COMMUNICATIONS LASER #17

Laser#17 - Fraktal Text Akkumulation => Datenwelt, Netzwelt, Computing und Informationspolitik => Topic started by: Textaris(txt*bot) on Juni 09, 2005, 11:49:19 vorm.

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juni 09, 2005, 11:49:19 vorm.
Quote
[...] Die Bank of America vermisst Backup-Tapes, auf denen Kreditkarten-Daten von rund 1,2 Millionen Mitarbeitern von US-Bundesbehörden gespeichert waren.
Angesichts der zunehmenden Problematik von Identitätsdiebstählen werden im US-Kongress derzeit Gesetzesinitiativen zum besseren Schutz persönlicher Daten diskutiert. Tausende Amerikaner werden jährlich Opfer von Datendiebstählen. Die Täter eröffnen mit Hilfe persönlicher Daten der Betroffenen Konten, beschaffen sich Kreditkarten und machen in großem Stil Schulden. Mitunter dauert es Monate oder gar Jahre, bis die vom Datenmissbrauch betroffenen Bürger die Banken, Kreditgeber, Geschäfte und andere Gläubiger davon überzeugen können, dass sie Opfer von Identitätsklau waren und die Schulden oder Käufe nicht selbst gemacht haben. (pmz/c't)

Aus: "Erneut millionenfacher Diebstahl von Kreditkarten-Daten" (19.04.2005)
Quelle: http://www.heise.de/newsticker/meldung/58733 (http://www.heise.de/newsticker/meldung/58733)
Title: [Time Warner vermisst 600.000 Personal-Datensätze]
Post by: Textaris(txt*bot) on Juni 09, 2005, 01:53:51 nachm.
Quote
[...] Der Medienkonzern Time Warner vermisst seit mehr als einem Monat 40 Datenbänder, auf denen vertrauliche Informationen zu rund 600.000 Personen gespeichert sind, darunter die Namen und Sozialversicherungsnummern aller 85.000 derzeit bei Time Warner Beschäftigten. Die Backup-Bänder sollten im März vom Time-Warner-Hauptquartier in Manhattan zu einem Lager in New Jersey transportiert werden. Das für die Aufbewahrung und den Transport verantwortliche Sicherheitsunternehmen Iron Mountain verlor den mit Barcodes versehenen Container beim Umladen jedoch aus den Augen. Seither ist dieser verschollen.

Unklar ist, ob es sich hierbei erneut um einen großen Fall von Identitätsdiebstahl handelt oder ob der Container wegen einer falschen Kodierung lediglich zu einer anderen, bislang allerdings nicht spezifizierten Lagerstätte gebracht wurde. Dem eingeschalteten Secret Service liegen bislang keine Erkenntnisse vor, dass die verloren gegangenen Daten für kriminelle Aktivitäten wie das Eröffnen von Konten unter fremden Namen genutzt wurden. Time Warner will den betroffenen Personen, größtenteils ehemalige Time-Warner-Mitarbeiter sowie deren Angehörige, jeweils ein Jahr lang ein professionelles Kredit-Monitoring bezahlen. (pmz/c't)
Aus: "Time Warner vermisst 600.000 Personal-Datensätze"
Quelle: http://www.heise.de/newsticker/meldung/59235 (03.05.2005)
Title: [CardSystems International - 40 Millionen Kundendaten]
Post by: Textaris(txt*bot) on Juni 18, 2005, 07:06:24 nachm.
Quote
Durch eine Sicherheitslücke beim US-amerikanischen Dienstleister CardSystems Solutions, der Transaktionen zwischen Händlern und Kreditkarten-Unternehmen durchführt, haben sich Betrüger Zugang zu 40 Millionen Kundendaten verschafft, teilte MasterCard International am gestrigen Freitag mit. Davon betroffen seien Besitzer diverser Kreditkarten, darunter 13,9 Millionen MasterCard-Kunden. "Das hier hört sich nach dem Guinness Buch der Weltrekorde an", kommentierte Aktivist Richard Smith, der eine Website zum Thema Sicherheit betreibt.

Der Einbruch ins Kreditkartensystem fand laut CardSystems International bereits am 22. Mai statt und man habe sowohl MasterCard als auch VISA von dem Vorfall unterrichtet, damit deren Partnerbanken Vorkehrungen treffen könnten. Zu einigen Fällen von Unterschlagungen soll es trotzdem gekommen sein. (db/c't)
Quelle: http://www.heise.de/newsticker/meldung/60767 (18.06.2005)
Title: [This is the worst hack ever... (Notiz, "PIN Block" Schema)]
Post by: Textaris(txt*bot) on M?RZ 11, 2006, 11:47:22 vorm.
Quote
[...] Im US-Bankwesen kündigt sich ein Sicherheitsproblem bisher unbekannten Ausmaßes an. Offenbar ist man einem umfangreichen Betrug auf die Spur gekommen, bei dem hunderte von Kundenkarten verschiedener Banken dazu benutzt wurden, um an Geldausgabegeräten in den USA, Kanada, Großbritannien und Russland Geld zu entnehmen. Das Problem scheint darin zu bestehen, dass die Täter auf bisher unbekanntem Weg in den Besitz der PIN der Bankkarten kommen konnten. Avivah Litan, Sicherheitsexpertin der Gartner Group, hält es für wahrscheinlich, dass es sich bei diesen Betrugsfällen um ein "PIN Block" Schema handelt, bei dem Hacker Zugriff auf Rechner von Händlern nehmen konnten und dabei die Karteninformationen, die verschlüsselten PINs, die Terminal Keys (Schlüssel) sowie vermutlich auch weitere Informationen der Magnetstreifen entwenden konnten. Sie spricht dabei von einem beziehungsweise dem größten Betrug der Geschichte. Erste Berichte über ausgeplünderte Bankkarten wurden Anfang der Woche publik...

Aus: "PIN Super-GAU?" (intern.de; 10.03.2006)
Quelle: http://www.intern.de/news/7763.html (http://www.intern.de/news/7763.html)


-.-


Quote
[...] With consumers around the country reporting mysterious fraudulent account withdrawals, and multiple banks announcing problems with stolen account information, it appears thieves have unleashed a powerful new way to steal money from cash machines...

Snatch from: "Debit card thieves get around PIN obstacle - Wave of ATM fraud indicates criminals have upped the ante"
Source: http://www.msnbc.msn.com/id/11731365/ (http://www.msnbc.msn.com/id/11731365/)

-.-


Quote
[...] "This is the worst hack ever," Litan maintained. "It's significant because not only is it a really wide-spread breach, but it affects debit cards, which everyone thought were immune to these kinds of things."

Unlike credit cards, debit cards offer an additional level of security: the password-like Personal Identification Number, or PIN. "That's the irony, the PIN was supposed to make debit cards secure," Litan said. "Up until this breach, everyone thought ATMS and PINs could never be compromised."


Snatch from: "PIN Scandal 'Worst Hack Ever'; Citibank Only The Start - The scam has hit national banks like Bank of America, Wells Fargo, and Washington Mutual, as well as smaller banks, all of which have re-issued debit cards in recent weeks, says a Gartner research vice president" - By Gregg Keizer (TechWeb News; Mrz 9, 2006 04:35 PM)
Sourse: http://www.informationweek.com/industries/showArticle.jhtml?articleID=181502474 (http://www.informationweek.com/industries/showArticle.jhtml?articleID=181502474)

Title: [Kreditkarten mit Chip]
Post by: Textaris(txt*bot) on M?RZ 16, 2006, 09:52:10 vorm.
Quote
Köln (AFP) - Auch Kreditkarten mit der neuen Chip-Technologie können beim Bezahlen an der Kasse ausspioniert werden. Dies ergab eine Untersuchung der Universität Cambridge, wie am Montag das ARD-Wirtschaftsmagazin "Plusminus" berichtete. Die britischen Wissenschaftler untersuchten den Angaben zufolge Kreditkarten, die von deutschen und britischen Banken ausgegeben werden. Dabei fanden sie heraus, dass die neuen Karten unterschiedliche Sicherheitsstandards aufweisen. Bei dem teureren Chip, dem so genannten DDA-Chip, können die Kreditkartendaten demnach beim Bezahlen elektronisch abgehört werden; bei dem so genannten SDA-Chip als der um einige Cents billigeren Version sei es sogar problemlos möglich, die Geheimnummer abzugreifen.


Aus: "Plusminus": Auch Kreditkarten mit Chip können ausspioniert werden (6. März 2006)
Quelle: http://de.news.yahoo.com/06032006/286/plusminus-kreditkarten-chip-ausspioniert.html
Title: [Schaden durch Identitätsklau]
Post by: Textaris(txt*bot) on April 03, 2006, 09:32:54 vorm.
Quote
[...] In den USA sei Privatpersonen 2004 ein geschätzter Schaden von 6,4 Milliarden US-Dollar durch Indentitätsdiebstahl entstanden. Das berichtet das US-amerikanische Justizministerium in seiner gerade veröffentlichten jährlichen Kriminalstatistik. 3,6 Millionen beziehungsweise drei Prozent aller US-amerikanischen Haushalte haben demnach alleine im ersten Halbjahr 2004 finanziellen Schaden durch Identitätsklau erlitten.

Beinahe die Hälfte dieser Fälle ging der Statistik zufolge auf Missbrauch von Kreditkartendaten zurück. Bei 25 Prozent der Opfer habe das Erschleichen von Onlinebanking-Daten eine Rolle gespielt. Für seine Statistik befragte das Department of Justice alle sechs Monate rund 42.000 US-amerikanische Haushalte. In dem seit 30 Jahren erscheinenden Report wurde jetzt erstmalig Identitätsdiebstahl als eigenständige Delikt-Kategorie aufgenommen. (hob/c't)


Aus: "USA: Jährlich 6,4 Milliarden Schaden durch Identitätsdiebstahl" (02.04.2006)
Quelle: http://www.heise.de/newsticker/meldung/71568
Title: [...diese Sorte von Informationen]
Post by: Textaris(txt*bot) on Juni 08, 2006, 10:08:21 vorm.
Quote
[...] Ein gestohlener Computer des US-Ministeriums für Veteranen enthält weitaus mehr persönliche Daten von Soldaten als bisher angenommen.

