[Datenpannen und Identitätsdiebstahl...]

[Textaris(txt*bot)]

[...] Bei der britischen Telekom-Tochter T-Mobile ist ein Datenskandal aufgedeckt worden. Datensätze tausender Kunden seien von Angestellten an Zwischenhändler verkauft worden, teilte ein Sprecher des Unternehmens mit. Millionen von Einträge – Namen, Adressen, Telefonnummern und zentrale Vertragsinformationen – seien ohne Wissen von T-Mobile weitergegeben worden. Demnach handelte es sich um Kunden, deren Vertrag bald auslief und die die Konkurrenz abwerben wollte.

Die Telekom hatte in den vergangenen Wochen auch mit diversen Datenskandalen in Deutschland zu kämpfen, bei denen ebenfalls Kundendaten der Telekom über Vertriebspartner entwendet und missbraucht wurden.

T-Mobile habe die Telekommunikationsbehörde ICO über den Verstoß gegen das Datenschutzgesetz informiert, "als es offensichtlich wurde, dass Informationen über Vertragsverlängerungen an Dritte weitergegeben wurden", sagte der Sprecher. Die Tochter der Deutschen Telekom bedauere den Diebstahl der Daten "zutiefst". Mit dem Problem der illegalen Datenweitergabe hätten auch Konkurrenten zu kämpfen.

Nach Angaben der Behörde verkauften die Zwischenhändler die Daten an die Wettbewerber der Telekom-Tochter weiter. Es gehe um erhebliche Summen. Gegen die Verdächtigen solle rasch Anklage erhoben werden.

ICO und T-Mobile hatten erst vereinbart, den Datenskandal nicht öffentlich zu machen. ICO-Chef Christopher Graham beschwerte sich jedoch in einer Vorlage an die Regierung, dass das Strafmaß von 5000 Pfund (derzeit 5600 Euro) für Datenverstöße zu gering sei – und nannte in der BBC am Dienstag den Fall als Beispiel. Er wolle keine Namen nennen, um das Gerichtsverfahren nicht zu beeinträchtigen. Alle Mobilfunkanbieter außer T-Mobile bestritten, der Schuldige zu sein.

...

18. November 2009 14:18
Ich freu mich auf die PKW-Maut und Gesundheitskarte ...
lamilu (802 Beiträge seit 25.07.08)

Bankdaten sind, siehe Lichtenstein und jetzt Kreditkarten, schon
lange Allgemeingut. Dank der Vorratsdatenspeicherung und der
öffentlich zugänglichen Kundendaten, wie man heute gerade bei
T-MobileUK wieder sehen kann, ebenfalls öffentliches Gut. Daß die
Bahn Kundendaten und sogar deren Bankverbindungen abgleicht ist auch
nicht neu. Und dank der Arbeitsagentur kann man ebenfalls alle
arbeitslosen HartzIV-Empfänger lokalisieren, man muß sich nur als
personalsuchender Arbeitgeber einmelden.
Ja, momentan gibt es nur noch Wissenslücken bezüglich meiner
Gesundheit, man müßte sich bei meinem Hausarzt einloggen und meiner
PKW-Fahrten - wenn nicht gerade mal in Hessen mein Kennzeichen
gescannt wird, kann ich noch relativ unauffällig rumfahren. Sobald
eine OBU auch bei mir eingebaut ist, wird das Abrechnen der
Steuerpauschale bei der Einkommenssteuer auch viel einfacher. Vor
allem kann ich dann auch bald mit der ersten Personenbezogenen Mails
aufgrund meines Bewegungsprofiles rechnen, die mich gezielt auf am
Wegesrand liegende für mich interessante Zielpunkte hinweisen. Denn
Dank meiner Gesundheitsdaten kann die richtige Wellnesklinik genauso
genannt werden, wie auch der Elektronikmarkt mit den von mir
bevorzugten Geräten. Und dank meiner Spuren im Internet bekomme ich
sogar die Etablisemts genannt welche meine bevorzugten Praktiken
anbieten.

...

