Alle Datenpannen aus Deutschland, in denen es um Persönliche Angaben geht
15.07.2011
Eher unfreiwillig gibt die „Deutsche Burschenschaft” Einblicke in ihre Arbeit und ihr Positionen. Unbekannte spielten mehr als 3000 Seiten mit Sitzungsprotokollen, internen Dokumenten und Strategiedokumenten der letzten 11 Jahre der Presse zu. Spiegel und Indymedia veröffentlichen einen Teil dieser Unterlagen.
Kommentar hinzufügen
08.07.2011
Eine Gruppe von Crackern hat Daten im Internet veröffentlicht, welche sie von einem Server der Bundeszollverwaltung kopiert hatten. Wie die Bundespolizei bestätigte, handelt es sich dabei um unverschlüsselte Passwörter sowie Software und Protokolldaten für die GPS-Überwachung von Fahrzeugen, welche die Bundespolizei für den Zoll zur Verfügung gestellt hat. Bei den Bewegungsprofilen kann man nur hoffen, dass es sich um einen Feldversuch des Zolls handelt und nicht um die GPS-Daten aus echten Ermittlungsverfahren. Für die Behörde könnte dies äußerst peinlich werden, wenn Rechner mit solchen sensiblen Daten über das Internet erreichbar wären.
Die Cracker sehen ihren Angriff als Protest gegen die Vorratsdatenspeicherung und andere moderne Überwachungstechnologien. – Und in der Tat: Man möchte sich ungern vorstellen, dass es sich um einen Server mit Vorratsdaten (von ihren Verfechtern auch „Mindestdaten“ genannt) handelt.
Nachtrag vom 11.07.2011: Bei den Geodaten handelte es sich einesteils um Testläufe und andernteils um tatsächliche Observationen. Die Bewegungsprofile wurden mittlerweile anschaulich auf einer Karte visualisiert, wobei diese die Bewegungen der einzelnen Observationsziele nicht getrennt darstellt. Außerdem wurden mit diesen Daten die Telefonnummern der GPS-Tracker veröffentlicht. Es handelt sich hier um Wanzen mit SIM-Karte, die ähnlich einem Mobiltelefon funktionieren. Netzpolitik hat einige der Wanzen angerufen und festgestellt dass diese auch nach dem Leck teilweise noch genutzt werden können um die Verdächtigen abzuhören.
Nachtrag vom 09.01.2012: Wie die Hacker in den Server eindringen konnten beschreibt Netzpolitik.org unter dem Titel: Bundespolizei-Beamter überwacht Tochter: Was kann da schiefgehen?
Kommentar hinzufügen
27.06.2011
Wie der Blogger aesthetico herausfand, war es auf mehreren Internetseiten der SPD Sachsen möglich detailierte Nutzerstatistiken ohne Passwortschutz einzusehen. Mal ganz abgesehen von der Legalität solcher Statistiken waren folgende Daten öffentlich zugänglich:
- Datum und Zeit,
- IP-Adresse,
- Nickname und vollständiger Name des Benutzers, sofern vorhanden,
- Browserkennung (User Agent),
- Herkunftsseite des Besuchers und
- besuchte Seiten im SPD-Internetangebot
Die Datensätze reichen zurück bis ins Jahr 2009.
Kommentar hinzufügen
26.06.2011
BBI steht für Berlin Brandenburg International, den Planungsnamen des neuen Flughafens Berlin Brandenburg. Interessenten konnten sich parallel zum Flughafenfest über eine Internetseite für den Probebetrieb bewerben.
Statt Anmeldungen entgegen zu nehmen, zeigte die Internetseite allerdings zeitweise die Anschriften der bereits registrierten Testpersonen an. Die Webseite wurde nach Bekanntwerden des Problems abgeschalten.
