11.08.2008
Die Verbraucherzentrale Schleswig-Holstein hat ein Datenleck aufgedeckt, in dem eine CD mit personenbezogenen Daten wie Namen, Telefonnummern, Geburtsdaten sowie komplette Kontoverbindungen von 17.000 Verbrauchern im Umlauf ist.
Vorausgegangen sind zahlreiche Beschwerden über unerwünschte Anrufe. Bei der Analyse der Beschwerden stellte sich heraus, daß viele zuvor die Lose der Süddeutschen Klassenlotterie (SKL) per Kontoabbuchung bezahlt hatten. „Die Namen der Exceldateien weisen auf die Süddeutsche Klassenlotterie (SKL) hin”, so die Verbraucherzentrale.
Kommentar hinzufügen
08.08.2008
Und wieder ein weiterer Fall britischer Datenpannen: aus einem Auto wurden neben einem Notebook USB-Sticks entwendet. Auf diesen waren Daten von Kindern enthalten, die sich an einer TV-Kochsendung „Gastronuts” beworben haben. Neben persönlichen Angaben waren Telefonnummern und Urlaubstermine gespeichert.
Kommentar hinzufügen
05.08.2008
Um die „Strapazen” an den amerikanischen Flughäfen für Kunden zu vereinfachen, gibt es Unternehmen, die durch Vorabüberprüfungen Erleichterungen bei den Sicherheitskontrollen anbieten. Einer dieser Anbieter heißt „Verified Identity Pass (VIP)” und bietet seine sogenannte Dienstleistung „Clear” an 17 Flughäfen in den Vereinigten Staaten an.
Nun ist einer der Laptops verloren gegangen, wie die US-Transportation Security Administration (TSA) am 05.08.2008 bestätigte. Auf diesem Gerät befanden sich sensible Daten von 33.000 Personen in unverschlüsselter Form.
Sanktionen gibt es für das Unternehmen in soweit, daß das Unternehmen die betroffenen Passagiere über den Verlust informieren muß und neue Kunden erst dann aufgenommen werden dürfen, wenn die Daten verschlüsselt werden.
Kommentar hinzufügen
29.07.2008
Unbekannte Täter haben einen Lieferwagen, der gerade Blanko-Dokumente für Pässe und Visa beförderte, überfallen. Das Außenministerium räumt ein, daß ein „schwerwiegender Verstoß gegen Sicherheitsbestimmungen” diesen Diebstahl erst ermöglicht hatte.
Auch wenn es sich hierbei nicht direkt um eine Datenpanne handelt – es waren schließlich Blanko-Dokumente – hätte so ein Fall auch mit bedruckten Ausweisen passieren können.
Kommentar hinzufügen
04.07.2008
Über eine Sicherheitslücke waren im firmeninternen Netz des Marktforschungsinstituts TNS Infratest/Emnid rund 41000 persönliche Datensätze über 4000 freie Mitarbeiter einsehbar. Um in das System einzudringen war allerdings ein Passwort nötig, so dass die Mitarbeiter nur untereinander ihre Daten einsehen konnten.
Das Passwort war dem Chaos Computer Club zugespielt worden, der die Sicherheitslücke aufdeckte. Das Hamburger Abendblatt berichtete über den Fall:
Konkret konnten Namen, Anschriften, Geburtsdatum, E-Mail-Adressen und Telefonnummern von Mitarbeitern eingesehen werden. Bei vielen Personen seien zudem Monatseinkommen, Kontoverbindungen, Krankenversicherungsdaten und Kreditkarteninformationen zugänglich gewesen.
Nachtrag:
Laut Chaos Computer Club handelte es sich nicht um 4000 freie Mitarbeiter, sondern um 40000 Personen, die sich für das Institut für Umfragen zur Verfügung stellen. Die Daten waren scheinbar doch nicht passwortgeschützt, sondern konnten einfach mit Kenntnis der URL erreicht gewesen. Außerdem sollen die Datensätze sehr detailliert werden (etwa auch eine Auflistung der Haushaltsgeräte im Besitz dieser Personen). Die Presse sei von TNS falsch informiert worden.
Kommentar hinzufügen
02.07.2008
Eine neue Methode zum Erlangen von Bank-PINs erprobten Hacker zwischen Herbst 2007 und Frühjahr 2008 in den USA. Üblicherweise werden die Identifikationsnummern entweder direkt am Bankterminal oder beim Online-Banking abgegriffen, da sie in allen anderen Situationen theoretisch verschlüsselt sind. Theoretisch, denn wie wenig Wert die Banken auf eine sichere Infrastruktur legen erkennt man daran, dass es den Hackern gelang die PINs direkt aus dem Geldautomatennetz der Citibank im Klartext auszulesen.
Die Hacker hatten einen Wartungskanal geknackt, mit dem sie Zugriff auf ein Netzwerk aus 5.700 bei der US-Handelskette 7-Eleven aufgestellten Bargeldautomaten hatten. Mit den PINs erbeuteten die Täter über 2 Millionen US-Dollar. Der tatsächliche Schaden dürfte aber deutlich höher sein, da die Täter zuvor 70% ihrer Abbuchungen nach Russland verbrachten.
