Alle Datenpannen, in denen es um Betriebsgeheimnisse geht
10.06.2011
Wenn gewählte Volksvertreter im Namen der Bevölkerung Vereinbarungen abschließen, dann sollte man meinen, daß diese Vereinbarungen auch öffentlich bekannt sind. Doch dies ist leider nicht so. Oftmals haben solche Vereinbarungen Verschwiegenheitsklauseln und sind nur für einen bestimmten Personenkreis zuständig. So auch bei den Cross-Border-Leasing-Geschäften des Chemnitzer Klinikums. Die dazugehörige Vereinbarung stand mehrere Stunden auf der Homepage des Rathauses.
Kommentar hinzufügen
06.06.2011
Die Cracker von LulzSec haben nun auch Daten von einem Server der im Auftrag des FBI arbeitenden Sicherheitsfirma Infragard gestohlen. Darunter befand sich auch das Passwort des G-Mail-Accounts des Firmenchefs. Der hatte, wenig vorbildlich, für seinen E-Mail-Account und das Firmenbenutzerkonto das gleiche Passwort verwendet.
Kommentar hinzufügen
03.06.2011
Eine Hacker-Gruppe, welche sich LulzSec nennt ist auf einen Server des Multimediakonzerns Sony eingedrungen und hat dort Teile der Kundendatenbank kopiert. Betroffen sind die Dienste „Sony Pictures International“, „Sony Music Netherlands“ und „Sony Music Belgium“.
Es wurden reichlich eine Million Kundendatensätze heruntergeladen und im Internet veröffentlicht. Die Kundendaten lagen unverschlüsselt und schlecht geschützt auf den Servern. Die Datensätze enthalten Namen, E-Mailadressen, Postanschrift und die unverschlüsselten (!) Passwörter der Nutzer.
Außerdem gelang es den Hackern 3,5 Mio. Gutscheincodes zu kopieren. Der Angriff ist Teil einer Serie von Angriffen auf Server der Firma Sony.
Kommentar hinzufügen
15.02.2011
Die US-Sicherheitsfirma HBGary Federal (ein Ableger von HBGary) wollte die Bundespolizei FBI im Kampf gegen die Hacker von Anonymous unterstützen. Diese hatten zuvor unter anderem den Bezahldienst PayPal angegriffen, weil dieser das Spendenkonto für die Whistleblowing-Seite Wikileaks eingefrohren hatte. Nun ist HBGary Federal selbst Opfer eines Anonymous-Angriffs geworden. Die Hacker veröffentlichten ein Dossier über sie selbst, welches die Firma an das FBI verkaufen wollte. Außerdem machten sie 50.000 interne E-Mails publik, welche belegen, dass die Firma im Auftrag von Rüstungskonzernen Rootkits und Trojanische Pferde entwickelte. Des weiteren wurde die Nutzerdatenbank eines der Firma nahestehenden Forums geknackt und deren Zugangspasswörter veröffentlicht.
Den Zugang zum Server erlangten die Cracker von Anonymous übrigens durch Social Engineering, indem sie einen Administrator per E-Mail überzeugten, ihnen einen SSH-Zugang zum Server einzurichten.
Kommentar hinzufügen
11.02.2011
So jedenfalls reagierte die NPD auf ein kürzlich veröffentlichtes Datenleck. Mehreren Zeitungen wurden von Unbekannten rund 60.000 E-Mails von Funktionsträgern der Partei zugespielt. Die Unbekannten waren zuvor vermutlich in den unzureichend gesicherten Mailserver der rechtsextremen Partei eingedrungen und hatten die Daten kopiert.
Einige der E-Mails wurden von der Tageszeitung veröffentlicht und können auf deren Seite gelesen werden. Neben fremdenfeindlichen Inhalten finden sich auch Rechnungen und Planungen zum Wahlkampf in Sachsen-Anhalt. Dies könnte nun dem Fraktionsvorsitzenden in Sachsen, Holger Apfel, auf die Füße fallen. Aktuell beschäftigt sich die sächsische Landtagsverwaltung mit den E-Mails. Es wird vermutet, dass Apfel, der sich intensiv im Landtagswahlkampf in Sachsen-Anhalt engagiert, Fraktionsgelder vom sächsischen Landtag für die Parteiarbeit in Sachsen-Anhalt misbraucht haben könnte.
Kommentar hinzufügen
13.12.2010
Das kommerzielle New Yorker Blog „Gawker“ und einige damit verbundene Internetseiten erlebten einen größeren ungewollten Sicherheitsaudit. Nach einem Hacker-Angriff gibt es ein 500MB großes Torrent unter anderem mit Passwörtern und Mailadressen von 273.789 Autoren und Kommentatoren zum Download.
