Alle Datenpannen aus Deutschland
17.11.2009
Bei der hamburgischen CDU kann man sich für einen Newsletter anmelden. Die Registrierung erfolgt ohne Bestätigungsmail und jeder neue Nutzer bekommt eine URL mit einer fortlaufenden Nummer zugeordnet.
Damit ist es möglich durch einmalige Anmeldung beim Newsletter die E-Mailadressen aller anderen Abonnenten zu erfahren, indem man die Nummer in der URL einfach variiert.
Kommentar hinzufügen
17.11.2009
Die kompletten Kundendaten von 11.000 Kunden des Telekommunikationsanbieters Kabel Deutschland waren öffentlich im Netz zugänglich. Betroffen ist hier insbesondere das südwestliche Niedersachsen. Betrüger hätten mit diesen Daten authentisch aussehende Rechnungen erstellen können. Die Daten sind mittlerweile gesperrt.
Kommentar hinzufügen
16.11.2009
Rein vorsorglich haben zahlreiche Banken die Kreditkarten gesperrt. Betroffen sind hierbei vor allen die Kreditkarten, die in den vergangenen Wochen in Spanien im Einsatz waren.
Die Ursache des Lecks liegt bei einem sogenannten Prozessor. Diese sorgen für den Austausch beim Bezahlvorgang der notwendigen Daten zwischen Geschäft und der Bank. Und in diesem Vorgang müssen die Daten entwendet worden sein. Genauere Informationen zu diesem Leck sowie einen Verursache gibt es daher noch nicht.
In Deutschland hat zunächst die Lufthansa ihre „Miles&More”-Karten aus dem Verkehr gezogen. Im Anschluß haben nahezu alle weiteren Banken nachgezogen.
Kommentar hinzufügen
11.11.2009
Eine Sicherheitslücke im Online-Shop der Deutschen Post ermöglichte den Zugriff auf Kundendaten. So war es möglich, ähnlich wie bei Online-Shops anderer Unternehmen zuvor, durch Variation der Internetdresse das Kaufprofil anderer Kunden abzurufen. Angezeigt wurden im Einzelnen die Adresse des Käufers, die bestellte Ware, der Preis, die gewählte Zahlungsart, sowie das Versanddatum.
Die Sicherheitslücke ist mitlerweile behoben.
Kommentar hinzufügen
10.11.2009
Ein Neukunde hatte es beim DSL-Anbieter Alice geschafft, die Adresse alice@alice.de zu registrieren. Diese Adresse hätte technisch gesperrt sein müssen. Wenn Neukunden bisher keine alternative E-Mail-Adresse haben, wurde diese als Platzhalter angeboten.
Darauf hin bekam der 48-Jährige regelmäßig Post mit Daten von weiteren Neukunden. Neben auf Stockwerk genauen Adressen sind Bankverbindungen enthalten gewesen. Der Betroffene gegenüber dem NDR:
Ich hatte auf einmal 172 Mails im Ordner und wusste gar nicht, wo die auf einmal hergekommen sein könnten – bis ich dann feststellte, dass das Daten für Alice sind.
Alice hat die E-Mail-Adresse nun gesperrt. Der Bundesdatenschutz-Beauftragten Peter Schaar hat diese Panne als Sicherheitsversäumnis eingestuft.
Kommentar hinzufügen
03.11.2009
Auch die Sparkasse betreibt im Internet bereits eigene Geschäfte und verkauft darüber beispielsweise Software wie „Star Money”. Wer Kunde war und sich die eigene Bestellhistorie anschaute, konnte durch Verändern der Rechnungs-ID auch in jede andere Bestellhistorie schauen und bekam darüber Zugriff auf fast 350.000 Rechnungen.
Die Rechnungen enthielten die üblichen Informationen zu Name, Anschrift, gekaufte Produkte, Bestellzeit sowie die Zahlungsart. Bei den meisten wurde Kontonummern hinterlegt. Die Kontonummern wurden zwar bis auf die letzten vier Ziffern geschwärzt, jedoch gibt es im Sparkassenverbund auch kleinere Sparkasse mit vierstelligen Kontonummern.
Nachdem der „Deutsche Sparkassen Verlag” auf den Fehler angeschrieben wurden ist, wurde die Lücke binnen einer Stunde geschlossen und eine Stellungnahme abgegeben.