Aus: "Datenskandal bei T-Mobile UK" (18.11.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenskandal-bei-T-Mobile-UK-862340.html

[Textaris(txt*bot)]

[...] das Gesetz zur eAuskunft schreibt vor, dass man nicht nach der Tätigkeit alleine suchen darf. Deshalb fehlt diese Funktion auch in der eAuskunft. Wir haben nach einzelnen Tätigkeiten gesucht, die uns etwas heikel vor kamen. Alleine aus den Suchbegriffen “Prostitution”, “Begleit-Service” (Davon sind manche auch nur Senioren-Begleitung, etc.) und “Erotik” haben wir knapp 1850 Datensätze heraus gefischt.

...

[...] Einzelne Personen, die z.B. legal ein Gewerbe auf Prostitution angemeldet haben, konnten wir auch in sozialen Netzwerken als Privatperson entdecken, wo nichts von ihrer Berufstätigkeit zu finden war. Mit der Liste hätten wir auch problemlos ein Google -Maps Mash-Up bauen können, wo auf einer Berliner Landkarte die Standorte aller legal angemeldeten Prostituierten angezeigt werden.

...

#  Simon
Dez 13th, 2009 @ 11:27

Was ist an Prostitution so schlimm? Das ist ein anerkannter Beruf und die Kundschaft ist hoch. Viele Manager und Politiker nehmen die Dienste von Prostituierten in Anspruch.

#  sm
Dez 13th, 2009 @ 23:05

... Dass Betriebe sich der Veröffentlichung entziehen können, wäre für mich eher der Skandal als diese Sache hier.

#  Marc
Dez 13th, 2009 @ 11:40

...

Transparenz heißt nicht, dass man seine Daten überall herumschleudern muss … Oder es zulassen muss.

#  Nimsa
Dez 13th, 2009 @ 12:40

@sm

Das Problem ist, daß die Tätigkeitsbeschreibung nicht im Wissen abgegeben wird, daß diese im Web erscheint, resp. dort durchsuchbar ist. Da stehen echt die kuriosesten Sachen drin. Ist ja nur für die Verwaltung gedacht.

Aus: "Datenleck bei der Berliner Online-Gewerbeauskunft"
von markus um 10:00 am Sonntag, 13. Dezember 2009
Quelle: http://www.netzpolitik.org/2009/datenleck-bei-der-berliner-online-gewerbeauskunft/


-.-

[...] Bei der Berliner Online-Gewerbeauskunft gibt es laut einem Bericht des Online-Magazins Netzpolitik.org eine Datenpanne, von der rund 350.000 Unternehmen betroffen sind. Kritisiert wurde das "riesige Datenleck" am Sonntag auch von der Grünen-Fraktion im Berliner Abgeordnetenhaus. Die Senatsverwaltung für Wirtschaft hat unterdessen angekündigt, das Problem zu prüfen.

"Mit nur geringem Aufwand wurde jetzt die gesamte Gewerbeauskunft ausgelesen und die Daten Netzpolitik.org zugespielt", sagte der Grünen-Sprecher für Datenschutz, Benedikt Lux, am Sonntag in einer Pressemitteilung. So sei etwa die Datenbankrecherche nach Tätigkeitsfeld möglich, was laut Gewerbeordnung nicht erlaubt sei. In bestimmten Gewerbebereichen – etwa bei erotischen Dienstleistungen – sei das heikel. Zudem könnten die Angaben mit anderen Daten im Netz verknüpft werden. Lux zufolge wäre es "ein Leichtes gewesen, Sicherungen gegen das automatische Auslesen von Datenbanken einzubauen".

Das Magazin Netzpolitik.org hat die Senatsverwaltung für Wirtschaft auf das Problem hingewiesen. "Wir nehmen die Datensicherheit sehr ernst und werden den Fall genau prüfen", sagte Sprecher Stephan Schulz am Sonntag. Die Hinweise seien seit Freitag bekannt. Schulz hofft, in der kommenden Woche genauere Aussagen machen zu können. Die Datenbank werde aber vorerst nicht vom Netz genommen. (dpa) / (anw)

Aus: "Bericht: Datenpanne bei Berliner Gewerbeauskunft" (14.12.2009)
Quelle: http://www.heise.de/newsticker/meldung/Bericht-Datenpanne-bei-Berliner-Gewerbeauskunft-884550.html

[Textaris(txt*bot)]

[...] Unbekannte Täter haben sich Zugriff auf die Datenbestände des Mailing-Dienstleisters AWeber Communications verschafft. Kurz vor Weihnachten gestand das Unternehmen aus dem US-Bundesstaat Pennsylvania den Lesern seines Blogs, dass vermutlich eine Bande aus Übersee Listen von E-Mail-Adressen abgegriffen habe, die AWeber-Kunden für deren Newsletter-Aussendungen hinterlegt hatten.