Kommentar hinzufügen
08.12.2010
Seit über 40 Jahren gibt es in der US-amerikanischen Raumfahrtbehörde NASA eine eigene Abteilung, die damit befasst ist Misstände aufzukären. In einem Report stellte sie nun fest, dass beim Verkauf ausgedienter Computer möglicherweise nicht alle Festplatten gelöscht wurden. Darauf befanden sich Daten aus dem Space-Shuttle-Programm. Außerdem waren Container, mit alten nicht sicher gelöschten Festplatten, in öffentlich zugänglichen Bereichen aufgestellt worden.
Falls jemand also auf seiner neu ersteigerten Festplatte einen Space-Shuttle-Bauplan findet, wünschen wir viel Spaß beim Nachbauen!
Kommentar hinzufügen
24.09.2010
Die Firma ACS:Law ist eine große britische Abmahnkanzlei. Für umgerechnet rund 500 Euro pro Fall versendet sie Glückwunschkarten mit Zahlungsaufforderung an Personen, die illegal urheberrechtlich geschützte Daten aus dem Internet heruntergeladen haben. ACS:Law hat sich besonders auf Erotikfilme spezialisiert.
Als herzliches Dankeschön für deren Tätigkeit, hatten sich zahlreiche Nutzer zusammengeschlossen und gleichzeitig die Internetseite von ACS:Law besucht. Als einige Tage nach diesem DDoS-Angriff ein Backup eingespielt wurde, bekamen die Besucher nicht die Webseite, sondern das Wurzelverzeichnis des Servers zu sehen. Auf dem Server befand sich auch eine Backup-Datei mit rund 1000 E-Mails und diese fanden sich wiederum kurze Zeit später beim Torrent-Seed The Pirate Bay.
Die E-Mails enthalten neben Informationen über die Arbeitspraktiken der Anwaltskanzlei sowie Informationen über deren Mitarbeiter und Klienten auch persönliche Daten von mehreren Tausend Personen, die wegen illegaler Porno-Downloads abgemahnt wurden. Die Zahlen der Betroffenen variieren in den einzelnen Presseberichten. Der Guardian spricht von 8000 Kunden des Anbieters Sky Broadband, 500 BT-Kunden (British Telecom), 400 Plusnet-Kunden und 5000 anderen Bürgern.
Die Listen enthalten neben den Namen und Adressen der Abgemahnten auch deren IP-Adresse, Kreditkartennummer und die Namen der heruntergeladenen Pornofilme. Die Zusammenstellung der Daten eignet sich damit optimal für Identitätsdiebstahl, Kreditkartenbetrug und Erpressung. Der Kanzlei droht nun möglicherweise eine Strafe von 500.000 Pfund durch die Datenschutzbehörde.
Auch den Providern droht möglicherweise eine Strafe, da sie die E-Mails an die Kanzlei nicht verschlüsselt hatten. Sky Broadband, British Telecom, O2 und einige andere Anbieter haben angekündigt, vorerst nicht mehr mit ACS:Law zusammenzuarbeiten.
Kommentar hinzufügen
17.09.2010
Das Schöne an Online-Zeitungen ist ja, dass man nur die Artikel anklickt, für welche man sich tatsächlich interessiert, statt jeden Tag einen fetten Packen Papier im Briefkasten zu haben, von dem man am Ende günstigsten Falls ein Drittel liest. Eine nette Idee ist da die individualisierte Tageszeitung niiu. Online wählt man aus, welche Themen welcher Zeitung man lesen möchte und erhält die Zusammenstellung dann jeden Morgen nach Hause.
Die eigene Printausgabe lässt sich auch online als PDF abrufen. Wie sich herausstellte, können durch URL-Manipulation aber auch die Ausgaben anderer Kunden abgerufen werden. Man erfährt dabei Name und Adresse des Abonnenten, sowie natürlich dessen individuelle Zeitungs- und Themenauswahl. Dabei ist laut Leitmedium auch der Zugriff auf alle bisherigen Ausgaben möglich, vermutlich auch auf solche von ehemaligen Kunden. Niiu äußerte aber in einer Stellungnahme gegenüber Golem, dass es sich bei den betroffenen Kunden nur um jene handelt, die die Option E-Paper ausdrücklich aktiviert hätten.
Ein Ärgernis für die Verleger könnte sein, dass auf diese Weise Bezahlartikel großer (internationaler) Zeitungen ohne Paywall zugänglich sind. Insgesamt können etwa 35000 Printausgaben online abgerufen werden.
Kommentar hinzufügen
06.09.2010
„This incident shows yet again why data on USB drives must always be encrypted,” schreibt The Register. Der aktuelle Fall dreht sich um einen USB-Stick der Greater Manchester Police, welchen ein Bürger auf der Straße in der Nähe eines Polizeireviers im Städtchen Stalybridge fand.
Eine Analyse auf dem heimischen PC ergab, dass sich auf dem Datenträger Material für Anti-Terror-Trainings und Personalakten befanden – natürlich unverschlüsselt.
Kommentar hinzufügen