Kommentar hinzufügen
23.06.2008
Report München war Kriminellen auf der Spur, die mit falschen Identitäten handeln. Dabei stießen die Redakteure auf ein riesiges Datenleck bei einigen deutschen Meldebehören. Die verwenden zum Großteil eine Software des Herstellers HSH Soft- und Hardware Vertriebs GmbH zur Verwaltung der Melderegister. Standardmäßig ist diese Software mit einem Beispiel-Account ausgestattet, welcher ausgerechnet Root-Rechte (Superuser) hat. Da in vielen Behörden offensichtlich nicht ausreichend Personal mit technischem Know-How zur Verfügung steht wurde die Software nicht korrekt eingerichtet. Der Root-Account blieb bei einigen Behörden erhalten und das Passwort wurde nicht geändert.
Das allein wäre wahrscheinlich schon ein Skandal, da dann Mitarbeiter aus fast allen deutschen Meldebehörden über das Internet Zugriff auf die betroffenen Melderegister hätten. Aber damit nicht genug: Die Firma HSH hatte die Zugangsdaten zu diesem Beispielaccount zu Demonstrationszwecken auf ihrer Internetseite veröffentlicht. Damit war es jedem möglich auf die Melderegister lesend und schreibend zuzugreifen, sowie neue Benutzeraccounts anzulegen. Das Datenleck ist also nicht damit beseitigt, dass die betroffenen Behörden jetzt das Passwort geändert haben, da sich Kriminelle möglicherweise bereits eine Hintertür (also einen anderen Account) eingebaut haben. Zudem ist die Integrität der betroffenen Melderegister nicht mehr gewährleistet.
Peter Schaar, Bundesbeauftragter für den Datenschutz (Interview Report München):
Also, ich denke mal, ganz klar ist, dass überall dort wo diese Software eingesetzt wird, eine Revision der Systeme erforderlich ist. Und man wird dann entscheiden müssen, ob es ausreicht, die Passwörter […] zu ändern, oder ob hier generell noch einmal neu angefangen werden muss mit der Installation solcher Systeme.
Zu den Meldedaten gehören laut Wikipedia :
- Familiennamen, frühere Namen, Vornamen
- Doktorgrad, Ordensnamen/Künstlernamen
- Tag und Ort der Geburt, Geschlecht
- gesetzlicher Vertreter
- Staatsangehörigkeit(en)
- Religionszugehörigkeit
- gegenwärtige und frühere Anschriften
- Familienstand, Ehegatte oder Lebenspartner, Kinder
- Ausstellungsbehörde, Datum und Gültigkeitsdauer des Personalausweises/Passes
- Übermittlungssperren (z.B. bei Gefahr für Leben, Gesundheit oder persönliche Freiheit)
- Sterbetag und -ort
- Tatsache, dass der Betroffene vom Wahlrecht ausgeschlossen ist
- steuerrechtliche Daten
- Passversagungsgründe, Entzug des Ausweises
Kommentar hinzufügen
11.06.2008
Ein Fahrgast hatte in einem Zug bei London Dossiers des britischen Geheimdienstes entdeckt, welche Angaben zum Zustand der irakischen Armee und Informationen über den islamistischen Terrorismus enthielten. Den siebenseitigen streng geheimen Bericht gab er bei der BBC ab. Ein hoher Regierungsbeamter muss ihn im Zug vergessen haben.
Kommentar hinzufügen
01.06.2008
Die amerikanische „Bank of New York Mellon” bestätigte Ende Mai den Verlust eines Datenbandes, auf dem Daten von ca. 4,5 Mio Bankkunden enthalten waren. Es soll bei einem Transport durch das Transportunternehmen „Archive America” drei Monate zuvor abhanden gekommen sein. Die Daten auf dem Band, u.a. Namen, Geburtsdaten und Sozialversicherungsnummern, waren unverschlüsselt.
Kommentar hinzufügen
27.05.2008
Ein Mitarbeiter der Otto-von-Guerike-Universität Magdeburg wollte am Wochenende zu Hause arbeiten und hatte deshalb die Daten von rund 44000 (ehemaligen) Studenten auf einen öffentlichen Server der Universität kopiert. Da er vergessen hatte diese zu löschen waren sie dort 10 Tage lang abrufbar und auch über Google zu finden.
Die Datensätze enthielten Name, Geburtsdatum, Anschrift, Telefonnummer und Herkunft der Studenten. Nach Bekanntwerden wurden die Studenten per E-Mail von dem Vorfall informiert und die Daten sofort vom Server und kurz darauf aus dem Google-Cache gelöscht. Allerdings ist Google nicht der einzige Bot, der Internetseiten archiviert. Fraglich ist außerdem, ob die Daten zuvor bereits von Kriminellen kopiert wurden.
Kommentar hinzufügen