Betroffen seien nicht nur 26,5 Millionen Veteranen, sondern fast 80 Prozent der aktiven US-Streitkräfte, berichtet die "Washington Post" am Mittwoch.


Zu den gestohlenen Daten gehören nach Angaben des Ministeriums Namen, Geburtstage und Sozialversicherungsnummern von 2,2 Millionen Soldaten, Nationalgardisten und Reservisten.

Diese Nummern werden als Identitätsnachweis genutzt und müssen bei Konten- und Kreditkartenanträgen vorgelegt werden. Die Sorge ist, dass Kriminelle mit den gestohlenen Identitäten Millionenbetrug betreiben können.

Zudem fürchtet das Pentagon, dass die Daten feindlich gesinnten Kräften in die Hände fallen, sagte der Experte für Heimatschutz beim "Center for Strategic and International Studies", David Heyman, der "Washington Post".

"Es gibt einen globalen Schwarzmarkt für diese Sorte von Informationen und plötzlich ist geradezu ein Schatz von Informationen über das US-Militär erhältlich", sagte Heyman. Vor allem die Wohnorte der Soldaten und deren Familien seien sensible Daten.

[...] Der Diebstahl ereignete sich am 3. Mai in einem Privathaus bei Washington. Ein Mitarbeiter des Ministeriums hatte den Laptop und eine externe Festplatte unerlaubt mit nach Hause genommen. Von den Tätern fehlte bisher jede Spur.

Die ermittelnde Polizei glaubt, dass der Dieb vielleicht gar nicht weiß, was er da gestohlen hat. Möglich sei, dass der Computer nun in einem Second-Hand-Geschäft zum Kauf angeboten werde. So wurde eine Beschreibung des Laptops veröffentlicht und 50.000 Dollar Finderlohn angeboten.

Doch das ist nicht die einzige Datenpanne der US-Behörden in letzter Zeit: Ein unbekannter Eindringling hatte sich erst im Frühjahr Zutritt zu einem Server des US-Verteidigungsministeriums verschafft, wo er Zugang zu den Krankenversicherungsdaten von mehr als 14.000 Personen hatte. Alle Betroffenen wurden nach Angaben des Pentagons darüber informiert, dass ihre Daten möglicherweise missbraucht werden könnten.


Bruchstuecke aus: "Laptop Diebstahl - Dieb ahnungslos?" (orf.at; 08.06.2006)
Quelle: http://www.orf.at/060607-334/index.html

Title: [Wir hatten Zugang zu sensiblen Daten]
Post by: Textaris(txt*bot) on Juni 12, 2006, 11:14:18 vorm.
Quote
[...] Der jetzt bekannt gewordene Diebstahl der Datensätze aus dem Energieministerium, zu dem die Atomwaffenbehörde gehört, liegt nämlich schon Monate zurück. Erst vor zwei Tagen wurde aber offiziell über den erfolgreichen Hack berichtet, durch den ein unbekannter Angreifer an Namen, Sozialversicherungsnummern und Sicherheitseinstufungen kam.

Die Daten kamen in einer Einrichtung der National Nuclear Security Administration (NNSA) in Albuquerque, New Mexico abhanden. Betroffen sind Informationen über Freiberufler, die als Vertragsangestellte im Bereich Nuklearwaffen für die Behörde arbeiten. NNSA-Chef Linton Brooks sagte vor einem Parlamentsausschuss, er wisse bereits seit September von dem Verlust, habe aber Energieminister Samuel Bodman nicht darüber informiert. Die Tatsache, dass dies nicht geschehen sei, schob Brooks auf ein "Missverständnis".

[...] Der gestohlene Datensatz befand sich nicht auf einem Server mit geheimen Informationen, Daten über Nuklearwaffen lagerten in dem gleichen Computersystem nicht. Das File enthielt laut Brooks jedoch Namen, Sozialversicherungsnummern, Geburtsdaten und hausinterne Codes für Arbeitsplatz und Sicherheitsstufe der Betroffenen. Diese Daten seien für die Sicherheitsüberprüfung verwendet worden. Der Hacker habe eine Reihe von Sicherheitsschranken überwunden, um sich den Datensatz zu verschaffen.

Eine Abgeordnete fragte Brooks in der Anhörung, ob er nicht gerne informiert worden wäre, wenn jemand seine Daten gestohlen hätte, und der Agentur-Chef antwortete: "Natürlich wäre ich gerne informiert worden." Die Antwort, warum die Betroffenen in diesem Fall nicht in Kenntnis gesetzt wurden, blieb er aber schuldig.

Ein interner Test der Netz-Sicherheit im Energieministerium hatte schon im vergangenen Herbst ernste Lücken aufgezeigt. Der für den Test zuständige Beamte berichtete dem Ausschuss: "Wir hatten Zugang zu sensiblen Daten, einschließlich finanzieller und persönlicher Daten." Selbst an Passwörter sei man herangekommen. Bei diesem Test wurde schließlich auch der Hinweis auf die gestohlenen Daten entdeckt.


Bruchstücke aus: "IDENTITÄTSKLAU Hacker stiehlt Daten aus Nuklearwaffenbehörde" (SPON; 12. Juni 2006)
Quelle: http://www.spiegel.de/netzwelt/politik/0,1518,420837,00.html

Title: [Umgang mit persönlichen Daten]
Post by: Textaris(txt*bot) on Juli 06, 2006, 11:50:52 vorm.
Quote
[...] Die Bundestagsfraktion der Partei fordert in einem Antrag (Drucksache 16/1887) an den Bundestag von der Bundesregierung einen Gesetzentwurf, der eine Information von Betroffenen im Falle einer Sicherheitslücke beim Umgang mit persönlichen Daten vorschreibt. Dies soll in das Bundesdatenschutzgesetz aufgenommen werden, Zuwiderhandlungen sollen mit einem Bußgeld geahndet werden.

Als Vorbild soll hierbei das "Security Breach Information Act" im US-Bundesstaat Kalifornien an, das zur Aufdeckung verschiedener Fälle von Datendiebstahl geführt hat. Durch ein entsprechendes Gesetz sollen die Bürger die Möglichkeit bekommen, sich genau über die Sicherheit ihrer persönlichen Daten bei Unternehmen informieren zu können. Die von einem Datendiebstahl betroffenen Unternehmen sollen zudem eine Schadensersatz leisten müssen.

Ziel des Gesetzes ist es, Firmen zu mehr Dateschutz und insbesondere Absicherung der Daten vor einem Zugriff Unbefugter zu schützen. Der US-amerikanische Sicherheitsexperte Bruce Schneier hat in mehreren Artikeln solche Gesetze befürwortet, da sie Unternehmen aus wirtschaftlichen Gründen zu mehr Datensicherheit erzieht, da sie einerseits Schadensersatzzahlungen leisten müssen, andererseits auch einen schlechten Ruf erwerben können, wenn entsprechende Fälle bekannt werden.


Aus: "Grüne verlangen Informationspflicht bei Datendiebstahl" - Berlin Die Bundestagsfraktion der Grünen fordert die Regierung auf, eine Pflicht zur Information von Betroffenen bei Datenschutzpannen in das Datenschutzgesetz aufzunehmen (dergrossebruder.org; 27.06.2006)
Quelle: http://www.dergrossebruder.org/times/20060627235000.html
Title: [Ein lebhafter Markt für persönliche Informationen]
Post by: Textaris(txt*bot) on August 31, 2006, 11:22:39 vorm.
Quote
[...] Details über das System, in das eingebrochen wurde, und wie die Angreifer vorgegangen sind, gab der Telefonkonzern nicht bekannt. Man arbeite aber mit den Strafverfolgungsbehörden zusammen, um die Täter zu ermitteln. Außerdem würden die betroffenen Kunden mittels E-Mail, Telefonanrufen und Briefen informiert; insgesamt handele es sich um die Daten von bis zu 19.000 Kunden.

AT&T entschuldigte sich für den Vorfall und sagte den Kunden Unterstützung und finanzielle Hilfen zu, falls sie Probleme mit ihren Kreditkarten bekämen. "Wir wissen, dass es einen lebhaften Markt für illegal erhaltene persönliche Informationen gibt", meinte Priscilla Hill-Ardoin, bei AT&T für den Schutz der Privatsphäre von Kunden zuständige Managerin. AT&T werde alles dafür tun, die Privatsphäre der Kunden zu schützen und die Einbrecher ihrer Strafe zuzuführen. Das US-Justizministerium bezifferte vor Kurzem den jährlichen Schaden durch Identitätsdiebstahl in den USA auf 6,4 Milliarden US-Dollar.


Aus: "Massiver Diebstahl von Kundendaten bei AT&T" (30.08.2006)
Quelle: http://www.heise.de/newsticker/meldung/77455

Title: [Zugang zu streng vertraulichem...]
Post by: Textaris(txt*bot) on September 06, 2006, 12:28:05 nachm.
Quote
[...] Stockholm - Hohe Vertreter der Volkspartei sollen sich über mehrere Monate Zugang zu streng vertraulichen Strategie-Papieren im Intranet der Sozialdemokraten verschafft haben. Die Partei bestätigte heute in Stockholm, dass die Pressechefin Niki Westerberg und weitere Spitzenfunktionäre von mehrmonatigen Hacker-Aktivitäten gewusst und diese gedeckt hätten. Die Staatsanwaltschaft teilte mit, dass gegen Westerberg und weitere Funktionäre der Partei ermittelt werde.

[...] Schwedische Medien verglichen das Eindringen in das sozialdemokratische Datennetz mit dem Watergate-Skandal in den USA. Dabei waren 1972 aus einem Washingtoner Parteibüro der Demokraten während eines Einbruchs Parteiunterlagen gestohlen wurden. Die Enthüllungen über die Beteiligung republikanischer Parteikreise bis hin zum damaligen Präsidenten Richard Nixon führten zu dessen Rücktritt 1974.


Aus: "Spionageskandal erschüttert Schweden" (SPON; 05. September 2006)
Quelle: http://www.spiegel.de/politik/ausland/0,1518,435334,00.html


-.-

Quote
[...] Wie der Chef der Volkspartei Schwedens am Montag bestätigte, hatte sich der Pressechef des Jugendverbandes der Partei illegal Zugang zum Intranet der regierenden Sozialdemokraten verschafft und geheime Wahlkampfunterlagen heruntergeladen. Die Folge war seine Entlassung.

