20.08.2010
Im Zuge einer Systemumstellung standen bei der Versicherungsgesellschaft „Alte Leipziger” Daten von ca. 3.600 Versicherungsanträgen online. Zu den Daten zählten u.a. Gedburtsdatum, Nationalität, Familienstand, Angban zu Kindern, Bankverbindungen, Beruf, Fahrzeuge sowie deren eventuelle Vorschäden und der bisherige Versicherer. Die Daten konnten von einem Unterordner des Servers direkt heruntergeladen werden. Die Lücke wurde nach Bekanntwerden geschlossen
Kommentar hinzufügen
04.08.2010
Ein Gebührenbeauftragter des Bayrischen Rundfunks hatte in Regensburg einige seiner Karteikarten verloren. Delikat ist das deshalb, weil auf den Kärtchen sämtliche Details zu den Gebührenzahlern verzeichnet sind: Name, Adresse, Geburtsdatum, Bankverbindung, Kundenstatus (privat oder geschäftlich) und eine eventuelle Befreiung von den Gebühren. Bereits im März hatte es in Hessen einen ähnlichen Vorfall gegeben.
Kommentar hinzufügen
25.07.2010
Hell Pizza ist eine große neuseeländische Fast-Food-Kette. Über die schlecht gesicherte Internetseite des Unternehmens haben Kriminelle, die gesamte Kundendatenbank abgegriffen und diese veröffentlicht. Darin finden sich die Adressen und Telefonnummern von insgesamt etwa 230.000 Neuseeländern. Außerdem enthält die Datenbank E-Mail-Adressen und Passwörter für die Online-Bestellung, sowie sämtliche bereits abgewickelte Bestellungen.
Kommentar hinzufügen
14.07.2010
Pornografie gibt es ja im Netz genug. Manch einer will aber vielleicht nicht nur oberflächlich konsumieren, sondern interessiert sich auch für die Hintergründe. Solche Klienten sind beim US-amerikanischen Pronounternehmen Adam and Eve genau richtig. Auf deren Server waren sämtliche Informationen über die Entstehung der Pornos, ihre Darsteller und Gewinne frei aus dem Internet zugänglich. Der Server war lediglich durch ein vom Hersteller vergebenes Standardpasswort geschützt, welches im Server-Handbuch verzeichnet ist. Wie Gulli berichtet, waren auf den Festplatten private und geschäftliche Daten vermischt:
Verträge, Vorlagen für Pressemitteilungen und Kostenkalkulationen von laufenden und zukünftigen Produktionen sind dort zu finden. So auch diverse Abrechnungen, digitalisierte Quittungen von Hotelaufenthalten, Providerabrechnungen, Strategiepapiere gegen unerlaubte Streaming-Webseiten und vieles mehr. Die Bilder der Geburtstagsbilder [sic] des Sohnes sind auf der Platte des CEOs nur eine Schublade von den Hardcore-Bildern der Models entfernt. Zu finden sind aber auch Excel-Dateien mit Einladungslisten der Big Player der Pornoindustie für Partys inklusive E-Mail-Adresse von Darstellern, Kameraleuten etc. Daneben finden sich Flowcharts, Lizenzverträge, Bilder des Geschäftsführers aus Stretch-Limousinen mit leicht bekleideten Begleiterinnen und vieles mehr.
Kommentar hinzufügen
10.07.2010
Wie das Blog Hackerinfo berichtet sind Server der Firma Penny-Markt GmbH frei aus dem Internet erreichbar. Neben Informationen zu Geschäftsabläufen und Planungen sowie Daten zur gesamten IT-Infrastruktur des Unternehmens, fand sich auch eine Liste mit Mitarbeiternamen und deren E-Mail-Adressen. Nach Informationen der REWE-Group, zu welcher Penny gehört, handelt es sich bei dem Server um eine unerlaubte Kopie eines ehemaligen Mitarbeiters in Bulgarien. Solche Vorfälle könnten in einem so großen Unternehmen niemals ausgeschlossen werden.