Kommentar hinzufügen
22.06.2011
Online-Kunden der Elektronikkette K&M wunderten sich zuletzt über ein erhöhtes Spamaufkommen. Die Kunden erhielten auch Phishing-Mails, welche auf eine Seite des Marktes verwiesen und dort, durch ein über eine Sicherheitslücke eingebundenes Java-Applet, ein Trojanisches Pferd auf dem Rechner der Betroffenen installierten. Wie daraufhin durch Recherchen von Heise Security bekannt wurde, waren Cracker bereits im Mai 2011 in den Online-Shop eingedrungen und hatten die gesamte Kundendatenbank kopiert. Sie gelangten so mindestens in den Besitz von Post- und E-Mailadressen der Online-Kunden.
Bereits 2009 wurde eine Sicherheitslücke ausgenutzt, um die Datenbank zu kopieren. Die Firma scheint es mit der Sicherheit ihrer Kundendaten nicht so genau zu nehmen. Die Information der Kunden erfolgte verspätet und nur über die Facebook-Seite.
Kommentar hinzufügen
22.06.2011
Wie durch Recherche von Heise Security bekannt wurde, hatten Kriminelle bereits im November 2009 die gesamte Online-Kundendatenbank des Elektronikanbieters K&M Elektronik von einem Server kopieren können. Da die Sicherheitslücke wahrscheinlich nicht geschlossen wurde, war der Fall jetzt durch einen erneuten Einbruch in das System ans Licht gekommen.
Kommentar hinzufügen
22.06.2011
Für den Einzug der KFZ-Steuer im Rahmen des elektronischen Lastschriftverfahrens wird der Bank der Name, das KFZ-Kennzeichen und die zu zahlende KFZ-Steuer übermittelt. In Baden-Württemberg hat die Finanzverwaltung unbeabsichtigt weitere Daten wie Steuernummern, Umsatzsteuern sowie Angaben zur Religionszugehörigkeit übermittelt. Der Fehler entstand am 17.06. aller Voraussicht nach in Folge eines Software-Updates. Am 20.06. wurde die Lücke erkannt und geschlossen.
Der Datenschutzbeauftragte des Landes, Jörg Klingbeil, bemängelte den unzureichenden Test:
Vor dem Einsatz neuer Software, auch bei sog. Updates, ist es unerlässlich, diese in jedem Fall gründlich und gewissenhaft zu testen. Die Freigabe neuer Software darf zudem nur im Mehr-Augen-Prinzip erfolgen. Dies gilt ganz besonders im Zusammenhang mit den sensiblen Steuerdaten
Kommentar hinzufügen
21.06.2011
Bei der Postbank hat am 20. Mai ein Mitarbeiter eine E-Mail mit Werbung für eine Geldanlage an 70 potentielle Kunden geschickt – und diese mit dem Vermerk „vertraulich” gekennzeichnet. Allerdings waren in der E-Mail die Absender für die jeweils anderen einsehbar gewesen. Aufgefallen ist diese Panne dadurch, als sich eine Frau bei der nordrhein-westfälischen Datenschutzbehörde beschwerte.
Kommentar hinzufügen
14.06.2011
Den meisten Dresdnern ist der Name vermutlich noch ein Begriff: Marwa El Sherbini. Die Ägypterin wurde im Juli 2009 nach einer Zeugenaussage im Dresdener Landgericht von dem beklagten Deutschrussen Alex W. mit einem Messer ermordet. Der darauf folgende Gerichtsprozess verursachte ein großes Medienecho. Nun wurde bekannt, dass die Akkreditierungsliste der rund 100 Journalisten mit Namen, Geburtsdaten, Adressen, Personalausweis- und Presseausweisnummern für einige Tage im Internet öffentlich zugänglich war. Das Datenleck wurde kurz nach Bekanntwerden geschlossen.
Kommentar hinzufügen
03.06.2011
Beim Telefonanbieter o2 konnte man neben dem Abschließen von Telefonvertragen auch an Gewinnspielen teilnehmen oder Freunde informieren. Doch beide Funktionen hatten eine kleine Panne: wer die Formulare öffnete, erhielt bereits vorausgefüllte Formulare – allerdings mit den Daten anderer Kunden vorausgefüllt. Beim Neuladen des Formulares wurden stets andere Datensätze dargestellt. Nach Bekanntwerden des Lecks wurde das Leck binnen 1 Stunde geschlossen.
Kommentar hinzufügen