Nach unbestätigten Medienberichten sollen mehrere Personen aktiv als Hacker beteiligt gewesen sein, um an Strategiepapiere für den Wahlkampf heranzukommen.

Rund zwei Wochen vor der Reichstagswahl am 17. September liegt das konservative Lager in den meisten Umfragen knapp vor dem Block aus Sozialdemokraten, Grünen und Linkspartei.

[...] Der Skandal ist der zweite Fall von Wahlkampfspionage innerhalb kurzer Zeit. Vor rund zwei Wochen war bekannt geworden, dass ein Parlamentskandidat der Christdemokraten versucht hatte, sich als Wahlhelfer bei der sozialdemokratischen Jugendorganisation SSU einzuschleichen.

[...] In der deutschen Provinz geht es hingegen um die Überwachung des E-Mail-Verkehrs der eigenen Partei. Der Brandenburger CDU-Landesgeschäftsführer Rico Nelte soll von nahezu allen Mails an CDU-Politiker und -Funktionäre sowie Mitarbeiter der CDU-Landesgeschäftsstelle Kopien erhalten haben, von denen die eigentlichen Empfänger offenbar nichts wussten.


Aus: "Konservative hacken Sozialdemokraten" (futurezone.orf.at; 04.09.2006)
Quelle: http://futurezone.orf.at/it/stories/134296/

Title: [50.000 solcher Daten]
Post by: Textaris(txt*bot) on September 28, 2006, 12:18:25 nachm.
Quote
[...] General Electric ist einer der größten Konzerne der Welt. Zwangsläufig verwaltet das Unternehmen also viele Mitarbeiterdaten. Rund 50.000 solcher Daten, genauer gesagt die Namen und US-Sozialversicherungsnummern von ehemaligen oder immer noch beschäftigten Arbeitern, befanden sich auf einem Notebook, das einem Angestellten von General Electric gestohlen wurde, wie MSNBC meldet.

[...] Das Notebook wurde Anfang September aus einem Hotelzimmer gestohlen. Wie immer in solchen Fällen beteuert das Unternehmen, dass durch den Vorfall private Daten nicht für Unbefugte zugänglich werden würden (vermutlich weil die Daten verschlüsselt waren), doch General Electric würde natürlich alle Schritte in die Wege leiten, um die Betroffenen vor Schaden zu bewahren. Außerdem versuche das Unternehmen zusammen mit staatlichen Organen das Notebook zurück zu bekommen.


Aus: "50.000-Mitarbeiterdaten auf gestohlenem Notebook" (27.09.2006)
Quelle: http://www.pcwelt.de/news/sicherheit/58755/
Title: [Europay und die manipulierten Kassen]
Post by: Textaris(txt*bot) on November 06, 2006, 12:03:14 nachm.
Quote
[...] Europay ist der Hersteller von Bankomat-Terminals. Die kleinen blauen Geräte stehen in Tankstellen, Restaurants und mittlerweile auch in fast jedem Geschäft.

Bereits im Sommer sind Manipulationsfälle in Oberösterreich, Salzburg und Kärnten bekannt geworden. Acht Kassen waren betroffen. In Vorarlberg haben die Täter erst vor wenigen Wochen zugeschlagen. Die technisch versierten Diebe bauen Chips in die Terminals ein und gelangen so an Kontodaten und Geheimcodes.

„Eine Bankomatkassa in einem Dornbirner Lebensmittelgeschäft war manipuliert. Die Diebe kamen an die Daten von mehreren hundert Kunden und konnten Duplikat-Karten anfertigen“, erklärt German Meusburger vom Landeskriminalamt Vorarlberg.

In Österreich funktionieren die Duplikate nicht. Die Datendiebe können deswegen nur aus dem Ausland Geld von österreichischen Konten abheben.

„Nicht alle europäischen Bankomatkarten verfügen über einen eingebauten Chip wie die Karten hier zu Lande“, erklärt Angela Szivatz von Europay. Ausländisches Plastikgeld ist oft lediglich mit einem Magnetstreifen gesichert. Die Diebe haben die Schwäche des Systems erkannt und nützen sie offenbar gnadenlos aus.

„Es scheint als hätten die Täter eine perfekte Masche entwickelt“, erklärt German Meusburger. Einbruchspuren habe es in dem Dornbirner Geschäft nicht gegeben. Es sei möglich, dass sich die Kriminellen über Nacht absichtlich einsperren ließen und die Kassen austauschten. Das manipulierte Gerät wurde inzwischen ausgewechselt. Rund 20.000 Euro konnten die Gauner von Vorarlberger Konten abheben.

[...] Wie kann man sich vor den manipulierten Kassen schützen? „Eigentlich gar nicht“, gibt German Meusburger zu. Von Panikmache rät der Profi jedoch ab. Das Zahlen mit Karte sei nach wie vor sehr sicher. „Da die Kunden alles ersetzt kriegen, liegt das Problem bei Europay und nicht bei den Geschädigten“.


Aus: "Erste manipulierte Kassa in Vorarlberg" - Einbrecher bauen Chips in Bankomatkassen, um an die Geheimnummern von Kunden zu kommen. Auch in Vorarlberg stand ein manipuliertes Gerät. In einem Dornbirner Lebensmittelgeschäft (vol.at; 5. November 2006)
Quelle: http://www.vol.at/vorarlberg/article/news-20061105-09150937

Title: [Vertrauliche Polizeidaten...]
Post by: Textaris(txt*bot) on Januar 17, 2007, 10:28:33 vorm.
Quote
[...] Ein Kölner Rechtsanwalt hatte die Redaktion am Montag darauf hingewiesen, dass man mit Hilfe der Suchmaschine Google im Internet einen internen Bericht der Verkehrsdirektion im Darmstädter Polizeipräsidium aufrufen könne, der zahlreiche personenbezogene Angaben enthalte. Und tatsächlich fand sich im Internet eine Auflistung von insgesamt 41 Delikten überwiegend aus dem Straßenverkehr - mit Namensangaben der kontrollierten Personen, deren Geburtsdaten, Adressen sowie eventuellen Vorstrafen, mit Kennzeichen und Marken der überprüften Autos und den begangenen Gesetzesverstößen.

[...] Dieses Einsatzprotokoll, im Februar 2006 verfasst, war nach den Erläuterungen Treuschs allein für das Intranet der Polizei gedacht, jedoch durch einen „menschlichen oder technischen Fehler“ ins Netz gelangt - wo es nahezu ein Jahr lang abrufbar war. So etwas sei in der Vergangenheit noch nie vorgekommen, versicherte Treusch. Auch Hessens Datenschutzbeauftragter Michael Ronellenfitsch kann sich an keinen vergleichbaren Fall erinnern. Er sprach von einem „schlimmen Fehler“, da sich durch die Veröffentlichung der Namen für die betroffenen Personen nachteilige Folgen ergeben könnten. Ronellenfitsch sagte, er gehe von einer „menschlichen Panne“ aus, „wie sie jedem mal passieren kann“.

[...] Mit Fragen der Technik war auch Treusch immer wieder beschäftigt. Denn obwohl der Hinweis auf die Internetseite schon am Montag im Polizeipräsidium eingegangen war, konnten Internetnutzer am Dienstag Mittag noch immer auf das Einsatzprotokoll zugreifen. Bis dahin war es nicht gelungen, die Seite zu schließen. Wie Bußer erläuterte, sei die Polizei nicht in der Lage, den Bericht aus eigener Kraft wieder aus dem Netz zu nehmen: „Wir können das nicht alleine, sondern nur zusammen mit Google lösen.“ Über diese Unfähigkeit ärgerte sich vor allem Treusch, da nach den entsprechenden Presseberichten weitere Internetbesucher auf die Seite zugriffen - und damit die Wahrscheinlichkeit stieg, dass die im Polizeibericht erwähnten Personen möglicherweise auf Schadensersatz klagen.

Offen blieb letztlich auch, welche Konsequenzen der Vorfall für Mitarbeiter des Polizeipräsidiums haben wird. Treusch äußerte, disziplinarrechtliche Maßnahmen gegen die Verantwortlichen seien keineswegs ausgeschlossen, sollte sich herausstellen, dass es sich um „persönliches Fehlverhalten“ gehandelt habe.


Aus: "Datenpanne: Vertrauliche Polizeidaten im Internet" Von Rainer Hein (17. Januar 2007)
Quelle: http://www.faz.net/s/Rub21DD40806F8345FAA42A456821D3EDFF/Doc~E1692DE633C39448280E7404197C75870~ATpl~Ecommon~SContent.html (http://www.faz.net/s/Rub21DD40806F8345FAA42A456821D3EDFF/Doc~E1692DE633C39448280E7404197C75870~ATpl~Ecommon~SContent.html)

-.-

Quote
[...] Die 41 Berichte wurden zwischen dem 6. und 12. Februar 2006 nach Verkehrskontrollen in Südhessen erstellt. Sie listen auf 13 Seiten neben Berichten über Gesetzesverstöße nicht nur die Namen, Geburtsdaten und Adressen der Kontrollierten auf, sondern auch ihre eventuellen Vorstrafen. Außerdem werden die Automarke und das Kennzeichen genannt.


Aus: " Peinliche Panne: Polizei stellt Einsatzprotokolle ins Internet" (HANDELSBLATT, Dienstag, 16. Januar 2007, 16:30 Uhr)
Quelle: http://www.handelsblatt.com/news/Technologie/IT-Trends-Internet/_pv/_p/204016/_t/ft/_b/1208579/default.aspx/-peinliche-panne-polizei-stellt-einsatzprotokolle-ins-internet.html (http://www.handelsblatt.com/news/Technologie/IT-Trends-Internet/_pv/_p/204016/_t/ft/_b/1208579/default.aspx/-peinliche-panne-polizei-stellt-einsatzprotokolle-ins-internet.html)

Title: [Die US-Flughafenschutzbehörde... (Notiz)]
Post by: Textaris(txt*bot) on Mai 09, 2007, 04:27:37 nachm.
Quote
[...] Der für Sicherheit an US-Flughäfen zuständigen Transportation Security Administration (TSA) ist eine externe Festplatte mit 100.000 Datensätzen über Mitarbeiter abhanden gekommen. Betroffen sind Personen, die im Zeitraum von Januar 2002 bis August 2005 für die Behörde gearbeitet haben. Der Datenträger sei aus einem kontrollierten Bereich der Personalabteilung im TSA-Hauptquartier in Washington, D.C., verschwunden, heißt es in einer Mitteilung. Die Datensätze enthalten unter anderem die Namen, Sozialversicherungsnummern, Geburtsdaten, Gehaltsinformationen und Bankverbindungen von Mitarbeitern.

