Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen von October 2009 aus Deutschland

Weiteres Datenleck bei Libri

30.10.2009

Bei Libri können Großkunden einen Online-Shop einrichten, über den sie ihre Bestellungen abwickeln. Etwa 1000 Buchhandlungen nutzen dieses Angebot. Durch eine weitere Sicherheitslücke war es auch für Unberechtigte möglich sich in diese Shops einzuloggen.

Netzpolitik.org hat das Datenleck überprüft und schreibt, dass jeweils Zugriff auf die komplette Bestellhistorie, sowie die Kundenlisten mit E-Mail und Postanschrift der Kunden bestand.

Der Zugriff war möglich, da die Standardpasswörter für die Accounts fortlaufend vergeben und von den Inhabern in aller Regel nicht geändert wurden.

Kommentar hinzufügen

Finanzamt München veröffentlicht versehentlich Aufsichtsratsgehälter

29.10.2009

Ein Steuerprüfer des Münchener Finanzamts veröffentlichte versehentlich die Gehaltsabrechnungen von 39 Aufsichtsratsmitgliedern der Münchener Stadtwerke.

Der Prüfer beabsichtigte einige Dokumente per E-Mail zu versenden. Durch ein Missgeschick ging die Mail allerdings nicht an seine Kollegen, sondern an einen firmeninternen Verteiler der Stadtwerke. Die Abrechungen wurden dadurch einem großen Teil der Mitarbeiter der Stadtwerke zugänglich.

Die Steuerbehörde hat sich inzwischen für die unbeabsichtigte Transparenz entschuldigt.

Kommentar hinzufügen

Libri: Und was lesen Ihre Mitarbeiter?

29.10.2009

Bis gestern waren beim Buchversandhändler Libri etwa 500.000 Rechnungen abrufbar. Diese konnten als PDF-Dateien über eine Schleife abgerufen werden, indem einfach ein Parameter des Links variiert wurde.

Wie man sich leicht vorstellen kann enthalten Rechnungen über gekaufte Bücher sensible Daten. Da alle Rechnungen mit Name und Adresse versehen sind, können diese auch gut zugeordnet werden.

Wer unter Depressionen oder AIDS leidet, kauft sich vielleicht ein Buch darüber und möchte nicht, dass die Krankheit dem Arbeitgeber oder dem persönlichen Umfeld bekannt wird. Das gleiche gilt für Bücher über Sex-Praktiken. Wenn man von so etwas erfährt, kann man Menschen unter Druck setzen und erpressen. (Netzpolitik)

Brisant ist diese Datenpanne auch dadurch, dass Libri mit einem Datensicherheits-Label des TÜV-Süddeutschland wirbt.

Kommentar hinzufügen

VZnet: „Private“ Daten aus SchülerVZ ausgelesen

28.10.2009

Offensichtlich gab es im SchülerVZ einige Sicherheitsprobleme, die mehrfach zum Abgreifen größerer Datenmengen geführt haben. Markus Beckedahl von netzpolitik.org wurde nun erneut eine Datenbank zugespielt. Sie enthält Namen und Geburtsdaten von 118.000 Berliner Schülern. Die Datenfelder Name und Geburtsdatum wurden nur exemplarisch gewählt, um zu zeigen, dass der Angriff auch als „privat“ eingestellte Daten enthüllt. Theoretisch hätten auch Datenfelder wie Schule, Wohnort, Beziehungsstatus, politische Einstellung, Geschlecht oder das Foto ausgelesen werden können, obwohl VZnet weiter behauptet, es wäre nicht möglich private (nur für Freunde sichtbare) Daten auszulesen.

Das Crawling erfolgte über die Suche des Netzwerks. Hier können verschiedene Profildaten eingegeben werden. Als Suchergebnis werden auch Profile von Nutzern angezeigt, welche die jeweiligen Daten auf „privat“ eingestellt haben. Die Datensätze wurden zur Beweissicherung dem Bundesverband der Verbraucherzentralen (vzbv) und dem Berliner Datenschutzbeauftragten, Alexander Dix, übergeben. Dix sprach im Zusammenhang mit dieser Datenpanne von einer „völlig neuen Qualität“. Da alle drei Plattformen der VZnet-Gruppe auf dem selben System basieren ist zu befürchten, dass „private” Daten auch schon bei MeinVZ und StudiVZ ausgelesen wurden.

Der Cracker, der die Daten ausgelesen hatte, betonte indes, dass er diese nicht für kriminelle Zwecke nutzen oder veröffentlichen möchte, es gehe ihm lediglich darum auf die bestehenden Sicherheitslücken aufmerksam zu machen. Bereits vor zwei Wochen waren mehrere Datenbanken mit persönlichen Daten aus den drei VZs aufgetaucht.