Wann und wie lange die nach eigenen Angaben inzwischen geschlossene Sicherheitslücke existierte, ließ AWeber offen. Das eigene Versandsystem sei nicht missbraucht worden. Man habe jedoch Hinweise darauf erhalten, dass bereits einige der ehemals intern vorgehaltenen Mailadressen zum Ziel von Spam-Aussendungen Dritter geworden seien. Laut AWeber sind ausschließlich Mailinglisten betroffen, also E-Mail-Adressen von Werbeempfängern, und keinerlei andere persönliche Daten wie Kreditkartennummern. Auch die Daten der Auftraggeber seien nicht in falsche Hände geraten, beruhigt das Unternehmen seine Kunden.

Dennoch dürfte denen nun eine unruhige Zeit bevorstehen. Sie müssen den Empfängern der eigenen Mailings erklären, warum sie eventuell plötzlich ganz andersartige und viel mehr Werbung erhalten. Wie viele Mail-Anwender letztlich betroffen sind, ist noch offen. Die Branchenbeobachter von Deliverability.com vermuten, dass es sich um den bisher schwerwiegendsten Fall dieser Art handelt. (un)

30. Dezember 2009 04:41
@Heise.de macht mal einen Einkauf bei www.conrad.de, dort schiebt
ma. (67 Beiträge seit 08.08.07)

man dem Kunden Vertragsklauseln unter, die das Abfließen der Daten
heimtückisch legalisieren.

Während beim Einloggen/Adresseingabe noch mit
"Ihre persönlichen Daten werden SSL-verschlüsselt übertragen und
nicht an Dritte weitergegeben." der Kunde beruhigt wird,
nickt der Kunde unfreiwillig in den AGB dann den Verkauf seiner Daten
ab:

"13.3
Wir behalten es uns vor, anderen Unternehmen in zulässiger Weise Ihre
Daten zur postalischen Versendung von Informationsmaterial zu
überlassen und behalten uns vor, diese postalisch auch zu eigenen
Werbezwecken zu nutzen. ..."

Verärgert habe ich conrad.de zum Löschung meiner Daten aufgefordert.
Das hat man dann angeblich auch gemacht.
Jedoch, ein Einkauf nach 2 Monaten in einem  Conrad-Geschäft vor Ort
zeigte dann, dass meine Daten sehr wohl noch in der Conrad-EDV sind.

Vielleicht haben Sie ja Lust das Kundenunfreundliche Verhalten von
Conrad öffentlich zu machen.

30. Dezember 2009 06:46
Re: @Heise.de macht mal einen Einkauf bei www.conrad.de, dort schiebt
Doronava (mehr als 1000 Beiträge seit 05.11.02)

Deine Kundendaten dürfen die nicht einfach
löschen. Auch wenn du das 100x verlangst.

Denn wie du vielleicht weisst, muss ein
Unternehmen(und nicht nur) alle geschäftlichen
Vorgänge und Unterlagen(und dazu gehören eben
auch alle Käufe die du bei Conrad getätigt
hast...inkl. deiner Kundendaten) bis zu
10 Jahre aufbewahren.
Das ist gesetzlich vorgeschrieben.
Damit der Fiskus überprüfen kann, ob Conrad
auch schön brav und korrekt seine Steuern zahlt.

Du kannst nur der Weitergabe deiner Daten an
Dritte widersprechen und dir unerwünschte Werbung
verbitten. Ansonsten hilft nur:  10 Jahre lang nix
mehr bei Conrad kaufen...dann verschwindest du von
ganz  alleine aus deren Datenbestand.