Die TSA – eine der Behörden des 2002 gegründeten Ministeriums für Innere Sicherheit – hat nach eigenen Angaben alle Betroffenen sofort informiert und auf ihrer Homepage einen Bereich zu diesem Vorfall eingerichtet. Seit Freitag ermittelt der US-Geheimdienst Secret Service zusammen mit der TSA, um dem Datenträger auf die Spur zu kommen. Es seien Maßnahmen getroffen worden, durch die sofort ein Alarm ausgelöst werde, wenn die vermissten Daten genutzt würden. Dafür gebe es aber bisher noch keine Anhaltspunkte, geht aus einer weiteren Mitteilung hervor. Die TSA-Mitarbeiter sollen in dem Fall, dass ihre Daten missbraucht werden, eine Versicherung in Höhe von 25.000 US-Dollar beanspruchen können. (anw/c't)

Quote
8. Mai 2007 16:26
FakeTicker: (2016) USB-Stick mit DNS-Daten aller Deutschen Bürger abhanden gekommen
sschnee (346 Beiträge seit 02.11.03)

02. April 20016, dpa
Wie das Innenministerium heute meldete, sind die DNS-Daten sämtlicher
Deutschen Bürger auf einem USB-Stick unter nicht nachvollziehbaren
Bedingungen schon am 13. März 2016 abhanden gekommen.

So einen Vorfall hat es seit der Erfassung säntlicher DNS-Daten im
Jahr 2014, welche aufgrund einer Gesetzesvorlage von Innenminister
Beckstein gesammelt wurden, nicht gegeben.

Ein Sprecher des Innenministerium sagte hierzu: "Wir werden den
USB-Stick sicher finden." Auf den Hinweis, daß der komplette
Datensatz bereits im Internet veröffentlicht wurde, erwiderte der
Sprecher, daß dies nichts ausmache, weil anständige Bürger nichts zu
befürchten hätten. Sollten z.B. Versicherer aufgrund der Daten
jemanden nicht versichern wollen, dann wäre dies unzulässig,
allerdings müsse der Bürger für diesen Umstand den Beweis führen.
Unerlaubte Rückschlüsse auf Verwandtschaftsverhältnisse hätten vor
Gericht ebenfalls keinen Bestand. Außerdem werde man jetzt ein Gesetz
gegen den Besitz und Mißbrauch dieser Daten erlassen.

Seitens der rechten NPD, welche in der letzten Wahl auf 23% der
Stimmen kam, wurde der Vorfall so kommentiert: "Endlich ist es
möglich Träger von nicht optimaler DNS zu erkennen und geeignet zu
behandeln. Dies wird dem Deutschen Volk zu einer besseren
DNS-Struktur und eine helleren Zukunft verhelfen."

sschnee

Quote
8. Mai 2007 16:41
Re: FT: (2016) USB-Stick mit DNS-Daten aller Deutschen Bürger abhanden gekommen
sschnee (347 Beiträge seit 02.11.03)


03. April 2016

Wie das Nachrichtenmagazin c´t des Heise-Verlages in seiner kommenden
Ausgabe berichtet, hat das Innenministerium Schritte unternommen, daß
zukünftig keine Datensätze mehr gestohlen werden können.

Auf eine entsprechende Anfrage teilte der innenpolitische Srecher
mit, daß die Mitarbeiter der Rechenzentren künfig keine USB-Sticks
mehr mit sich führen dürfen. Man werde das bei Stichproben
kontrollieren. Außerdem müssten alle Mitarbeiter schriftlich
versichern, daß sie künftig keine Daten zu klauen beabsichtigen, so
daß man nur noch zuverlässiges Personal habe. Zudem wolle man die
Backups jetzt auf Blue-Ray umstellen, weil diese Datenträger aufgrund
der Größe erheblich schwerer aus den Rechenzentren zu schmuggeln
seien.

sschnee


Quote
8. Mai 2007 19:09
Und nächste Woche
rainer_fl (40 Beiträge seit 22.11.06)

Die US Homeland-Defense-Attack-Terror Behörde vermisst 100.000
Angestellte.

Dazu US Oberchef: "Wir wissen nicht, wer die Angestellten entwendet
hat. Wir haben aber eine Belohnung von USD 25000 pro Kopf ausgesetzt.
Desweiteren würden einige Gebäude vermisst werden." 

Quote
8. Mai 2007 22:38
Wer nichts zu verbergen hat, muss wohl nichts befürchten ..... ?
korrektur_ (71 Beiträge seit 05.10.06)

Der Beitrag ist vollständig.




Aus: "US-Flughafenschutzbehörde vermisst Datenträger mit heiklen Mitarbeiterdaten" (08.05.2007)
Quelle: http://www.heise.de/newsticker/meldung/89456 (http://www.heise.de/newsticker/meldung/89456)

-.-

Quote
[...] WASHINGTON -- On Thursday, May 3, the Transportation Security Administration (TSA) became aware of a potential data security incident involving approximately 100,000 archived employment records of individuals employed by the agency from January 2002 until August 2005. An external hard drive containing personnel data (including name, social security number, date of birth, payroll information, bank account and routing information) was discovered missing from a controlled area at the TSA Headquarters Office of Human Capital.

See: "Public Statement on Employee Data Security Incident" (2007)
Quelle: http://www.tsa.gov/press/happenings/050407_statement.shtm (http://www.tsa.gov/press/happenings/050407_statement.shtm)
Title: [...verschwunden ist (Telecomausrüster Alcatel-Lucent)]
Post by: Textaris(txt*bot) on Mai 19, 2007, 02:57:39 nachm.
Quote
[...] Der französisch-amerikanische Telecomausrüster Alcatel-Lucent hat US-Behörden davon in Kenntnis gesetzt, dass ein Datenträger mit Gehaltsinformationen, Geburtsdaten und Sozialversicherungsnummern von zahlreichen Angestellten und ehemaligen Mitarbeitern des Konzerns verschwunden ist. Wie viele Datensätze auf dem seit mindestens vierzehn Tagen vermissten Datenträger gespeichert sind, wollte das Unternehmen bislang nicht mitteilen. In den USA beschäftigt Alcatel-Lucent rund 20.000 Mitarbeiter, hinzu kommen 180.000 ehemalige Mitarbeiter einschließlich ihrer Angehörigen.

Den Angaben zufolge sollte der Datenträger – offenbar eine CD oder DVD – von einem Outsourcing-Dienstleister zu einem Versicherungsträger transportiert werden. "Der Datenträger ist zwischen dem 5. April und dem 3. Mai entweder verloren gegangen oder gestohlen worden", heißt es bei Alcatel-Lucent. Zur Aufklärung habe man den US-Geheimdienst eingeschaltet, der wiederum mit lokalen und bundesstaatlichen Polizeibehörden zusammenarbeite. Den Betroffenen will der Konzern nun ein Jahr lang professionellen Schutz vor möglichen Folgen eines Identitätsdiebstahls bezahlen. Dazu zählt beispielsweise ein intensives Kredit-Monitoring. (pmz/c't)


Aus: "Alcatel-Lucent vermisst Datenträger mit sensiblen Mitarbeiterinformationen" (18.05.2007)
Quelle: http://www.heise.de/newsticker/meldung/89917 (http://www.heise.de/newsticker/meldung/89917)

Title: [Datenpanne bei der Bundeswehr...]
Post by: Textaris(txt*bot) on Juni 25, 2007, 07:46:40 nachm.
Quote
[...] Das Bundesverteidigungsministerium hat laut einem Medienbericht gegenüber dem Verteidigungsausschuss eine Datenpanne eingestanden. Durch diese sei im "Zentrum für Nachrichtenwesen der Bundeswehr" (ZNBw) der gesamte Bestand an Geheimdienstinformationen aus den Jahren 1999 bis 2003 vernichtet worden sind. Es habe sich sich dabei um "brisante geheime Berichte über die Auslandseinsätze der Bundeswehr" gehandelt, beispielsweise vom Bundesnachrichtendienst, von den Militärattachés im Ausland, sowie um Mitteilungen ausländischer Nachrichtendienste. Die Berichte hätten der politischen Spitze zur Beurteilung der Lage in den Ländern gedient, in denen die Bundeswehr eingesetzt ist, insbesondere Kosovo und Afghanistan. Das haben nach eigenen Angaben das ARD-Politikmagazin Report Mainz und tagesschau.de ans Tageslicht gebracht. Das Politikmagazin befasst sich in seiner Sendung am heutigen Montag um 21:45 Uhr mit dem Thema.

Die Panne sei aufgedeckt worden, als der Verteidigungsausschuss des Bundestages Unterlagen aus dem Datenbestand der Bundeswehr aus dem Jahre 2002 angefordert hatte, teilt Report Mainz mit. Der Ausschuss habe den "Beweisbeschluss" am 23. Mai dieses Jahres gefasst, um den Umgang der in Afghanistan eingesetzten "Kommando Spezialkräfte (KSK)" mit dem damaligen Häftling Murat Kurnaz in Kandahar aufzuklären. Dem Politikmagazin liege ein Schreiben an den Ausschuss vor, in dem Staatssekretär Peter Wichert einräume, dass die betreffenden Daten "Ende 2004 verlorengegangen" seien.

Meldungen von Bundeswehrsoldaten im Auslandseinsatz, deutschen Militärattachés, vom Bundesnachrichtendienst, Auswärtigen Amt sowie von anderen deutschen Ministerien und Behörden werden zum ZnBw nach Grafschaft-Gelsdorf geschickt und dort seit 1998 in einem Computersystem namens "Jasmin" (Joint Analysis System Military Intelligence) gespeichert. Dieses System sei bereits nach wenigen Jahren an die Grenze der Speicherkapazität gekommen, erläuterte die Bundeswehr. Auch hätten Einzelkomponenten "ihre technische Lebenserwartung" erreicht. Als im Jahr 2004 versucht worden sei, die Leistung des Systems zu verbessern, seien nicht mehr direkt benötigte Daten außerhalb von "Jasmin" auf Bändern archiviert worden.