Kommentar hinzufügen

VZnet: „Private“ Fotos auch ohne Berechtigung ansehen

19.10.2009

Die Pannenserie bei den VZnet-Netzwerken setzt sich fort. Spreeblick schreibt, dass es über die mobile Version von StudiVZ möglich ist auch Fotos einzusehen, für die man keine Berechtigung hat. Das heißt jeder Nutzer kann über sein Smartphone Fotos einsehen, die ein anderer Benutzer in seinem „privaten“ Bereich hat.

Kommentar hinzufügen

Weitere Plattform leckt Benutzerdaten

19.10.2009

Die Benutzerdaten der Veranstaltungsplattform bsmparty sind vermutlich komplett ausgelesen worden. Dem Blog netzpolitik.org wurde eine Datenbank mit 130.000 Benutzerdatensätzen zugesandt.

Die Daten enthalten eine User-ID, den Nickname, die Mailadresse, das Geburtsdatum, das Geschlecht, und den Wohnort. Außerdem sind auch das Datum des letzten Logins und der MD5-Hash des Passwortes enthalten. Das MD5-Verfahren gilt bereits seit einiger Zeit als unsicher, da sich aus den Hashes insbesondere zu einfachen Passwörtern in sehr kurzer Zeit die Klartexte ermitteln lassen.

Es besteht nicht nur die Gefahr, dass Accounts dieses Portals geknackt werden. Viele Benutzer verwenden den gleichen Nick und das gleiche Passwort auch auf anderen Internetseiten.

Kommentar hinzufügen

VZnet: Nutzerprofile auf allen drei Netzwerken ausgelesen

17.10.2009

Ein Cracker hat aus den sozialen Netzwerken der VZnet-Gruppe StudiVZ, MeinVZ und SchülerVZ automatisiert Profildaten ausgelesen. Es hatte in den vergangenen Tagen bereits einen ähnlichen Fall gegeben. Ein Bot ist innerhalb der drei Communities von Freund zu Freund gesprungen und hat auf diese Weise die Profile abgegrast. In der so erzeugten Datenbank wurden unter anderem Wohnort, Geburtsdatum, Beziehungsstatus, Hobbys, Lieblingsmusik und Lieblingsfilm gespeichert.

Es kann als sicher angenommen werden, dass 48.000 Profile kopiert wurden. Vermutlich waren es aber deutlich mehr.

Kommentar hinzufügen

Google Docs hat unbemerkte Mitleser

17.10.2009

Wie sich herausstellte sind zuletzt die Zugriffsrechte bei Google Docs ein wenig durcheinander geraten. Google Docs bietet die Möglichkeit Dokumente mit anderen Google-Nutzern zu teilen.

Nach dem letzten Update war es jedoch auch für nicht freigeschaltene Benutzer möglich gewesen Dokumente einzusehen. Da manche diesem Service sehr vertrauen sind auf diese Weise auch Dokumente mit Kontodaten in die Hände Unberechtigter gelangt.

„Der Nutzer verliert vollständig die Kontrolle über seine Daten”, warnte jüngst das Bundesamt für Sicherheit in der Informationstechnik. Die Nutzung von Google-Diensten sei daher „sowohl aus IT-sicherheitstechnischen Gründen als auch aus Sicht des Datenschutzes aktuell nicht zu empfehlen.” (heute.de)

Kommentar hinzufügen

AWD: Auch Mitarbeiterdaten in Umlauf

17.10.2009

Der Finanzdienstleister AWD räumte nun noch ein anderes Datenleck ein. Bereits zu einem früheren Zeitpunkt sollen Daten von 1500 Mitarbeitern an die Öffentlichkeit gelangt sein.

Laut Neue Westfälische Zeitung sind die Daten bereits 2003 und 2004 im Internet aufgetaucht. Es handelt sich dabei um eine Liste mit Kontoständen und dem Umsatz einzelner Angestellter von AWD. Enthalten sind unter anderem auch die Personalnummern, Namen, Beginn des Arbeitsverhältnisses, Vergütungsstufe, Darlehen, Vorschüsse und monatliche Einnahmen.

AWD vermutet hinter dieser Veröffentlichung einen Rachefeldzug.

Kommentar hinzufügen

VZnet: Übernahme von Profilen durch XSS

16.10.2009

Das soziale Netzwerk SchülerVZ ist für sogenannte Cross-Site-Scripting-Angriffe (XSS) anfällig. Damit ist es möglich Accounts angegriffener Nutzer zu übernehmen. Dies könnte zum Identitätsmissbrauch oder wahrscheinlich ebenfalls zum Auslesen von privaten Daten genutzt werden.

Anfang 2008 hatte SchülerVZ 2,7 Millionen Nutzer, im Juli 2010 dann schon 5,8 Millionen.

Kommentar hinzufügen

1 2