Und das ist nicht nur bei Conrad so, sondern bei *jeder*
Firma, bei der du mal irgend einen Geschäftsvorgang
ausgelöst hast.Und sei es auch nur der Supermarkt um
die Ecke, bei der du einen Einkauf mit deiner EC-Karte
bezahlt hast. Auch dort bist zu 10 Jahre lang gespeichert.

30. Dezember 2009 14:38
welche Weitergabe ist denn "zulässig"?
bgks (mehr als 1000 Beiträge seit 10.02.03)

> Ja, ist aber doch schon ein Ding, dass man da erst widersprechen
> muss, oder? Ich finde generell, da läuft was falsch.

findet der Gesetzgeber ganz generell auch, was das "in zulässiger
Weise" auf in etwa null reduziert. Genau deswegen mußt du da nicht
extra widersprechen. Ist in gewisser Weise technikermäßig
überkorrekt, daß sie überhaupt fragen.

Aus: "Marketing-Dienstleister ließ Daten abfließen" (29.12.2009)
Quelle: http://www.heise.de/newsticker/meldung/Marketing-Dienstleister-liess-Daten-abfliessen-893650.html

[Textaris(txt*bot)]

[...] Es geht um einen der größten Datenskandale in der Geschichte Deutschlands. Als die WirtschaftsWoche im Dezember 2008 aufdeckte, dass auf dem Schwarzmarkt die Daten und Kontoverbindungen von 21 Millionen Deutschen vagabundieren, gab es erste Hinweise auf gravierende Lücken bei der Deutschen Telekom (WirtschaftsWoche 50/2008). Inzwischen gehen Experten davon aus, dass große Teile des Datenbestandes des Konzerns in Deutschland – 39 Millionen Mobilfunk-, 27 Millionen Festnetz- und 11 Millionen Internet-Kunden – in irgendeiner Form in dubiose Hände geraten sind. Der Diebstahl und Missbrauch von 20 Millionen Kundendaten ist bereits Gegenstand von Ermittlungen der Staatsanwaltschaft Bonn.

...

Aus: "Deutsche Telekom  Telekom-Skandale: Die Ermittlungsakten der Staatsanwälte" (11.01.2010)
Michael Kroker (Düsseldorf), Jürgen Berke (Düsseldorf)
Quelle: http://www.wiwo.de/unternehmen-maerkte/telekom-skandale-die-ermittlungsakten-der-staatsanwaelte-418662/

[Textaris(txt*bot)]

FRANKFURT/BERLIN (dpa) [...] Nach Recherchen des TV-Magazins hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefonhotline betraut. Diese habe ein Subunternehmen angeheuert, das ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten von privaten Computern oder Laptops unter anderem medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei beim Schutz personenbezogener Daten offensichtlich vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen.

Die BKK Gesundheitskasse hat nach eigenen Angaben die Staatsanwaltschaft eingeschaltet. Ein unbekannter Mann habe in der vergangenen Woche telefonisch Unterlagen zum Kauf angeboten, sagte der Sprecher der Kasse. Konkrete Angaben zu den Daten seien nicht gemacht worden. Der Mann habe damit gedroht, die Unterlagen zu veröffentlichen. Auf das Angebot sei man jedoch nicht eingegangen, so der Sprecher. Wie viel Geld der Unbekannte fordert, sei nicht bekannt.

Ob tatsächlich Daten in unbefugte Hände gelangt sind, sei derzeit nicht bewiesen. Allerdings habe die Krankenkasse der Firma, die mit der Betreuung der Telefonhotline beauftragt war, den Zugang zu ihrem Rechner am Dienstag entzogen. Das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte und das Bundesversicherungsamt seien informiert worden.

Aus: "Offenbar großes Datenleck bei BKK Gesundheitskasse" (Ärzte Zeitung, 11.02.2010)
Quelle: http://www.aerztezeitung.de/praxis_wirtschaft/recht/article/588250/offenbar-grosses-datenleck-bkk-gesundheitskasse.html

[Textaris(txt*bot)]

[...] In Lettland ist eine gigantische Datensicherheitslücke bei der staatlichen Steuerbehörde aufgeflogen. Laut einem Fernsehbericht könnten Millionen sensibler Datensätze in die Hände von Internet-Kriminellen geraten sein.