Es habe sich jedoch bald gezeigt, dass die Informationen nicht mehr lesbar waren – nach Angaben Wicherts habe nach einen technischen Defekt der Datensicherungsanlage Ende 2004 ein Austauschgerät installiert werden müssen. Bei dem Versuch, die gespeicherten Daten auf das Ersatzgerät zu übertragen, sei festgestellt worden, "dass ein Teil der Bandkassetten im Datensicherungsroboter nicht mehr lesbar war." Der Versuch, die Daten wieder zugänglich zu machen, sei gescheitert, heißt es laut dpa weiter. "Entsprechend der gültigen Vorschriften zum Umgang mit Verschlusssachen wurden die nicht mehr lesbaren Kassetten am 4. Juli 2005 vernichtet", erklärt Wichert in dem Schreiben. (anw/c't)

Quote
25. Juni 2007 16:16
welch Zufall,
/stand/sysinstall (mehr als 1000 Beiträge seit 27.07.03)

dass gerade die interessanten Daten im Fall Kurnaz futsch sind.

sys


Quote
25. Juni 2007 17:10
professionelle tollpatsche
XUL (mehr als 1000 Beiträge seit 18.10.06)

richtig putzig, stellen sich hin, äh.. der robo war's.
perfekt! so braucht man nichtmal einen mitarbeiter 'rügen', die
technik ist schon intelligent genug, selbst zu entscheiden, was weg
muß.

das nächste mal ist dann der programmierer verstorben, der die
kryptographie implementiert hat.

oder epidemische magnetische fäulnis tritt ein.

ein mitarbeiter hat die bänder fälschlicherweise bei der
weihnachtsfeier als lametta benutzt.

es wurden keine daten gespeichert, das lief damals alles irgendwie
mündlich, weil die sekrtärin krank war.

usw!

Quote
25. Juni 2007 16:23
Und wer soll das jetzt glauben?
Askaaron (493 Beiträge seit 07.01.00)

Sehr glaubwürdig... gerade im militärischen Bereich, sollte man
meinen, gelten deutlich höhere Anforderungen an Datensicherheit, was
auch die Backups mit einschliesst.

Und so ein Zufall, dass gerade die Daten verloren gehen, die zur
Aufklärung einiger fragwürdiger Sachverhalte beiträgen könnten.

Quote
25. Juni 2007 16:26
Wie krass ist das denn bitte?
Landmann (mehr als 1000 Beiträge seit 26.02.03)

"der gesamte Bestand an Geheimdienstinformationen aus den Jahren 1999
bis 2003"

Hallo? Das muss man sich mal auf der Zunge zergehen lassen. Jede
Popelsfirma kann und muss ihre Daten sorgfältig redundant sichern. So
einen Datenverlust KANN es nicht unbeabsichtigt geben. Ich würde mal
vermuten das man hier unliebsame Daten verschwinden lassen will, z.B.
alles was Kenntnisse über diverse Verletzungen der Menschenrechte
angeht. Jetzt wird so langsam immer mehr bekannt, da löscht man mal
schnell die Daten bevor sie vor Gericht als Beweise verlangt werden.

Quote
25. Juni 2007 19:07
Re: Wie krass ist das denn bitte?
enzo.c (mehr als 1000 Beiträge seit 12.03.02)

Dazu muß man sagen, daß es bei der Bandsicherung durchaus üblich ist
keine Sicherungskopie zu nehmen. Ist beim Deutschen
Fernerkundsdatenzentrum in ihrem Roboterarchiv glaube ich auch so.

Quote
25. Juni 2007 16:31
Überwachung dient nur den Überwachern
der echte Zaphod Beeblebrox (648 Beiträge seit 23.07.03)

Ein schönes Beispiel, dass gespeichete Daten immer nur dem Überwacher
dienen.
Wenn der, der die Verantwortung über die Daten hat, sich damit selbst
belasten würde, dann gibt es einfach eine Datenpanne und damit das
Ende aller Probleme.

Wie damals als das SEK den Grams auf den Schienen hingerichtet hat.
Da waren die Videobänder auch plötzlich verschwunden.

Glaubt eigentlich jemand von euch unseren Staatsdienern überhaupt
noch etwas?

Quote
25. Juni 2007 17:16
Es gibt noch mehr hübsche Beispiele
cip22 (mehr als 1000 Beiträge seit 08.11.00)

So ist zum Beispiel im Fall des 'versehentlich' im Zusammenhang mit
den Juli-Attentaten erschossenen Brasilianers in der Londoner U-Bahn
komischerweise just an dem Tag das Überwachungkamerasystem in dem
betreffenden Stadtteil ausgefallen, so daß man nicht mehr überprüfen
kann, ob der Mann tatsächlich *floh*, eine dicke Jacke anhatte und
dergleichen.



Quote
25. Juni 2007 16:32
Einfach mal CIA, KGB oder Mossad wegen einer Sicherungskopie fragen
ebi (mehr als 1000 Beiträge seit 04.01.01)

... die haben doch sicher eine.

Gruß
Ebi

Quote
25. Juni 2007 16:42
Ach Gottchen, jetzt kommen die paranoiden Verschwörungstheoretiker aus ihren
csrss.exe (mehr als 1000 Beiträge seit 07.09.06)

Löchern gekrochen. Keine noch so abstruse Theorie ist ihnen zu blöd,
als dass man sie nicht hier im Heise-Forum posten könnte.

Wer jedoch schon mal ernsthaft in der IT-Branche gearbeitet hat, der
weiß, dass solche Pannen regelmäßig vorkommen.

Life goes on.


Quote
25. Juni 2007 16:44
So (oder ähnlich) hat es sich zugetragen:
Braunbär (mehr als 1000 Beiträge seit 27.01.01)


Rechenzentrum der Bundeswehr am 23.11.2003, 11:31h.

Admin _schlürft seinen Kaffee_
Admin: "Guten Tag, Sie wünschen?"
X: "Wir brauchen die Kassetten 6512, 892 und 29734".
Admin: "Das geht nicht so einfach, da muss ich erst Kopie machen bla
bla"
X: "Sofort!"
Admin: "Wer sind Sie überhaupt"
X: "Äh.. geheime Sache, der CIA brauch die Daten... und beim BND
haben wir dafür auch Interesse"
Admin: "Kassetten gibts nicht, nur über meine Leiche"
X: "ok"
Admin: "Bitte stecken Sie die Pistole weg!! Ich mach ja schon"
X: "Na also geht doch"
Admin: "So hier, und was sag ich nun den Anwendern?"
X: "Erzählen Sie irgendwas von Datenverlust, denken Sie sich was aus"
Admin: "ok.. wenn Sie meinen"
X: "Wiederschaun..."

cu
Braunbär

Quote
25. Juni 2007 16:47
Zufälle gibt's!
Graf Porno von Geilsberg, (mehr als 1000 Beiträge seit 04.06.03)

Wie auch gerade in Sachsen Teile der Ermittlungsakten plötzlich weg
sind.


Quote
25. Juni 2007 16:51
Typischer Fall von "Write Only" Backup
H A L (mehr als 1000 Beiträge seit 02.02.01)

Ihr werdet lachen, aber sowas kommt in den besten Familien vor. Wenn
die Hardware, mit denen die Bänder beschrieben wurden nicht mehr
verfügbar ist, kann sowas schon mal passieren. Also spart euch euere
Hähme und Besserwisserei.

H A L


Quote
25. Juni 2007 16:52
Das ist ganz normal - passiert auch der BBC
timon (mehr als 1000 Beiträge seit 29.04.04)


Komischerweise immer bei den "unwichtigsten" Daten:

http://www.focus.de/panorama/welt/11-september_nid_45644.html

"Ganze 23 Minuten vor dem tatsächlichen Einsturz des
World-Trade-Center-Gebäudes Nummer Sieben (Salomon Brothers Building)
soll der britische TV-Sender bereits vermeldet haben, dass das
Gebäude in sich zusammengefallen ist."

"Der Nachrichtenchef von BBC World, Richard Porter [...] gibt jedoch
auch zu: "Wir haben die Originalbänder unserer 9/11-Berichterstattung
nicht mehr (aus Gründen der Schlamperei, nicht der Verschwörung).""

timon

Quote
25. Juni 2007 16:56
Re: Das ist ganz normal - passiert auch der BBC
Sydal (54 Beiträge seit 27.09.02)

Ole Röntgen schrieb am 25. Juni 2007 16:53

> Nun, jedenfalls dabei sollte man im Regelfall aber schon davon
> ausgehen können, dass zig andere Leute die Sendungen auch
> aufgezeichnet haben.

Davon würde ich bei den Bundeswehrakten auch ausgehen... :-)

Syd


Quote
25. Juni 2007 17:01
80% aller Postings hier ...
Mäusespeck, Eberhard Justus, (mehr als 1000 Beiträge seit 02.06.06)

80% aller Postings hier haben sicher zwei Aussagen:
A: Alle total inkometent ...
B: ... außer mir.

Quote
25. Juni 2007 17:58
Das Forum ist mal wieder interessant
desl, Detlef Slinger (203 Beiträge seit 14.05.07)

Alle wittern Verschörung und Absicht. Man seid ihr paranoid.

Quote
25. Juni 2007 18:18
Der Kurnaz war's!
Dillinger, (mehr als 1000 Beiträge seit 14.02.02)

Er ist in den Keller vom Bundesnachrichtendienst rein (Schlüssel lag
unter der Fußmatte) hat zwischen Mottenkugeln und alten Farbeimern
die Bänder mit seinen Filmen drauf gesehen, hat dann den rostigen
486er-Server aufgemacht, hat das Mäuseklavier auf der Backup-
Controllerkarte verstellt und iss wieder rausgegangen !!

Das jedenfalls hat mir vorhin sein Kumpel Horst inner Kneipe erzählt.

