Alle Datenpannen aus Deutschland
19.10.2009
Die Pannenserie bei den VZnet-Netzwerken setzt sich fort. Spreeblick schreibt, dass es über die mobile Version von StudiVZ möglich ist auch Fotos einzusehen, für die man keine Berechtigung hat. Das heißt jeder Nutzer kann über sein Smartphone Fotos einsehen, die ein anderer Benutzer in seinem „privaten“ Bereich hat.
Kommentar hinzufügen
19.10.2009
Die Benutzerdaten der Veranstaltungsplattform bsmparty sind vermutlich komplett ausgelesen worden. Dem Blog netzpolitik.org wurde eine Datenbank mit 130.000 Benutzerdatensätzen zugesandt.
Die Daten enthalten eine User-ID, den Nickname, die Mailadresse, das Geburtsdatum, das Geschlecht, und den Wohnort. Außerdem sind auch das Datum des letzten Logins und der MD5-Hash des Passwortes enthalten. Das MD5-Verfahren gilt bereits seit einiger Zeit als unsicher, da sich aus den Hashes insbesondere zu einfachen Passwörtern in sehr kurzer Zeit die Klartexte ermitteln lassen.
Es besteht nicht nur die Gefahr, dass Accounts dieses Portals geknackt werden. Viele Benutzer verwenden den gleichen Nick und das gleiche Passwort auch auf anderen Internetseiten.
Kommentar hinzufügen
17.10.2009
Ein Cracker hat aus den sozialen Netzwerken der VZnet-Gruppe StudiVZ, MeinVZ und SchülerVZ automatisiert Profildaten ausgelesen. Es hatte in den vergangenen Tagen bereits einen ähnlichen Fall gegeben. Ein Bot ist innerhalb der drei Communities von Freund zu Freund gesprungen und hat auf diese Weise die Profile abgegrast. In der so erzeugten Datenbank wurden unter anderem Wohnort, Geburtsdatum, Beziehungsstatus, Hobbys, Lieblingsmusik und Lieblingsfilm gespeichert.
Es kann als sicher angenommen werden, dass 48.000 Profile kopiert wurden. Vermutlich waren es aber deutlich mehr.
Kommentar hinzufügen
17.10.2009
Wie sich herausstellte sind zuletzt die Zugriffsrechte bei Google Docs ein wenig durcheinander geraten. Google Docs bietet die Möglichkeit Dokumente mit anderen Google-Nutzern zu teilen.
Nach dem letzten Update war es jedoch auch für nicht freigeschaltene Benutzer möglich gewesen Dokumente einzusehen. Da manche diesem Service sehr vertrauen sind auf diese Weise auch Dokumente mit Kontodaten in die Hände Unberechtigter gelangt.
„Der Nutzer verliert vollständig die Kontrolle über seine Daten”, warnte jüngst das Bundesamt für Sicherheit in der Informationstechnik. Die Nutzung von Google-Diensten sei daher „sowohl aus IT-sicherheitstechnischen Gründen als auch aus Sicht des Datenschutzes aktuell nicht zu empfehlen.” (heute.de)
Kommentar hinzufügen
17.10.2009
Der Finanzdienstleister AWD räumte nun noch ein anderes Datenleck ein. Bereits zu einem früheren Zeitpunkt sollen Daten von 1500 Mitarbeitern an die Öffentlichkeit gelangt sein.
Laut Neue Westfälische Zeitung sind die Daten bereits 2003 und 2004 im Internet aufgetaucht. Es handelt sich dabei um eine Liste mit Kontoständen und dem Umsatz einzelner Angestellter von AWD. Enthalten sind unter anderem auch die Personalnummern, Namen, Beginn des Arbeitsverhältnisses, Vergütungsstufe, Darlehen, Vorschüsse und monatliche Einnahmen.
AWD vermutet hinter dieser Veröffentlichung einen Rachefeldzug.
Kommentar hinzufügen
16.10.2009
Das soziale Netzwerk SchülerVZ ist für sogenannte Cross-Site-Scripting-Angriffe (XSS) anfällig. Damit ist es möglich Accounts angegriffener Nutzer zu übernehmen. Dies könnte zum Identitätsmissbrauch oder wahrscheinlich ebenfalls zum Auslesen von privaten Daten genutzt werden.
Anfang 2008 hatte SchülerVZ 2,7 Millionen Nutzer, im Juli 2010 dann schon 5,8 Millionen.
