Alle Datenpannen aus Vereinigtes Königreich, in denen es um Finanzdaten geht
31.03.2012
Ein 23-jähriger Hacker aus York war in den Jahren 2010 und 2011 schrittweise an mehrere Millionen personenbezogene Daten gelangt. Er hatte Trojanische Pferde, wie ZeuS und SpyEye sowie selbst programmierte Python-Skripte genutzt, um Nutzer auszuspionieren und Firmennetzwerke anzugreifen.
Die reinen Zahlen sind beeindruckend:
- persönliche Daten von knapp 8.110.500 Briten
- 200.000 PayPal-Accounts
- Daten von über 8.000 Nokia und AOL-Mitarbeitern
- 2.700 Kreditkartendaten
Wie der Anwalt des zu 26 Monaten Haft verurteilten Hackers mitteilte, hatte sein Mandant die Daten als reine intellektuelle Herausforderung erbeutet. Das erklärt auch, warum er gemeinsam mit seiner Freundin nur einen sehr geringen finanziellen Schaden von knapp 3.000 Euro verursachte.
1 Kommentar
06.01.2012
Cattles ist ein Unternehmen, aus dem Finanzsektor, zu dessen Kernaufgaben Kleinkredite und Schuldenabbau zählen. Die Firma hat ihren Sitz in West Yorkshire im Vereinigten Königreich. Wie 78% aller britischen Unternehmen speichert Cattles seine Backups unverschlüsselt.
Wie das Unternehmen nun eingestand sind zwei solche Backup-Datenträger bereits im November abhanden gekommen. Darauf befanden sich die Daten von etwa 1,4 Millionen Kunden. Rund 600.000 dieser Datensätze enthielten auch Geburtsdaten und die gesamte Kontenhistorie. Außerdem sind von der Datenpanne die Personaldaten aller Mitarbeiter seit Oktober 2010 betroffen.
Auf Techtarget stellt man sich die Frage, warum Unternehmen immernoch unverschlüsselte Backups machen, wo es doch jede Menge Backup-Dienstleister gibt, die Verschlüsselung anbieten.
Kommentar hinzufügen
24.09.2010
Die Firma ACS:Law ist eine große britische Abmahnkanzlei. Für umgerechnet rund 500 Euro pro Fall versendet sie Glückwunschkarten mit Zahlungsaufforderung an Personen, die illegal urheberrechtlich geschützte Daten aus dem Internet heruntergeladen haben. ACS:Law hat sich besonders auf Erotikfilme spezialisiert.
Als herzliches Dankeschön für deren Tätigkeit, hatten sich zahlreiche Nutzer zusammengeschlossen und gleichzeitig die Internetseite von ACS:Law besucht. Als einige Tage nach diesem DDoS-Angriff ein Backup eingespielt wurde, bekamen die Besucher nicht die Webseite, sondern das Wurzelverzeichnis des Servers zu sehen. Auf dem Server befand sich auch eine Backup-Datei mit rund 1000 E-Mails und diese fanden sich wiederum kurze Zeit später beim Torrent-Seed The Pirate Bay.
Die E-Mails enthalten neben Informationen über die Arbeitspraktiken der Anwaltskanzlei sowie Informationen über deren Mitarbeiter und Klienten auch persönliche Daten von mehreren Tausend Personen, die wegen illegaler Porno-Downloads abgemahnt wurden. Die Zahlen der Betroffenen variieren in den einzelnen Presseberichten. Der Guardian spricht von 8000 Kunden des Anbieters Sky Broadband, 500 BT-Kunden (British Telecom), 400 Plusnet-Kunden und 5000 anderen Bürgern.
Die Listen enthalten neben den Namen und Adressen der Abgemahnten auch deren IP-Adresse, Kreditkartennummer und die Namen der heruntergeladenen Pornofilme. Die Zusammenstellung der Daten eignet sich damit optimal für Identitätsdiebstahl, Kreditkartenbetrug und Erpressung. Der Kanzlei droht nun möglicherweise eine Strafe von 500.000 Pfund durch die Datenschutzbehörde.
Auch den Providern droht möglicherweise eine Strafe, da sie die E-Mails an die Kanzlei nicht verschlüsselt hatten. Sky Broadband, British Telecom, O2 und einige andere Anbieter haben angekündigt, vorerst nicht mehr mit ACS:Law zusammenzuarbeiten.
Kommentar hinzufügen
29.10.2009
Bei einer Unterbehörde des britischen Umwelministeriums sind 39 Backup-Bänder mit sensiblen Daten verschwunden. Bis auf zwei sollen diese mittlerweile wieder aufgetaucht sein.