Der lettische Wirtschaftsminister Einars Repse erklärte das Leck am Montag für gestopft und versprach Aufklärung. Am Mittwoch will sich das Nationale Sicherheitskomitee in Riga mit der Affäre beschäftigen.

...

Aus: "Datenleck bei lettischem Finanzamt - Freier Web-Zugriff auf Millionen Steuerdatensätze" (16.02.2010)
Quelle: http://futurezone.orf.at/stories/1639483/

[Textaris(txt*bot)]

[...] In Deutschland sollen rund 200.000 vertrauliche Kundendaten des Telekommunikationsanbieters Vodafone und weiterer Firmen über dubiose Callcenter-Betreiber auf dem Schwarzmarkt gelandet sein.

Die Daten stammten aus dem Jahr 2000 und umfassten Name, Adresse und Telefonnummer, berichtete das Wirtschaftsmagazin "Capital" unter Berufung auf Ermittlungen der Staatsanwaltschaft Bonn. Informationen über Kontodaten seien nicht in Umlauf gekommen. Datenlecks gab es "Capital" zufolge auch beim Kabelnetzbetreiber Unitymedia. Der Bonner Oberstaatsanwalt Fred Apostel bestätigte dem Magazin, dass "verschiedene Telekommunikations- und Kabelnetzanbieter betroffen" seien.

Vodafone Deutschland räumte dem Bericht zufolge ein, von den Behörden schon im November 2009 über den Datenklau informiert worden zu sein. Man habe aber bisher nichts unternommen, da die Datensätze bisher nicht übermittelt worden seien. Daher konnten betroffene Kunden nicht durch Vodafone informiert werden." Es handelt sich um Daten der Arcor AG, die 2008 von Vodafone übernommen wurde.

Dem Magazin zufolge sei zudem heikel, dass nicht die Strafverfolgungsbehörden, sondern die Deutsche Telekom den Datenmissbrauch entdeckte. Die Ermittler hatten dem Konzern Stichproben der sichergestellten Datensätze zur Prüfung zugeschickt. Erst dabei fiel auf, dass darunter auch Kunden der Wettbewerber waren. "Wir sind davon ausgegangen, dass es sich ausschließlich um Telekomdaten handelt", erklärte Staatsanwalt Apostel.

Im Oktober 2008 war der bisher größte Datenklau bei der Telekom bekanntgeworden. Dort waren im Jahr 2006 Datensätze von 17 Millionen Mobilfunkkunden entwendet worden. Der Konzern hatte damals zwar die Staatsanwaltschaft eingeschaltete, die Betroffenen aber nicht informiert.

Aus: "Datenlecks auch bei Vodafone" (15.03.2010)
Quelle: http://futurezone.orf.at/stories/1641798/

http://www.capital.de/unternehmen/100028948.html

[Textaris(txt*bot)]

[...] Unbekannte sollen aus der Konzernzentrale des Flugzeugbauers Airbus tragbare Computer mit sensiblen Daten gestohlen haben. Die Diebe drangen nachts bei dem Unternehmen im französischen Toulouse ein und entwendeten zwei Laptops, berichtete die Zeitung Le Parisien. Auf ihnen sollen sich unter anderem Baupläne und Daten zu den Flugzeugmodellen A330, A340 und A350 befunden haben.

Nach Informationen der Zeitung ist der französische Inlandsgeheimdienst DCRI eingeschaltet. Industriespionage könne nicht ausgeschlossen werden, berichtet das Blatt. Airbus hat sich dazu bislang nicht geäußert. (dpa) / (anw)

Aus: "Bericht: Unbekannte stehlen sensible Airbus-Daten" (11.04.2010)
Quelle: http://www.heise.de/newsticker/meldung/Bericht-Unbekannte-stehlen-sensible-Airbus-Daten-974970.html

[Textaris(txt*bot)]

[...] Hamburg - Die Hamburger Wochenzeitung "Die Zeit" informierte Abonnenten, dass ihre Kundendatenbank gehackt wurde. Namen, Adressen, Kontodaten von sogenannten Premium-Kunden wurden ausspioniert.

Der Verlag will die Daten nun "vor weiteren Zugriffen gesichert" haben. (red/DER STANDARD; Printausgabe, 11.10.2010)

...

