27.02.2009
Ein Universitätsprofessor aus New Hampshire, der an Peer-to-Peer-Netzwerken forscht, hat mehrere zehntausend frei verfügbare Patientenakten gefunden. Ein paar Klicks in einer P2P-Suchmaschine brachten die Daten zum Vorschein. Sie reichen von AIDS- über Krebspatienten bis hin zu Menschen mit psychischen Leiden.
Unter den Torrent-Dateien fand sich auch eine Datenbank mit insgesamt 20.000 Krankenakten, die vornehmlich aus vier größeren Kliniken stammte. Sie enthielt Namen, Sozialversicherungsnummer, Versicherer und Diagnosen.
Die Daten sind noch immer verfügbar und könnten für medizinischen Betrug oder Identitätsdiebstahl missbraucht werden.
Kommentar hinzufügen
17.02.2009
Ein Bankkunde der Düsseldorfer Stadtsparkasse hat sein Konto beim Online-Banking gelöscht. Allerdings konnte er sich weiterhin anmelden – nur erhielt er dabei einen Einblick in das Konto einer anderen Kundin. Überweisungen sollen jedoch nicht möglich gewesen sein. Laut Aussage der Bank sei der Fehler dadurch entstanden, daß ein „Vorgang nicht ordnungsgemäß abgeschlossen” wurde – was man auch immer sich darunter vorstellen soll.
Kommentar hinzufügen
16.02.2009
Das NDR-Fernsehen hat auf eine Sicherheitslücke des Verlagshauses Madsack hingewiesen. Auf den Internetseiten waren „unter bestimmten Umständen” (Pressemeldung) Zugriff auf die Kundendaten (einschl. Kontoverbindung) mehrerer Abonnenten möglich. Zu Madsack gehören Zeitungen wie „Neue Presse”, „Hannoverschen Allgemeinen Zeitung”, „Leipziger Volkszeitung” und „Göttinger Tageblatt”. Der Datenschutzbeauftragte aus Schleswig-Holstein Dr. Thilo Weichert stuft das Sicherheitsloch als massiv ein.
Nach Aussage der Zeitung wurde die Lücke bereits wieder geschlossen. Ein Mißbrauch soll nicht festgestellt worden sein.
Kommentar hinzufügen
11.02.2009
Die Zeitung „Computer Bild” hat ein Datenleck publiziert – und zwar lag die Bewerberdatenbank der sechsten Staffel zu „Deutschland sucht den Superstar” offen zugänglich im Netz. Ursache hierfür sei eine SQL-Injektion gewesen. Nach Hinweisen der Zeitung wurde die Lücke verschlossen.
Leider gibt es zu dieser Panne keine weiter Berichterstattung, so daß diese Meldung mit Vorsicht zu genießen ist.
Kommentar hinzufügen
08.02.2009
Am Sonntag wurde einer Düsseldorfer Lokalzeitung ein USB-Stick zugespielt. Der enthielt Namen, Adressen und Befunde von 1064 Patientinnen, die sich einer Brustoperation unterzogen hatten.
Der Sohn des Finders hatte den USB-Stick angeblich in einem Elektronik-Fachmarkt erworben. Beim Versuch Musikdateien auf den Stick aufzuspielen sei dieser ungewöhnlich schnell voll gewesen. Der betroffene Arzt und sein Mitarbeiter, sowie der Betreiber des Ladens gaben an sich den Vorfall nicht erklären zu können. Mittlerweile ermittelt die Staatsanwaltschaft.
1 Kommentar
08.02.2009
In die Datenbank des amerikanischen Webservers des Sicherheitsspezialisten Kaspersky konnte mittels einer SQL-Injektion eingedrungen werden. Eine Hackergruppe veröffentlichte dazu als Nachweis eine Liste aller Tabellen. Betroffen sind Nutzertabellen, Aktivierungscodes, Fehlerlisten, …
Kommentar hinzufügen
06.02.2009
In der Oberpfalz ist ein sensibles Datenleck entdeckt worden: beim Bildungsträger Kolping waren sensible Daten von ca. 1700 Erwerbslosen im Internet öffentlich abrufbar und änderbar gewesen. Bei den Datensätzen zählten Name, Status (Bezug von Arbeitslosengeld oder Sozialhilfe), Zielberuf, Identifikationsnummer (neudeutsch: Kundennummer) sowie Anmerkungen.
Der Stern veröffentlichte anonymisiert einige dieser abrufbaren Anmerkungen :
- „psychisch nur mäßig belastbar”
- „Bewerbung von Rechtsschreibfehlern überhäuft”
- „einen sehr ungepflegten Eindruck”
- „Familienproblematik”
- „Herzproblem”
- „chronischen Entzündung der Bauchspeicheldrüse”
Das Arbeitsamt vermittelt lediglich Fortbildungsmaßnahmen, eben wie an diesen Träger „Kolping Berufshilfe” und erwartet von diesen eine Rückmeldung. Laut einer Sprecherin des Arbeitsamtes werden allerdings nicht solche Informationen erwartet, sondern lediglich eine „Erfolgsbeobachtung über die Teilnehmer”.
Die Ursache des Lecks sei ein „hausinternen Programmierfehler” – was immer man darunter verstehen mag. Die Brisanz des Falles erstreckt sich jedoch nicht nur auf die eigentliche technische Panne, sondern auch auf die Praxis der bei Kolping erfaßten Daten.
Kommentar hinzufügen
02.02.2009
Wer Kunde beim Internetanbieter 1&1 ist, konnte in den vergangenen Tagen nicht nur den eigenen Einzelverbindungsnachweis ansehen, sondern auch denen anderer Kunden. Möglich wurde dies über eine Manipulation der URL. Entdeckt wurde diese Lücke durch einen Nutzer von tecChannel bereits am 2.2.2009, der Anbieter sperrte zwischenzeitlich den Einzelverbindungsnachweis und hat am 5.2. die Lücke beseitigt. Nach Aussagen des Anbieters wurde diese Lücke jedoch nicht mißbräuchlich genutzt.
Kommentar hinzufügen
27.01.2009
Einen Telefonanschluss kann man bei der Telekom praktischerweise auch online anmelden. Dazu füllt man ein HTML-Formular aus und schickt es ab. Danach erhält man einen Downloadlink, von dem man alle Daten als PDF herunterladen kann.
„Alle” Daten ist in diesem Fall nicht übertrieben. Der Link enthielt eine Zahl. Wurde diese verringert, so konnten problemlos die Daten anderer Neukunden, so genannter „Rückkehrer”, abgerufen werden.
Die PDFs enthielten alle von den Neukunden gemachten Angaben, also Name, Adresse, bisheriger Telekommunikationsanbieter, sowie öffentliche und nicht öffentliche Telefonnummern.
Der Konzern mit dem magentafarbenen T wurde vom Magazin Stern auf das Leck aufmerksam gemacht und meldete es sofort dem Bundesdatenschutzbeauftragten. Der Fehler wurde noch am Freitag, den 23.Januar behoben. Bis zu diesem Zeitpunkt waren geschätzte 500 bis 1000 Personen betroffen.
Kommentar hinzufügen
26.01.2009
Auch wenn das amerikanische Milität mittlerweile die Nutzung von tragbaren USB-Sticks untersagt hat, tauchte ein etwa drei Jahre alter USB-Stick auf eBay auf. Ein Neuseeländer ersteigerte ihn für 18 Dollar. Enthalten waren unter anderen Mobilfunknummern von Soldaten, Auflistungen über Materiallieferung sowie ein Missionspapier.
Kommentar hinzufügen