Die Behörde, Rural Payment Agency, ist für die Auszahlung von EU-Subventionen an die britischen Landwirte zuständig. Die Bänder enthielten Bankdaten, Adressen, Passwörter und sogenannte „Security Questions” zum Widerherstellen der Passwörter von mehr als 100.000 Bauern.
Die Umweltbehörde behauptet, dass die Backups bei einem Transfer zwischen IBM und Accenture, welche im Auftrag der Behörde arbeiten, bereits im Frühjahr abhanden gekommen seien.
Kommentar hinzufügen
24.12.2008
RBS Worldplay, ein Tochterunternehmen der Royal Bank of Scotland Group, musste bekannt geben, dass Cracker Kunden- und Kreditkartendaten von deren Servern geklaut hatten. Die Kriminellen hatten zwar insgesamt die Daten von 1,5 Mio. Bankkunden kopiert, jedoch benötigten sie nur die Kartendaten und PINs von 100 Geschädigten um insgesamt rund 9 Millionen Dollar mit Hilfe von Klonkarten abzuheben. Offensichtlich gelang es den Tätern dabei das Limit für Geldauszahlungen am Automaten bei weitem zu überschreiten.
Kommentar hinzufügen
03.11.2008
Und wieder einmal verursachten britische Behörden eine Datenpanne: ein USB-Stick enthielt Benutzernamen und Kennwörter für ein Computersystem der Regierung. Über diese Plattform konnten Renten- und Kindergeldanträge sowie Steuererklärungen online erledigt werden. Über das Ausmaß der Panne gehen die Ansichten zwischen Behörde und Presse weit auseinander: die Behörde spricht von einer „Handvoll Leute” und die Kennwörter seien verschlüsselt. Die „Mail on Sunday” berichtet dagegen, daß ein Zugang zu den Daten von zwölf Millionen Menschen möglichen gewesen wäre. Auf jeden Fall hat die Regierung erst einmal reagiert und das System vorrübergehend geschlossen.
Kommentar hinzufügen
13.10.2008
Der Wirtschaftsprüfer Deloitte hat einen Laptop verloren, auf dem Rentendaten von 150.000 Eisenbahnmitarbeitern gespeichert waren. Zu den Datensätzen gehörten neben Namen auch Versicherungsnummern, Geburtsdaten und Angaben zum Einkommen. Der Laptop wurde aus der Tasche eines Mitarbeiters gestohlen. In diesem Verlustfall ist auf jeden Fall zu erwähnen, daß das Gerät kennwortgeschützt ist und die Festplatte verschlüsselt war – so ein Sprecher des Unternehmens.
Kommentar hinzufügen
10.10.2008
Das britische Verteidigungsministerium hat einen weiteren Datenverlust zu verzeichnen: eine tragbare Festplatte mit persönlichen Daten von ca. 100.000 Armeeangehörigen und weiteren rund 600.000 Armeeanwärtern ist in den Räumen des IT-Dienstleisters EDS verschwunden. Auf dem Datenträger waren Adressen, Passnummern, Geburts- und Führerscheindaten sowie in einigen Fällen auch Telefonnummern und Bankverbindungen.
Kommentar hinzufügen
07.09.2008
In Großbritanien ging ein USB-Stick verloren, auf dem sich Daten von britischen Gefängniswärtern (Name, Geburtsdaten, Versicherungsnummer) sowie Finanzinformationen (Rechnungen von Dienstleistern) befanden. Der Datenträger ist im Juli 2007 verschwunden, 14 Monate später wurde das Ministerium über den Verlust informiert. Neben der Datenpanne scheint dieser Fall mit einem Kommunikationsproblem gekoppelt zu sein. Beteiligt am Verlust war hierbei der Dienstleister EDS.
Kommentar hinzufügen
27.08.2008
In einem Internetauktionshaus wurde eine Festplatte für ca. 45 Euro verkauft. Auf dieser waren unverschlüsselte Daten von Kunden von American Express, NatWest und Royal Bank of Scottland zu finden. Konkret handelte es sich hierbei um Namen, Adressen, Telefonnnummern, Konto- und Kreditkartennummern sowie Unterschriften.
Eingestellt wurde diese Auktion von einem ehemaligen Mitarbeiter des Datenverarbeitungsdienstleisters Graphic Data. Dieses Unternehmen unterstützt diese Banken bei der Digitalisierung von Belegen.
Kommentar hinzufügen