Aus: "Abonnenten-Datenbank der "Zeit" gehackt" (10. Oktober 2010)
Quelle: http://derstandard.at/1285200488355/Spionage-Abonnenten-Datenbank-der-Zeit-gehackt

[Textaris(txt*bot)]

[...] Die für Sicherheit im Luftverkehr zuständige US-Behörde TSA (Transportation Security Administration) verbürgt sich für die Datensicherheit ihrer Körperscanner. Bilder, welche von den Scannern an US-Flughäfen von Passagieren während der Sicherheitskontrollen aufgenommen werden, "werden automatisch vom System gelöscht, sobald sie von einem Sicherheitsbeamten freigegeben werden", so das TSA-Reglement. Der US-Tech-Blog Gizmodo hat nun aber herausgefunden, dass diese Regel wohl nicht überall praktiziert wird. Ausgerechnet die Sicherheitsbeamten eines Gerichtsgebäudes haben Tausende solcher Bilder archiviert.

Die für den Betrieb der Sicherheitsschleusen zuständigen U.S. Marshals hatten ihren Fauxpas bereits im August eingestanden. Insgesamt seien rund 35.000 Scannerbilder eines Nacktscanners an einem Gericht in Orlando in Florida gespeichert worden, hieß es in einer Erklärung. Warum, ist nach wie vor unklar - es könnte an einer Fehlbedienung oder aber an falschen Voreinstellungen des entsprechenden Scanners liegen. Dass diese Bilder nun auch öffentlich werden, war jedenfalls nicht vorgesehen. Laut dem Tech-Blog Gizmodo sind die Fotos über eine Anfrage nach dem Freedom of Information Act (FOIA) publik geworden. Der FOIA gesteht US-Bürgern das Recht zu, alle von öffentlichen Einrichtungen gesammelten Daten einzusehen.

...

Aus: "Streit um Körperscanner - Hundert nackte Amerikaner im Netz" (17.11.2010)
Quelle: http://www.spiegel.de/netzwelt/gadgets/0,1518,729591,00.html

[Textaris(txt*bot)]

[...] Die Online-Datenbank eines Sheriffs aus Colorado war durch ein Versehen vom April bis zum 24. November ungeschützt im Netz erreichbar. Nach Behördenberichten sollen in dieser Zeit die Identitäten von geheimen Informanten aus dem Drogenmilieu sowie Telefonnummern und Adressen von Tatverdächtigen, Geschädigten und Zeugen frei zugänglich gewesen sein. Aufgefallen war das Datenleck erst, nachdem einige Betroffene zufällig ihre Namen im Internet gefunden hatten.

Von der Datenpanne sind möglicherweise rund 200 000 Personen betroffen. Nun soll eingehend überprüft werden, ob durch die Panne jemand in Gefahr gebracht worden ist. Das FBI will zusammen mit Google untersuchen, wer auf die Daten zugegriffen haben könnte.

...

Aus: "Datenbank eines US-Sheriffs war monatelang frei zugänglich" (11.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Datenbank-eines-US-Sheriffs-war-monatelang-frei-zugaenglich-1151580.html

[Textaris(txt*bot)]

[...] Kriminelle haben vergangenen Samstag die Website der US-Sicherheitsfirma Barracuda Networks gehackt und dabei Kunden- und Mitarbeiterdaten entwendet, wie das Unternehmen berichtet. Die Eindringlinge haben die Datenbank als Beweis auszugsweise veröffentlicht. Barracuda hat sich auf Absicherung von Servern und Webapplikationen spezialisiert und ist nach eigenen Angaben "der weltweite Marktführer für E-Mail- und Web-Sicherheit".

Der Einbruch gelang durch eine SQL-Injection-Lücke in einem PHP-Script, das für die Darstellung der Kundenreferenzen verantwortlich ist. Unter den gestohlenen Daten befinden sich neben Namen und Mailadressen auch Passwort-Hashes, welche laut Barracuda jedoch gesalzen seien und somit nur mit erheblichem Aufwand zu knacken sind.

