlücke missbräuchlich genutzt worden sein könnte.
Kommentar hinzufügen
11.08.2008
Die Verbraucherzentrale Schleswig-Holstein hat ein Datenleck aufgedeckt, in dem eine CD mit personenbezogenen Daten wie Namen, Telefonnummern, Geburtsdaten sowie komplette Kontoverbindungen von 17.000 Verbrauchern im Umlauf ist.
Vorausgegangen sind zahlreiche Beschwerden über unerwünschte Anrufe. Bei der Analyse der Beschwerden stellte sich heraus, daß viele zuvor die Lose der Süddeutschen Klassenlotterie (SKL) per Kontoabbuchung bezahlt hatten. „Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin”, so die Verbraucherzentrale.
Kommentar hinzufügen
04.07.2008
Über eine Sicherheitslücke waren im firmeninternen Netz des Marktforschungsinstituts TNS Infratest/Emnid rund 41000 persönliche Datensätze über 4000 freie Mitarbeiter einsehbar. Um in das System einzudringen war allerdings ein Passwort nötig, so dass die Mitarbeiter nur untereinander ihre Daten einsehen konnten.
Das Passwort war dem Chaos Computer Club zugespielt worden, der die Sicherheitslücke aufdeckte. Das Hamburger Abendblatt berichtete über den Fall:
Konkret konnten Namen, Anschriften, Geburtsdatum, E-Mail-Adressen und Telefonnummern von Mitarbeitern eingesehen werden. Bei vielen Personen seien zudem Monatseinkommen, Kontoverbindungen, Krankenversicherungsdaten und Kreditkarteninformationen zugänglich gewesen.
Nachtrag:
Laut Chaos Computer Club handelte es sich nicht um 4000 freie Mitarbeiter, sondern um 40000 Personen, die sich für das Institut für Umfragen zur Verfügung stellen. Die Daten waren scheinbar doch nicht passwortgeschützt, sondern konnten einfach mit Kenntnis der URL erreicht gewesen. Außerdem sollen die Datensätze sehr detailliert werden (etwa auch eine Auflistung der Haushaltsgeräte im Besitz dieser Personen). Die Presse sei von TNS falsch informiert worden.
Kommentar hinzufügen
02.07.2008
Eine neue Methode zum Erlangen von Bank-PINs erprobten Hacker zwischen Herbst 2007 und Frühjahr 2008 in den USA. Üblicherweise werden die Identifikationsnummern entweder direkt am Bankterminal oder beim Online-Banking abgegriffen, da sie in allen anderen Situationen theoretisch verschlüsselt sind. Theoretisch, denn wie wenig Wert die Banken auf eine sichere Infrastruktur legen erkennt man daran, dass es den Hackern gelang die PINs direkt aus dem Geldautomatennetz der Citibank im Klartext auszulesen.
Die Hacker hatten einen Wartungskanal geknackt, mit dem sie Zugriff auf ein Netzwerk aus 5.700 bei der US-Handelskette 7-Eleven aufgestellten Bargeldautomaten hatten. Mit den PINs erbeuteten die Täter über 2 Millionen US-Dollar. Der tatsächliche Schaden dürfte aber deutlich höher sein, da die Täter zuvor 70% ihrer Abbuchungen nach Russland verbrachten.
Kommentar hinzufügen
01.06.2008
Die amerikanische „Bank of New York Mellon” bestätigte Ende Mai den Verlust eines Datenbandes, auf dem Daten von ca. 4,5 Mio Bankkunden enthalten waren. Es soll bei einem Transport durch das Transportunternehmen „Archive America” drei Monate zuvor abhanden gekommen sein. Die Daten auf dem Band, u.a. Namen, Geburtsdaten und Sozialversicherungsnummern, waren unverschlüsselt.
Kommentar hinzufügen
07.05.2008
Der Sicherheitsdienstleister Finjan hat im Internet einen Server aufgespürt, auf dem Datendiebe ihr Diebesgut lagern. Dieser sogenannte Command-and-Control-Server enthielt 1,4 GB Daten aus Ländern wie Türkei, Deutschland, USA, Frankreich, Indien, Großbritannien und Spanien. Enthalten sind zum Beispiel Patientendaten, Bankdaten und E-Mail-Konten.
Kommentar hinzufügen
18.03.2008
Datendiebe haben Server der Handelsketten Hannaford Brothers und Sweetbay angzapft. Diese gehören zur belgischen Delhaize Group. Beim Übertragen der Kreditkartendaten auf die Server wurden diese durch Schadsoftware ins Ausland weitergeleitet. Abhanden kamen Kreditkartennummern und die Ablaufdaten der Kreditkarten. In der Zeit von Dezember 2007 bis März 2008 wurden etwa 4,2 Millionen Kreditkartendaten kopiert.
Kommentar hinzufügen
14.03.2008
Der Bundesnachrichtendienst hat Bankdaten von einem ehemaligen Mitarbeiter der Liechtenstein Global Trust Treuhand gekauft. Der Mitarbeiter hatte die Daten erlangt, als er mit der Digitalisierung des Archivs beauftragt wurde. Die Daten geben Auskunft über Steuersünder und machten vorallem in Deutschland Schlagzeilen.
Nachtrag, 08.02.2010: Die Bank muss den betroffenen Kunden nun möglicherweise eine Entschädigung in Millionenhöhe zahlen, weil sie nicht rechtzeitig über die Datenpanne informiert hat.
Kommentar hinzufügen