Kommentar hinzufügen
16.10.2009
Wie das Blog netzpolitik.org berichtet, löscht SchülerVZ Fotos nicht vom Server, wenn der Nutzer die Option „Löschen“ wählt. Links zu den Bildern behalten weiterhin ihre Gültigkeit. Das allein wäre nicht unbedingt ein Problem. Allerdings richtet sich das Netzwerk an junge Nutzer, welche erwarten können sollten, dass „löschen“ auch tatsächlich löscht, oder wie es SchülerVZ in seiner FAQ behauptet: „Wenn du etwas löschst, ist es auch weg. Und das komplett!“
Kommentar hinzufügen
16.10.2009
Wie das Blog Netzpolitik.org berichtet wurden in den letzten Tagen beim sozialen Netzwerk SchülerVZ mehrere Sicherheitslücken entdeckt, die zum Auslesen von Profilen genutzt werden konnten.
So soll es möglich sein automatisiert Profile abzurufen und die dort öffentlich gelisteten Daten zu kopieren („Crawling“). Eine ungenannte Quelle soll so eine Datenbank mit Profil-IDs, Namen und Schulen sowie bei einem Teil der Datensätze auch mit Geschlecht, Alter und Profilbild erstellt haben. Eine solche Datenbank bietet den Vorteil (oder in diesem Fall Nachteil), dass man leicht bestimmte interessante Personengruppen herausfiltern kann, zum Beispiel alle 17-jährigen Schülerinnen einer Berliner Schule. Der Betreiber VZnet Netzwerke behauptet in seinen Nutzungsbedingungen allerdings, dass ein Auslesen der Daten und damit eine Nutzung außerhalb des Dienstes nicht möglich wäre.
In einer Mitteilung ruderte VZnet zurück, jedoch handle es sich nur um öffentlich sichtbare Informationen. Weitere illegale Zugriffe seien nun ausgeschlossen. VZnet schaltete nach eigenen Angaben die Datenschutzbehörden ein und erwägt rechtliche Schritte.
Bedenklich ist die Lücke vorallem, da es sich bei SchülerVZ um ein Netzwerk handelt, welches sich speziell an Jugendliche richtet und mit einem besonderen Schutz der persönlichen Daten wirbt.
Kommentar hinzufügen
16.10.2009
Hausratsversicherungen, Lebensversicherungen, Aktienfonds und passend dazu 27.000 Namen, Adressen, Geburtsdaten und Berufsbezeichnungen. Das ist der Inhalt einer Excel-Tabelle, die dem NDR von einem Informanten zugesteckt wurde.
Bei der Excel-Tabelle handelt es sich um einen Auszug aus der Kundenkartei des Finanzdienstleisters AWD aus Hannover. Insgesamt sollen 60.000 Verträge gelistet sein. Die meisten davon älteren Datums, doch das macht sie gerade interessant, denn dann liegen die Ablaufdaten im Jetzt. Das bietet Potential für die Kundenaquise anderer Finanz- und Versicherungsunternehmen.
Laut NDR sollen die Daten vermutlich vom Leiter einer Landesdirektion von AWD stammen. Der Konzern hat inzwischen die Staatsanwaltschaft eingeschaltet.
Kommentar hinzufügen
13.10.2009
Der Konzern in Magenta ist bereits seit einiger Zeit Spitzenreiter hier auf Datenleck.net. Auch nach zahlreichen Vorfällen in der Vergangenheit scheint es der Telekom nicht gelungen zu sein alle Sicherheitsprobleme abzustellen. Nochimmer sickern Kundendaten nach außen.
Bereits seit Februar wird ermittelt, da etwa 100.000 Kundendatensätze einschließlich Kontodaten ins Ausland abgewandert sein sollen. Insbesondere türkische Callcenter nutzen die Daten, um Telekomkunden für neue Verträge zu gewinnen. Die Vertragsabschlüsse wurden dann über Subunternehmen wieder bei der Telekom eingereicht, welche dann die Provisionen einstrichen.
Die Sicherheitslücken sind in diesem Fall Callcenter die nicht zum Telekom-Konzern gehören, aber Zugriff auf dessen Kundendaten erhalten. Wenn die Telekom diese Strategie des Outsourcing weiterhin so intensiv fährt, dann bleibt sie bestimmt auch Spitzenreiter hier auf Datenleck.net.
Kommentar hinzufügen