Das Unternehmen berichtet, dass der Webauftritt zwar von der firmeneigenen Web Application Firewall geschützt werde, diese jedoch für Wartungsarbeiten am Abend vor dem Angriff heruntergefahren wurde. Der Angreifer hat ein Script eingesetzt, das über die Dauer von zwei Stunden Anfragen an den Server schickte, ehe es schließlich die verwundbare Stelle entdeckte. Sicherheitsdienstleister sind offenbar ein besonders reizvolles Angriffsziel – auch HBGary, RSA und Comodo musste vor Kurzem dran glauben. (rei)

Aus: "Datendiebstahl bei Netzwerk-Sicherheitsfirma" (12.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datendiebstahl-bei-Netzwerk-Sicherheitsfirma-1226365.html

[Textaris(txt*bot)]

[...] Rund eine Woche, nachdem Sony sein Playstation Network und den Video- und Musikservice Qriocity abgeschaltet hat, gab der Elektronikkonzern am Dienstagabend in seinem offiziellen Playstation-Blog eine Erklärung zu dem Vorfall ab. Hatte Sony bislang zuvor lediglich von einem "externen Eingriff" gesprochen, teilte das Unternehmen nun mit, dass man davon ausgehe, dass sich zwischen dem 17. und 19. April 2011 eine "unbefugte Person" Zugriff auf die persönlichen Daten der Nutzer der genannten Netzwerke verschaffen konnte – darunter auf deren Namen, Anschrift und Geburtsdatum sowie Log-in und Passwort. Darüber hinaus könne es laut Sony möglich sein, dass auch die Profilangaben inklusive Kaufhistorie und Rechnungsanschrift sowie die Sicherheitsfragen zum Passwort widerrechtlich abgerufen wurden.

Damit nicht genug, schließt Sony auch nicht aus, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurde.

... Laut Sony nutzen 77 Millionen Kunden in 59 Ländern das PlayStation Network, davon rund 32 Millionen in Europa. Experten sprechen bei dem nun erfolgten Angriff bereits von einem der schwersten Datendiebstähle der vergangenen Jahre ...

(nij)

Aus: "PSN-Hack: Persönliche Daten von Millionen Kunden gestohlen" (27.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/PSN-Hack-Persoenliche-Daten-von-Millionen-Kunden-gestohlen-1233136.html

[Textaris(txt*bot)]

[...] Nachdem unbekannte Hacker am 10. Mai 360.083 Kundendaten von den US-Servern der Citibank mittels eines simplen URL-Tricks erbeutet hatten, haben die Einbrecher nun damit begonnen, die Konten der Betroffenen zu plündern. Wie das Wall Street Journal meldet, seien inzwischen 3.400 Konten um insgesamt 2,7 Millionen US-Dollar erleichtert worden.

Bei dem Einbruch hätten die Angreifer laut Citigroup Namen, Kontonummern, Mailadressen und Kaufhistorien von fast 2 Prozent der rund 21 Millionen Kreditkartenkunden in Nordamerika erbeutet. Dazu nutzten sie eine Lücke im Webserver aus, der den Zugriff auf Kontodaten über eine simple Änderung der URL ermöglichte. Obwohl die Hacker angeblich weder auf die rückseitigen Sicherheitscodes der Kreditkarten, Sozialversicherungsnummern noch Geburtsdaten Zugriff gehabt hätten, konnten sie von den bis jetzt betroffenen Konnten durchschnittlich fast 800 US-Dollar abheben. Die Citigroup hatte den Einbruch bei einer Routine-Kontrolle bemerkt und erst am 8. Juni öffentlich bekannt gegeben. Sie kündigte an, für den Schaden aufkommen zu wollen. Insgesamt sollen mit 217.657 aber nur rund zwei Drittel der betroffenen Kreditkarten neu ausgestellt werden. (hag)

 

Aus: "Datendiebe erbeuten 2,7 Millionen US-Dollar von Citibank-Kunden" (26.06.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datendiebe-erbeuten-2-7-Millionen-US-Dollar-von-Citibank-Kunden-1268108.html

[Textaris(txt*bot)]

[...] Die "No Name Crew", die vor Kurzem vertrauliche Daten über das GPS-Ortungssystem "Patras" der Zollfahndung veröffentlicht hat, droht mit der Veröffentlichung eines weiteren Datenpakets. Das soll am 28. Juli um Mitternacht erfolgen, im Visier ist angeblich ein Ziel auf Bundesebene. Angeblich befinden sich unter den Daten vertrauliche wie Mails der Behörden. Nach eigenen Angaben haben die Hacker "seit einiger Zeit die volle Kontrolle über den zentralen Downloadserver der Bundespolizei" und konnten über den Zeitraum von einem Jahr den Netzwerkverkehr von Bundeskriminalamt, Bundespolizei und Zoll mitschneiden.