Quote
25. Juni 2007 18:23
Datasette?
gibtsjagarnicht (1 Beiträge seit 26.11.03)

Mal abgesehen davon, dass moderne Bandlaufwerke mit die höchste
Datensicherheit bieten, sollte jede halbwegs vernünftige
Backupsoftware in der Lage sein das Backup nochmal zu verifizieren.

Ich kann mir auch wirklich nicht vorstellen, dass man Beweise die
einen Krieg rechtfertigen sollen auf einem einfachen Backup ohne
zweite Sicherung speichert. Jede halbwegs organisierte IT macht doch
jede Woche ein Vollbackup und dann täglich ein incrementelles
erstellt um möglichst jeden Zustand wieder herstellen zu können.

Sicherlich gibt es bei der Bundeswehr auch eine
Datensicherungsvorschrift die besagt, dass mindestens zwei identische
Backups an zwei verschiedenen Orten aufbewahrt werden müssen. Jedes
mittelständische Unternehmen muss soetwas der Steuer nachweisen
können wenn man dort erklären will man hätte angeblich die
Buchhaltungsdaten verloren.

Entweder werden wir hier wie es fast täglich passiert mal wieder nach
Strich und Faden von unseren sogenannten Volksvertretern belogen oder
die Bundeswehr scheint über den Stand der Datasette noch nichaus
gekommen zu sein...

Quote
25. Juni 2007 18:34
Immer diese Verschwörungstheoretiker!
accent (mehr als 1000 Beiträge seit 08.02.02)

Also ehrlich. Wieso soll eine solche Panne bedeuten, dass jemand
absichtlich die Bänder gelöscht haben soll? Welchen Vorteil hätte ein
Staat (immerhin der Staat und kein Privatunternehmen), soetwas zu
tun? Wieso sollte jemand überhaupt etwas zu verbergen haben? Die
Geheimdienste unterliegen einer strengen Kontrolle und ihr
Verschwörungstheoretiker geht davon aus, dass es innerhalb der
Bundeswehr oder des BND kriminelle Elemente gibt?

Ich meine, die über 100 Videoaufzeichnungen des Pentagons, als das
"Flugzeug" reinrauschte, werden auch nicht zurückbehalten, weil es
etwas zu verbergen gäbe. Oder etwa nicht? Warum sollten kriminelle
Elemente im Pentagon so etwas tun?

Quote
25. Juni 2007 18:43
Re: Immer diese Verschwörungstheoretiker!
JabbaDabbaDuu (245 Beiträge seit 27.02.04)

Ganz einfach, weil so ein Verlust eigentlich gar nicht möglich ist,
wenn man nur einigemassen vernünftig arbeitet. Sowas kann eigentlich
nicht mal durch einen dummen Zufall oder Verkettung von Zufällen
passieren, denn eine echte Backupstrategie, verhindert sowas zu fast
100%.

Einzige 2 plausibel Erklärungen sind:
- Entweder es war Mutwillig
- Oder die Verantwortlichen sind dümmer als Bohnenstroh


Quote
25. Juni 2007 18:45
Re: Immer diese Verschwörungstheoretiker!
SachseDesBösen (211 Beiträge seit 09.04.06)

accent schrieb am 25. Juni 2007 18:34

> ihr
> Verschwörungstheoretiker geht davon aus, dass es innerhalb der
> Bundeswehr oder des BND kriminelle Elemente gibt?

Natürlich nicht! Das ist genauso unwahrscheinlich wie die
Zusammenarbeit von Politikern und Polizisten mit der organisierten
Kriminalität in Sachsen.

Quote
25. Juni 2007 18:47
Re: Immer diese Verschwörungstheoretiker!
RudiRadlos (mehr als 1000 Beiträge seit 30.07.01)

SachseDesBösen schrieb am 25. Juni 2007 18:45

> Zusammenarbeit von Politikern und Polizisten mit der organisierten
> Kriminalität in Sachsen.

....die gibt's ja auch nicht, "die" wurde gerade "vernichtet" ....

Der Unterschied zu einer Bananenrepublik ist: in so einer Republik
wachsen Bananen .......



Quote
25. Juni 2007 19:12
Ich bitte um Analyse von Ibas-Datenrettung und Co
/170 (mehr als 1000 Beiträge seit 19.09.01)

http://www.datenrettung.de/

" Der Versuch, die Daten wieder zugänglich zu
Bandkassetten im Datensicherungsroboter
nicht mehr lesbar war."

DAS IST NICHT GLAUBWÜRDIG!

WENN DIE DATEN AUF DEM GERÄT VON DEN
MITARBEITERN NICHT MEHR LESBAR IST,
VON EXTERNEN EXPERTEN WÄRE SIE IMMER
NOCH.
WO SIND DIE BÄNDER?

Das ist ein Märchen und die verantwortlichen
Mitarbeiter sollten Strafrechtlich verfolgt
werden wegen vorsetzlicher Stafverfolgungs-
behinderung - Vertuschung von Staftaten,
ja, Vertuschung von Staatsterror
- Mitwirkung in einer Staatsfeindlichen
Gemeinschaft/Organisation

Also wo sind die Bänder?
Ich will externe Gutachten!

Und BTW, Ibas ist aus eigener Erfahrung
wirklich zu empfehlen!

/170

Quote
25. Juni 2007 19:23
Re: Ich bitte um Analyse von Ibas-Datenrettung und Co
IggoOnTour (mehr als 1000 Beiträge seit 02.04.01)

/170 schrieb am 25. Juni 2007 19:12

> WO SIND DIE BÄNDER?

Geschreddert, denn

>
> WENN DIE DATEN AUF DEM GERÄT VON DEN
> MITARBEITERN NICHT MEHR LESBAR IST,
> VON EXTERNEN EXPERTEN WÄRE SIE IMMER
> NOCH.






Quote
25. Juni 2007 19:24
Glückwunsch, Herr Steinmeier!
Lucky MSN Butterfly (mehr als 1000 Beiträge seit 16.07.05)

Daten sind am geheimsten, wenn sie gelöscht sind. Ein wahrer
Meilenstein für die Demokratie, wie sie hier herrscht. Ich freue mich
schon auf Ihr souveränes Lächeln, wenn Sie eine fremdgeschriebene
Erklärung verlesen und Schäuble Ihnen auf die Schulter klopft.

Für dieses Glanzstück sollten Sie, ebenso wie das gesamte Kabinett
der Volksfeine, sofort zurücktreten. Machen Sie Platz für Menschen,
denen Politik noch etwas bedeutet!

MfG
Lothar v. Teufelssee


Aus: "Datenpanne bei der Bundeswehr" (25.06.2007)
Quelle: http://www.heise.de/newsticker/meldung/91700 (http://www.heise.de/newsticker/meldung/91700)

-.-


Quote
[...] Neben den Aufzeichnungen über den deutschen Guantánamo-Häftling Murat Kurnaz sollen auch Unterlagen über geheime Einrichtungen der CIA verschwunden sein. Die Streitkräfte sprechen von einer technischen Panne. Dagegen melden Politiker und Experten Zweifel an.

Zu den abhanden gekommenen Daten der Bundeswehr gehören einem Zeitungsbericht zufolge auch Unterlagen über die Beteiligung deutscher Geheimdienstmitarbeiter an Verhören in geheimen US-Gefängnissen. Im Zentrum für Nachrichtenwesen der Bundeswehr (ZNBw) seien Unterlagen aus einem US-Geheimgefängnis im bosnischen Tuzla verschwunden, berichtete die „Berliner Zeitung“. In Tuzla seien vor und nach den Terror-Anschlägen vom 11. September 2001 Terrorverdächtige festgehalten und zum Teil misshandelt worden. An den dortigen Verhören seien zumindest im Jahr 2001 auch Offiziere des deutschen Militärischen Abschirmdienstes (MAD) widerrechtlich beteiligt gewesen, schrieb die Zeitung unter Berufung auf einen BND-Bericht.

Der Geheimdienst-Experte Erich Schmidt-Eenboom sagte der Zeitung zufolge, es sei nicht nötig gewesen, die beschädigte Sicherungskopie der Datensätze zu zerstören. „Es gibt das Bundeskriminalamt und einige hochspezialisierte Firmen, die seit langem in der Lage sind, beschädigte Datenträger zu retten und zu rekonstruieren.“ Dass das ZNBw aber offenbar den Versuch unterließ, technische Hilfe in Anspruch zu nehmen, sei seltsam. „Das riecht nach Vorsatz“, sagte Schmidt-Eenboom demnach. Ein Sicherheitsexperte sagte der Zeitung: „Dass die Informationen weg sind, dürfte einige Verantwortliche von damals erleichtern.“

Auch der Grünen-Fraktionsvize Christian Ströbele zweifelt an einer technischen Panne. Noch im November 2006 habe er einen Brief von Verteidigungsstaatssekretär Peter Wichert bekommen, wonach der Verteidigungsausschuss des Bundestages über Einsätze der Eliteeinheit KSK im Ausland informiert werde, sagte Ströbele der „Neuen Presse“ aus Hannover. „Darin steht keine Silbe davon, dass die Daten weg sind. Deshalb zweifle ich, ob das alles so richtig ist.“ Möglich sei, dass die Bundeswehr versuche, „Informationen nicht nach außen zu geben“, sagte der Grünen-Politiker weiter.
Auf seine mehrfachen Anfragen über die Arbeit des KSK in Afghanistan sei ihm vom Verteidigungsministerium zwar ausweichend geantwortet worden, sagte Ströbele dem Blatt weiter. Zugleich betonte er: „Nie wurde gesagt: Wir haben darüber keine Unterlagen.

Quote
   Bernd  meint:
26-06-2007, 09:31 Uhr
jeder DV- Fachmann in einer gut organisierten Organisation, die Bundeswehr kann als solche so genannt werden, weiß, dass mehrere Sicherheitskopien auf unterschiedlichen Datenträgern, die in feuerfesten Schränken aufbewahrt werden, bestehen müssen. Was sollen diese Lügengebäude?

Quote
   BoyGeorge Jun.  meint:
26-06-2007, 09:01 Uhr
wie oft werden denn da Daten gesichert ? alle 5 Jahre ?
Das sollte mal ein mittelständischer Betrieb gegenüber dem Finanzamt machen.
Oder die Quartalszahlen der einer großen AG fallen aus, alle Geschäftszahlen vernichtet...