Kommentar hinzufügen
30.10.2009
Bei Libri können Großkunden einen Online-Shop einrichten, über den sie ihre Bestellungen abwickeln. Etwa 1000 Buchhandlungen nutzen dieses Angebot. Durch eine weitere Sicherheitslücke war es auch für Unberechtigte möglich sich in diese Shops einzuloggen.
Netzpolitik.org hat das Datenleck überprüft und schreibt, dass jeweils Zugriff auf die komplette Bestellhistorie, sowie die Kundenlisten mit E-Mail und Postanschrift der Kunden bestand.
Der Zugriff war möglich, da die Standardpasswörter für die Accounts fortlaufend vergeben und von den Inhabern in aller Regel nicht geändert wurden.
Kommentar hinzufügen
29.10.2009
Ein Steuerprüfer des Münchener Finanzamts veröffentlichte versehentlich die Gehaltsabrechnungen von 39 Aufsichtsratsmitgliedern der Münchener Stadtwerke.
Der Prüfer beabsichtigte einige Dokumente per E-Mail zu versenden. Durch ein Missgeschick ging die Mail allerdings nicht an seine Kollegen, sondern an einen firmeninternen Verteiler der Stadtwerke. Die Abrechungen wurden dadurch einem großen Teil der Mitarbeiter der Stadtwerke zugänglich.
Die Steuerbehörde hat sich inzwischen für die unbeabsichtigte Transparenz entschuldigt.
Kommentar hinzufügen
29.10.2009
Bis gestern waren beim Buchversandhändler Libri etwa 500.000 Rechnungen abrufbar. Diese konnten als PDF-Dateien über eine Schleife abgerufen werden, indem einfach ein Parameter des Links variiert wurde.
Wie man sich leicht vorstellen kann enthalten Rechnungen über gekaufte Bücher sensible Daten. Da alle Rechnungen mit Name und Adresse versehen sind, können diese auch gut zugeordnet werden.
Wer unter Depressionen oder AIDS leidet, kauft sich vielleicht ein Buch darüber und möchte nicht, dass die Krankheit dem Arbeitgeber oder dem persönlichen Umfeld bekannt wird. Das gleiche gilt für Bücher über Sex-Praktiken. Wenn man von so etwas erfährt, kann man Menschen unter Druck setzen und erpressen. (Netzpolitik)
Brisant ist diese Datenpanne auch dadurch, dass Libri mit einem Datensicherheits-Label des TÜV-Süddeutschland wirbt.
Kommentar hinzufügen
28.10.2009
Offensichtlich gab es im SchülerVZ einige Sicherheitsprobleme, die mehrfach zum Abgreifen größerer Datenmengen geführt haben. Markus Beckedahl von netzpolitik.org wurde nun erneut eine Datenbank zugespielt. Sie enthält Namen und Geburtsdaten von 118.000 Berliner Schülern. Die Datenfelder Name und Geburtsdatum wurden nur exemplarisch gewählt, um zu zeigen, dass der Angriff auch als „privat“ eingestellte Daten enthüllt. Theoretisch hätten auch Datenfelder wie Schule, Wohnort, Beziehungsstatus, politische Einstellung, Geschlecht oder das Foto ausgelesen werden können, obwohl VZnet weiter behauptet, es wäre nicht möglich private (nur für Freunde sichtbare) Daten auszulesen.
Das Crawling erfolgte über die Suche des Netzwerks. Hier können verschiedene Profildaten eingegeben werden. Als Suchergebnis werden auch Profile von Nutzern angezeigt, welche die jeweiligen Daten auf „privat“ eingestellt haben. Die Datensätze wurden zur Beweissicherung dem Bundesverband der Verbraucherzentralen (vzbv) und dem Berliner Datenschutzbeauftragten, Alexander Dix, übergeben. Dix sprach im Zusammenhang mit dieser Datenpanne von einer „völlig neuen Qualität“. Da alle drei Plattformen der VZnet-Gruppe auf dem selben System basieren ist zu befürchten, dass „private” Daten auch schon bei MeinVZ und StudiVZ ausgelesen wurden.
Der Cracker, der die Daten ausgelesen hatte, betonte indes, dass er diese nicht für kriminelle Zwecke nutzen oder veröffentlichen möchte, es gehe ihm lediglich darum auf die bestehenden Sicherheitslücken aufmerksam zu machen. Bereits vor zwei Wochen waren mehrere Datenbanken mit persönlichen Daten aus den drei VZs aufgetaucht.
Kommentar hinzufügen