Um sich vor Verhaftungen zu schützen, haben die Hacker nach Wikileaks-Manier ein 717 MByte großes verschlüsseltes Archiv ins Netz gestellt. Die Kriminellen drohen, dass ein Automatismus das Passwort zu dem Archiv publik macht, sollte ein Mitglied der Gruppe verhaftet werden. Dies könnte jetzt der Fall sein, denn das Landeskriminalamt NRW meldet am heutigen Montag, dass ein 23 Jahre alter Deutscher wegen des Verdachts des Ausspähens von Daten, der Datenveränderung und der Computersabotage festgenommen wurde. In seiner Wohnung wurden Beweismittel sichergestellt. Laut Focus Online sind insgesamt die Identitäten dreier mutmaßlicher Mitglieder bekannt.

Derzeit ist das vom BSI betriebene Cyber-Abwehrzentrum mit der Analyse des Falls beschäftigt. Dass die Angreifer im Besitzer weiterer brisanter Daten sind, konnte auch Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber heise Security nicht ausschließen. Focus Online zitiert einen ranghohen Sicherheitsbeamten mit der Befürchtung, dass hunderte geheime Ermittlungsverfahren im Internet auftauchen könnten.

Laut der geheimen Ermittlungsakten, die dem Magazin vorliegen, gelang der Zugriff durch Versäumnisse bei der Bundespolizei-Kaserne in Swisttal-Heimerzheim (NRW). So nutzte die Behörde aus Kostengründen die Apache-Komplettinstallation XAMPP. Das Paket soll Anfängern und Fortgeschrittenen einen einfachen Einstieg in die Welt von Apache ohne große Konfigurationshürden bieten. Die XAMPP-Entwickler warnen jedoch ausdrücklich, dass die Standardeinstellungen nicht für den produktiven Einsatz geeignet sind: "XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. […] XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktionsbetrieb geeignet."

Darüber konnten die Angreifer mindestens 42 Trojaner auf den Systemen der Behörden deponieren. Das BSI äußerte gegenüber Focus Online, dass es bereits seit Herbst vergangenen Jahres Zugriffe auf die Infrastruktur von ZKA und Bundespolizei gibt, die man der No Name Crew zuordnen könne. (mit Material von dpa) (rei)

18. Juli 2011 14:39
Aus dem Tag der offenen Tür bei den Bullen ...
BasisDemokrat (mehr als 1000 Beiträge seit 29.10.00)

... ist inzwischen das Jahr der heruntergelassenen Hose geworden.

Schon aus diesem Grund darf es nie so etwas wie die
Vorratsdatenspeicherung geben. Denn es ist schlimm genug für die
Betroffenen, wenn die im Rahmen von Ermittlungsverfahren gesammelten
Daten irreversibel in die Öffentlichkeit gelangen. Was passiert, wenn
Arbeitgeber, Vermieter, politische Gegner etc. diese Daten in die
Finger bekommen?

Schönen Tag wünscht
BasisDemokrat

18. Juli 2011 14:47
Ach hätte man doch Stoppschilder …
dedlfix (54 Beiträge seit 31.08.02)

… vor die Server gestellt, dann wäre das alles nie und nimmer nicht
passiert.

18. Juli 2011 16:09
"Laut der geheimen Ermittlungsakten, die dem Magazin (Focus) vorliegen"
Exkanzler

Ich bin beeindruckt, wie dehnbar das Wort "geheim" wohl sein muss.

Aus: "Verhaftung und weitere Drohungen im Fall der Polizei-Hacker" (18.07.2011)
Quelle: http://www.heise.de/security/meldung/Verhaftung-und-weitere-Drohungen-im-Fall-der-Polizei-Hacker-1280743.html