Neben den Aufzeichnungen über den deutschen Guantánamo-Häftling Murat Kurnaz sollen auch Unterlagen über geheime Einrichtungen der CIA verschwunden sein...
nur noch mal zur Erinnerung:
- BW Datenverlust heute
- Der Ordnerverlust in Sachsen letzte Woche
- Die Kameras der U-Bahn Station in London, wo die Polizei einen Unschuldigen "Terroristen" mit 10 Treffern aus Nahdistanz erlegt hat
- Alle Kameras am Pentagon am 9.11.2001 innerhalb und außerhalb des Gebäudes
- Die BBC Fernsehaufzeichunungen von World Trade Center 7 dass eingestürzt war, obwohl das Gebäude im Hintergrund noch stand...
Immer dieses Pech, ach ehrlich...

Quote
Udo Prothmann meint:
26-06-2007, 10:32 Uhr
Ich komme aus der IT Branche und ich bin sicher hier wird gelogen, dass es zum Himmel stinkt:
a) Im Zeitraum, der hier angesprochen wird, von 2001-2004 müssten hunderte Datensicherungen existieren. Datensicherungen werden täglich gemacht. Davon wird in einem wichtigen Bereich, wie der Sicherheit, mindestens 1 mal wöchentlich Daten archiviert. Dazu noch tägliche Datensicherung, für kurzfristige Ausfälle.
b) Datenarchivierung relevanter Daten erfolgt immer mehrfach redundant. Auf unterschiedlichen Datenträgern. An unterschiedlichen Orten. Datenträgerkosten sind vernachlässigbar (kürzlich gekauft: 320GB Seagate für 49,50EUR, das ist WIRKLICH viel), so dass ich von einem Minimum von 4 Archivträgern pro Datensatz ausgehe.
c) Oft liegen die Originaldaten dabei noch Jahre Online, des schnellen Zugriffes wegen.

Hier soll die Bevölkerung verarscht werden.
Mit an Sicherheit grenzender Wahrscheinlichkeit sollen kriminelle Machenschaften verborgen werden.

Das ist einer Bananenrepublik würdig.
Nicht aber dem, was ich unter meinem demokratischen Heimatland verstehe.

Alle Beteiligten, die ein bißchen Ehre im Leib haben, sollten, zur Not als "Whistleblower", bei der Aufklärung helfen und so verhindern, dass Deutschland nicht weiter im moralischen Sumpf untergeht. Sonst sägen wir am Ast der Demokratie.

Das würde am Ende bis zum Bürger ausstrahlen.
Schaut euch entsprechende Länder, wie z.B. Ägypten, an.
Wollt ihr in einem solchen Land wirklich leben?


Aus: " Bundeswehr: Noch mehr Geheim-Daten vernichtet" (26. Juni 2007)
Quelle: http://www.welt.de/politik/article975472/Noch_mehr_Geheim-Daten_vernichtet.html (http://www.welt.de/politik/article975472/Noch_mehr_Geheim-Daten_vernichtet.html)

Title: [Schon wieder "Bundeslöschtage"?... (Notiz, BW, KSK, Kurnaz)]
Post by: Textaris(txt*bot) on Juni 27, 2007, 12:33:20 nachm.
Quote
[...] Jeder kennt diesen Horror Vacui, die Angst vor dem Totalabsturz der Festplatte. Aber jeder weiß auch: Abhilfe ist nur eine Frage des Geldes. Nach dem Angriff auf das World Trade Center sicherten Spezialfirmen aus einem Klumpen Kohle Daten von Unternehmen, die dort ihren Sitz hatten.

Aus der Kriminalistik weiß man, dass sich keiner einbilden soll, auf seinem Computer blieben keine Spuren zurück. Wann er wo im Netz unterwegs war, was er sich heruntergeladen hat - alles ist rekonstruierbar.

Daher liest sich die Geschichte von den verschwundenen Daten aus dem Bundeswehr-Archiv wie eine schlechte Schnurre: Die zum Teil geheimdienstlich gewonnenen Informationen sollen einfach futsch sein.

Erst streikte der Computer, dann waren die Bandkassetten kaputt - wie einst beim gefürchteten Bandsalat. Wer die fossile Kommunikationstechnik der Bundeswehr kennt, weiß: Vieles ist möglich, was angesichts der heutigen technischen Möglichkeiten unmöglich erscheint. Ist es eine Panne, so wäre es peinlich.

Ist es aber keine, wäre es ein Skandal. Als 1998 in den letzten Amtstagen von Helmut Kohl der Reißwolf im Kanzleramt heißlief, prangerte Rot-Grün dies als "Bundeslöschtage" an. Damals ging es um Schwarzgeld, diesmal um den Fall Kurnaz. Die "Panne" passierte in den letzten Wochen Schröders.

Damit geht es auch um die Amtsträger von damals, die immer noch wichtige Funktionen bekleiden: den damaligen Kanzleramtschef und heutigen Außenminister Frank-Walter Steinmeier und SPD-Fraktionschef Peter Struck, seinerzeit Verteidigungsminister. Angesichts des raueren Tones in der Koalition könnte die Assoziation zu den "Bundeslöschtagen" durchaus erwünscht sein.

(SZ vom 27.06.2007)

Quote

27.06.2007 09:50:14

Ernstol: ...dass wir für dumm gehalten werden,

ist doch nichts neues und doch jedem der halbwegs seinen Denkapparat nutzen kann sonnenklar.

Es geht darum Strategien zu entwickeln, wie man dies bekämpfen bzw. so nutzen kann, um seine eigenen ggf. auch persönlichen Vorteile daraus zu ziehen. Wird man vom System veräppelt, muss man den Spieß umdrehen und eben selbst das System zum Narren machen.

So kann man es ja auch mal dem Finanzamt erzählen, daß die teure Sicherungssoftware leider nix getaugt hat, und die Daten nun leider alle den Jordan runter sind.

Warum sollte nicht jeder von uns eine Max-Strauss'sche Festplatte haben dürfen !?

Quote

27.06.2007 09:36:22

maggomuc: Interessant

ein Schelm der böses dabei denkt. Der denkt, es könnte sich hier um Absicht handeln. Der denkt, die fossile Technik der Bundeswehr tauge nicht einmal mehr zum rekonstruieren der Daten. Der denkt, man möchte was vertuschen. Der denkt, so etwas könne bei uns nicht passieren, da wir schliesslich keine Bananenrepublik sind und alles irgendwo, bei irgendwem transparent bleibt. Der denkt, eine Bundesdeutsche Regierung würde so etwas tun. Der denkt, dieser Kommentar ist ein Indiz für das Glauben an die Version der Regierung und Bundeswehr.
Ich jedenfalls denke, dass wir nun auch unsere Verschwörung haben und Hr. Kurnaz nun endlich, die Unrechtmässigkeit nicht mehr verifizierbar, sein Guantanamo zu recht erlebt hat. Ich könnte schreien für wie dumm man den gemeinen Bundesbürger hält.




Aus: "Verschwundene Bundeswehrdaten - Schon wieder "Bundeslöschtage"?
War die Löschung der Bundeswehrdaten eine Panne, dann wäre es peinlich. War sie Absicht - wäre es ein Skandal.
Ein Kommentar von Christoph Schwennicke
Quelle: http://www.sueddeutsche.de/,tt3m2/deutschland/artikel/723/120571/ (http://www.sueddeutsche.de/,tt3m2/deutschland/artikel/723/120571/)

-.-

Quote
[...] Die Eule gilt als Symbol der Weisheit und der Aufklärung, aber auch als Unglücksbote und Künder des Todes. Das in der rheinland-pfälzischen Grafschaft Gelsdorf gelegene Zentrum für Nachrichtenwesen der Bundeswehr (ZNBw) hat eine stilisierte Eule in ihrem Wappen; der Vogel soll in diesem Fall stetige Wachsamkeit symbolisieren.

Rund 650 Soldaten und Zivilbeschäftigte versorgen aus der Anlage die Bundeswehr, die Nachrichtendienste und die Nato rund um die Uhr mit aktuellen Meldungen aus den Krisengebieten der Welt.

Das Zentrum, dessen Arbeit sich nicht im Schlaglicht der Öffentlichkeit abspielte, steht nun im Mittelpunkt einer Affäre. Dass geheime Berichte über Auslandseinsätze der Bundeswehr aufgrund einer Panne gelöscht worden sein sollen und unwiederbringlich verloren sind - das stößt gleichermaßen bei Fachleuten und Politikern auf Skepsis.

Bis zur Aufklärung des seltsamen Falles wird es noch eine Weile dauern, wenn überhaupt. Aber in Gesprächen mit Quellen aus der Bundeswehr und dem Zentrum ergibt sich ein mögliches Bild der Abläufe: In den Grauzonen der Auslandseinsätze der Bundeswehr sei es, so einer der Informanten, "zu Regelverletzungen" gekommen. Es habe sich um "Verstöße gegen den politisch gebilligten Auftrag gehandelt".

Nachdem ein Untersuchungsausschuss in Berlin Material angefordert habe, sei ein früherer Datenverlust "genutzt worden, um sich gegenüber der Politik nicht mehr erklären" zu müssen. Die Erklärung sei einfach: Daten seien verlorengegangen, könnten nicht rekonstruiert werden, und somit müssten auch keine Dokumente an Frager herausgegeben werden: "Ein Persilschein", sagt ein Gesprächspartner.

Die Darstellung des Staatssekretärs im Bundesverteidigungsministerium, Peter Wichert, die einschlägigen Daten seien nicht unmittelbar in den Systemverbund Joint Analysis System Military Intelligence (Jasmin) eingegangen, sondern über eine "geschützte Datenleitung" nur an einen sogenannten "Stand-alone-Rechner" transferiert worden, wird von einer seriösen Quelle bezweifelt.

Ein Experte des ZNBw hingegen schildert den Weg so: Ein "Genic", wie nachrichtendienstliche Zellen vor Ort im Jargon heißen, übermittle über geschützte Leitung an das ZNBw Informationen. Die landeten in einem "Transferbereich", würden dort bearbeitet und an die Fachbereiche weitergereicht.

