23.06.2011
Die NATO verfügt über einen Buchladen für elektronische Bücher. Dieser wird zwar nicht direkt von ihr selber betrieben, sondern von einen externen Dienstleister, ist aber in die Seite der NATO integriert. Unbekannte sind nun in diesen Laden eingedrungen und haben möglicherweise Kundendaten ausgespäht. Die Meldung der NATO ist dazu leider sehr vage und ungenau, die NATO selber ist von der Lücke jedoch nicht betroffen gewesen.
Kommentar hinzufügen
22.06.2011
Online-Kunden der Elektronikkette K&M wunderten sich zuletzt über ein erhöhtes Spamaufkommen. Die Kunden erhielten auch Phishing-Mails, welche auf eine Seite des Marktes verwiesen und dort, durch ein über eine Sicherheitslücke eingebundenes Java-Applet, ein Trojanisches Pferd auf dem Rechner der Betroffenen installierten. Wie daraufhin durch Recherchen von Heise Security bekannt wurde, waren Cracker bereits im Mai 2011 in den Online-Shop eingedrungen und hatten die gesamte Kundendatenbank kopiert. Sie gelangten so mindestens in den Besitz von Post- und E-Mailadressen der Online-Kunden.
Bereits 2009 wurde eine Sicherheitslücke ausgenutzt, um die Datenbank zu kopieren. Die Firma scheint es mit der Sicherheit ihrer Kundendaten nicht so genau zu nehmen. Die Information der Kunden erfolgte verspätet und nur über die Facebook-Seite.
Kommentar hinzufügen
22.06.2011
Wie durch Recherche von Heise Security bekannt wurde, hatten Kriminelle bereits im November 2009 die gesamte Online-Kundendatenbank des Elektronikanbieters K&M Elektronik von einem Server kopieren können. Da die Sicherheitslücke wahrscheinlich nicht geschlossen wurde, war der Fall jetzt durch einen erneuten Einbruch in das System ans Licht gekommen.
Kommentar hinzufügen
22.06.2011
Für den Einzug der KFZ-Steuer im Rahmen des elektronischen Lastschriftverfahrens wird der Bank der Name, das KFZ-Kennzeichen und die zu zahlende KFZ-Steuer übermittelt. In Baden-Württemberg hat die Finanzverwaltung unbeabsichtigt weitere Daten wie Steuernummern, Umsatzsteuern sowie Angaben zur Religionszugehörigkeit übermittelt. Der Fehler entstand am 17.06. aller Voraussicht nach in Folge eines Software-Updates. Am 20.06. wurde die Lücke erkannt und geschlossen.
Der Datenschutzbeauftragte des Landes, Jörg Klingbeil, bemängelte den unzureichenden Test:
Vor dem Einsatz neuer Software, auch bei sog. Updates, ist es unerlässlich, diese in jedem Fall gründlich und gewissenhaft zu testen. Die Freigabe neuer Software darf zudem nur im Mehr-Augen-Prinzip erfolgen. Dies gilt ganz besonders im Zusammenhang mit den sensiblen Steuerdaten
Kommentar hinzufügen
21.06.2011
Bei der Postbank hat am 20. Mai ein Mitarbeiter eine E-Mail mit Werbung für eine Geldanlage an 70 potentielle Kunden geschickt – und diese mit dem Vermerk „vertraulich” gekennzeichnet. Allerdings waren in der E-Mail die Absender für die jeweils anderen einsehbar gewesen. Aufgefallen ist diese Panne dadurch, als sich eine Frau bei der nordrhein-westfälischen Datenschutzbehörde beschwerte.
Kommentar hinzufügen
21.06.2011
Hacker haben eine Sicherheitslücke bei Sony Pictures Frankreich aufgedeckt. Dadurch erlangten sie Zugriff auf 177.000 E-Mail-Adressen. Als Beweis wurde eine kleine Liste von 70 Stück veröffentlicht. Weitere E-Mail-Adressen wollen die beiden Hacker aber nicht publizieren. Die gleiche Sicherheitslücke soll auch bei anderen Webseiten von Sony Pictures bestanden haben. Vermutlich handelte es sich um eine SQL-Injection.
Kommentar hinzufügen
18.06.2011
Nach einem Angriff auf seine Server informierte der Spielehersteller Sega die Mitglieder seines Netzwerkes Sega Pass, dass deren Daten entwendet wurden. In dem Rundschreiben heißt es, dass E-Mail-Adressen, Geburtsdaten und verschlüsselte Passwörter betroffen seien. Sega warnte deshalb vor Phishing-Mails.
Der Wert der Passwörter liegt vorallem darin, dass viele Nutzer das gleiche Passwort für unterschiedliche Internetangebote nutzen. Immerhin waren die Passwörter in diesem Fall verschlüsselt. Unter Umständen lassen sie sich aber mit Hilfe sogenannter Rainbow Tables wiedererlangen. Sega hat alle Passwörter für Sega Pass zurückgesetzt.
Kommentar hinzufügen
16.06.2011
Die mittlerweile bekannte Cracker-Gruppe LulzSec hat eine Liste mit 62.000 Account-Daten veröffentlicht. Diese stammen vermutlich vorrangig von writerspace.com, einem Hoster und Webdienstleister für Autoren.
Mittlerweile wurden auch erste Fälle bekannt in denen die veröffentlichten Daten missbräuchlich z. B. für Bestellungen verwendet wurden.
Kommentar hinzufügen
15.06.2011
Nach den beiden Pannen bei DHL ist nun bekannt geworden, dass auch bei der Dänischen Staatspost jeder ein Auge auf die Pakete der anderen haben kann.
Auf der Webseite des Angebots WebPack ist es einfach durch URL-Manipulation möglich Absender, Empfänger, E-Mailadresse des Empfängers und dessen Telefonnummer in Erfahrung zu bringen. Auch Informationen über den Inhalt und den Wert des Paketes sind verfügbar. Insgesamt können Daten über rund 6,3 Millionen Pakete aus den letzten drei Jahren abgerufen werden.
Kommentar hinzufügen
15.06.2011
Die britische Gesundheitsbehörde National Health Service meldete, dass ihr 20 Laptops abhanden gekommen sind. Auch wenn einige davon bereits wieder gefunden wurden, befindet sich unter den verschwundenen Rechnern einer mit einer Patientendatenbank. Ein Behördensprecher betonte gegenüber The Register, dass der Laptop passwortgeschützt sei. Die Patientendaten dienten einer allgemeinen Analyse und seien deshalb nicht mit den Namen der Patienten verbunden.
Allerdings befinden sich unter den enthaltenen Datenfeldern Alter, Geschlecht und Postleitzahl sowie die Krankenakte, eine Auflistung der Krankenhausbesuche und Informationen über eine mögliche HIV-Erkrankung sowie den Geisteszustand der insgesamt 8,63 Millionen Betroffenen.
Die Polizei und der britische Datenschutzbeauftragte wurden erst drei Wochen nach der Entdeckung des Verlusts informiert.
1 Kommentar