Kommentar hinzufügen
08.07.2010
Die sogenannte „Content-Industrie“ hätte sich über so einen Coup sichererlich gefreut: Einem Argientinier ist es gelungen 4 Millionen Nutzerdatensätze aus der Datenbank des Bittorentindex und -trackers, The Pirate Bay, zu kopieren. Die Datensätze enthalten den Login-Namen, die IP-Adresse, die E-Mail-Adresse sowie Passwort-Hashes. Außerdem sind zu jedem registrierten Nutzer die hochgeladenen Torrents verzeichnet. Sofern es sich bei den damit verbreiteten Medien um lizenzrechtlich geschütztes Material handelt, dürften die entsprechenden Rechteverwerter großes Interesse an diesen Daten haben.
Kommentar hinzufügen
06.07.2010
Am 28.06. präsentierte der Fußballverein SV Werder Bremen der Öffentlichkeit seine Mitgliederdatenbank. Sie haben einen Newsletter versandt, der einen Link zu der Datenbank enthalten hat. Für ca. 2 Stunden waren Namen, Adressen, Geburtsdaten und Kontonummern von 34.700 Mitgliedern abrufbereit.
Der Verein informierte die Betroffenen, der Datenschutz wird den Fall weiter prüfen.
Kommentar hinzufügen
16.06.2010
Über mehrere Zwischenwege sind die Privatanschriften von 15.000 Briefwählern aus München abhanden gekommen. Aufgetaucht waren sie bei einem Adreßhändler, der diese weiter veräußern wollte.
Nach Angaben der Müncher Stadtverwaltung wurden dem Berchmanskolleg des Jesuitenordens Umschläge von Briefwahlanträgen überlassen, „zur Ablösung von Briefmarken für wohltätige Zwecke”. Allerdings wurden die Umschläge als Massenware für Markensammler an einen privaten Händler verkauft. Diese landeten am Ende bei MTM. Der Berchmanskolleg beruft sich hierbei, daß keinerlei Auflagen über die Briefhüllen gemacht worden.
Bliebe nur die Frage offen, was die Stadt München zu so einen Schritt bewegt hat – immerhin geht es keinem etwas an, wer an einer Briefwahl teilgenommen hat.
Kommentar hinzufügen
15.06.2010
Keine zwei Wochen sind vergangen und der Telekom-Riese AT&T leckt erneut Kundendaten. Beim Bestellvorgang wurden einige der Kunden auf falsche Profile weitergeleitet. Sie konnten sich so zum Beispiel deren Adressen und Telefonrechnungen anzeigen lassen. Den Fehler könnte ein ungetestetes Sicherheitsupdate ausgelöst haben.
Kommentar hinzufügen
09.06.2010
Das amerikanische Telekommunikationsgroßunternehmen (schönes Wort) AT&T hat in den Vereinigten Staaten einen Exklusivvertrag mit Apple für den Verkauf des iPad. Nutzer können, bei entsprechender technischer Ausstattung über das Mobilfunknetz ins Internet gehen und dabei auch auf spezielle iPad-Services von AT&T zugreifen. Eine solche Anwendung ermöglichte es, auf Anfrage, anhand der ID der SIM-Karte, die E-Mail-Adresse des Benutzers zuermitteln.
Eine Hackergruppe hat dies genutzt, um die E-Mail-Adressen von 114.000 iPad-Besitzern zu sammeln. Dazu wurde ein kleines PHP-Skript geschrieben, welches mit der Bruteforce-Methode (Durchprobieren) kontinuierlich SIM-IDs an die Anwendung sendet und E-Mail-Adressen empfängt. Zusätzlich wurde der User-Agent des Rechners manipuliert, um gegenüber dem AT&T-Server ein iPad zu simulieren.
Update: Mittlerweile ermittelt das FBI gegen die Hacker-Gruppe mit dem Namen „Goatse“. Unter den E-Mailadressen befanden sich auch solche von ranghohen Pentagon-Beamten.
Kommentar hinzufügen