Der Streit um verlorene Daten, die angeblich nicht wiederzubeschaffen seien, spielt sich in der Geheimdienstwelt vor dem Hintergrund von Rivalitäten ab. Es ist ein Schattenspiel, bei dem Freund und Feind nicht leicht zu unterscheiden sind. Traditionell arbeiten Bundeswehr und Bundesnachrichtendienst zusammen. Traditionell aber gibt es auch ein Kompetenzgerangel.

Als die Truppe 1995 auf den Balkan kam, kämpften beide um neue Aufgaben. Das damalige Amt für Nachrichtenwesen der Bundeswehr sammelte eigene Erkenntnisse und reichte sie an Nato-Verbündete weiter, was dem BND missfiel. Die Bundeswehr wollte partout ihre eigenen Spione haben. Der frühere Generalinspekteur Harald Kujat und sein damaliger Chef Rudolf Scharping dachten sogar über einen neuen Militärgeheimdienst mit eigenem Satelliten nach. Gegen solche Pläne leistete nicht nur der BND Widerstand, sondern auch das Kanzleramt.

Die Bundeswehr richtete ein Kommando Strategische Aufklärung ein. Aus dem etwas verstaubten Nachrichtenamt, das früher biedere Leitfäden für die Ausbildung ausländischer Soldaten verfasste, wurde das zackige ZNBw, das im Juli 2002 seinen Dienst aufnahm - das jedoch seine Informationen ausschließlich mit offenen Mitteln und Methoden erlangen muss. Jede geheimdienstliche Tätigkeit beispielsweise ist dem Zentrum nicht erlaubt, anders also als beim BND oder dem Militärischen Abschirmdienst (MAD). Diese Trennlinie soll aber nicht immer eingehalten worden sein.

Vor Monaten war durchgesickert, dass Daten aus dem Jahr 2002 über den Afghanistan-Einsatz der Bundeswehr verschwunden sind. Auch Berichte über die angebliche Teilnahme von Angehörigen des MAD an Verhören durch Militärs auf der US-Militärbasis Tuzla fehlen. Die Berichte waren an das ZNBw geleitet worden. Lässt dort jemand Unterlagen verschwinden? Drückt er auf den Knopf, damit sich Nachfragen nicht mehr lohnen?

Fest steht: Der BND hat beim Kompetenzgerangel gewonnen. Schon vor knapp zwei Jahren verständigten sich Kanzleramt und Verteidigungsministerium, dass der BND künftig die Aufklärung für die Einsätze der Bundeswehr im Ausland übernehmen soll. 270 neue Mitarbeiter werden deshalb beim BND eingestellt. Die Gelsdorfer können sich bewerben, das ZNBw wird ebenso wie die Eule aus dem Wappen verschwinden.

Quote

27.06.2007 09:51:00

Flinker:

Der Fisch stinkt immer am Kopf zuerst. Traurig, aber sehr wahrscheinlich sehr wahr. Die wahren Staatsfeinde sitzen im Kanzleramt, Verteidigungs- , Außen- und Innenministerium. Lücken- und schonungslose Aufklärung ist hier notwendig. Für wie blöd wird man als Bürger eigentlich gehalten? CDU und SPD erhalten bei zukünftigen Wahlen von mir die Quittung. Eine Stimme weniger. Aber eine, die nicht nicht wählt, sondern eine andere Partei. Was kann man als Wähler schon groß machen... aber, jede Stimme schmerzt, reduziert sie doch den Machtkuchen der regierenden Einheitspartei(en). 'Früher' hätte ein zuständiger Minister die Konsequenzen gezogen und den Hut genommen. Aber der Machterhaltungstrieb ist wohl in den Jahrzehnten Bundesrepublik Deutschland immer stärker geworden. Die Hemmschwellen immer geringer. Mit Demokratie haben solche Vorgänge immer weniger zu tun. Haben wir sie denn schon, die korrupte Bananenrepublik im Nadelstreifenanzug? Wahrscheinlich existierte sie schon seit Bestehen der Bundesrepublik Deutschland. Die aktuellen Akteure werden nur immer unverschämter. Ich kann nur hoffen, daß immer mehr Bürgern die Augen aufgehen, von wem sie da schon seit vielen Jahren regiert werden.

Quote

27.06.2007 09:41:34

Hein Daddel: Nee, ja, alles klar...!?

Was will dieser Artikel vermitteln? Mitarbeiter des ZNBw haben im "Wettbewerb" mit dem BND Kompetenzen überschritten, und damit das nicht zu Ärger führt, hat "man" die Beweise verschwinden lassen, bzw. eine "Datenpanne" vorgetäuscht? Aber weil in der "Welt der Geheimdienste" die Dinge eben so undurchschaubar sind, ist das auch nicht wirklich ein Beinbruch. Es handelt sich bei der ganzen Angelegenheit allenfalls um einen Verstoß gegen die behöhrdliche Etikette... -also eigendlich nichts wirklich Schlimmes? Zumal die "Bond-Gilde" des ZNBw sowieso aufgelößt wird.
Da sieht man mal wieder, daß sich alles ganz harmlos darstellt! Dieser Artikel muß doch den ganzen Verschwörungstheoretikern klar machen, daß ihre bösartigen Unterstellungen und Vermutungen einfach Hirngespinnste sind... Von wegen Folter, Menschenrechtsverletzungen in Kriegsgebieten... -"unsere Soldaten", absurd! Ha,ha,ha... -diese linken Spinner!

Quote

27.06.2007 09:13:08

Zitronensorbet: Was Experten dazu sagen:

Zitat von der Tagesschauseite:

Bernd Melchers, der Leiter der Datensicherung im Hochschulrechenzentrum der Freien Universität Berlin, unterstellt der Bundeswehr auf der Internetseite von "Report Mainz" Unprofessionalität. "Alles was fehlerfrei auf Bandkassetten geschrieben wurde, kann man innerhalb von 20 Jahren auch wieder auslesen", so der Computerexperte. "Selbst wenn Staatssekretär Peter Wichert die Bänder aufgegessen hätte, würden professionelle Datenrettungsunternehmen nach der Verdauung den Inhalt wieder herstellen können."
Zitat Ende.


Na dann: Guten Appetit!

Quote

26.06.2007 21:18:45

Restblubbern: viel zahnloses Geschreibe

ich bin mir nicht im klaren darüber, ob die SZ da ihrer Aufgabe gerecht wird. Dieses Thema taugt nicht unbedingt für spannende Labyrinth-Geschichten. Der Leser sollte erfahren:
a) wer trägt die politische Verantwortung für diese Informations-Unterschlagung
b) welche Konsequenzen ziehen die Verantwortlichen daraus, und was tut die Opposition an ordendtlicher Sacharbeit bzw. versäumt dies
c) wie groß ist der Schaden, bzw. wie groß ist er zu vermuten
d) Welche Gesetze wurden mißachtet.

Wir können nicht akzeptieren, dass mit irrsinnigem Tornado-Aufwand Demonstranten bedroht und ausgespäht werden und im eigenen Laden systematische Verdunklung stattfindet.
Damit entzieht sich die Bundeswehr und verwandte Einheiten dem Primat der Politik.

Einer solchen Regierung, die hier nicht augenblicklich für peinlich genau Aufklärung sorgt, muß die Opposition das Mißtrauen aussprechen. Darüber lese ich in diesem fabulierenden Artikel wenig. Natürlich kann man jetzt wieder die Bundestagsabgeordneten selber anschreiben - aber hier muß zuerst die "freie" Presse ran.

Quote

26.06.2007 21:12:53

sui01: Letzter Versuch :-P

Meines Erachtens wird mit dem deutschen Nachrichtendienst zu streng ins Gericht gegangen. Ein jeder von uns kennt doch diese "Momente der Konfusion". Auch ich
verzweifle regelmäßig bei der Suche nach meinem Autoschlüssel. Bisweilen werfe
ich auch Zeitungsartikel in den Müll, die ich noch lesen wollte. Andere resignieren,
wenn sie halb blind nach ihrer Brille tasten. Lassen Sie mich versuchen, den Tathergang
im Zentrum des Nachrichtenwesens zu rekonstruieren:
Da sitze ich (Max Mustermann) also nun im Rechenzentrum des Nachrichtendienstes und spiele Solitär. Eine Windows Fehlermeldung erscheint auf dem Bildschirm. "Soll der Ordner: Paramilitärische Operationen, Verstöße gegen die UN-Charta und weitereswirklich gelöscht werden ? Nach 4 Jahren Schweinereien ist der Ordner verständlicherweise zu groß für den Papierkorb und wird von Max Mustermann, der kurz davor stand, sein Solitär Spiel im höchsten Schwierigkeitsgrad (Las Vegas, eine Karte) erstmals erfolgreich zu absolvieren, im Zuge einer intuitiven Augenblickseingabe fahrlässig gelöscht.

So ungefähr könnte es sich abgespielt haben...... :-)


Quote

26.06.2007 21:11:03

Feldwebel:

Wieder einmal ein Riesentheater um nichts. Das einzige was mich daran stört ist dass diese linken Demagogen wie Ströbele wieder Munition für ihre Verschwörungstheorien haben.
Selbst wenn der Untersuchungsausschuss diese Daten bekommen hätte, wär eh nichts dabei rausgekommen. Man vertuscht nichts indem man sämtliche wichtigen Daten über einen Zeitraum von ein paar Jahren löscht. Das macht man indem man einzelne kritische Berichte löscht oder dem Ausschuss die Herausgabe verweigert. Gewisse Mitglieder haben ja immer wieder gezeigt, dass sie mit solchen Informationen nicht vertraulich umgehen können.

Quote

26.06.2007 19:24:21

Nzame: Daten verschwunden?

Wer glaubt denn wahrhaftig, dass irgendwelche Daten in Deutschland verschwinden?
Liebe Leute, dieser Staat ist schon seid Gedenken für seine pedante und akribische Datensammlung bekannt; Alles wird feinsäuberlich erfasst und notiert.
Die Wahrheit ist immer noch da draußen. Die Dreistigkeit jedoch, mit der das gemeine Volk an der Nase herumgeführt wird, die ist zweifelsfrei bewundernswert.


Aus: "Operation Persilschein" - Das Zentrum für Nachrichtenwesen der Bundeswehr steht im Mittelpunkt einer Affäre. Möglicherweise sollten Daten verschwinden, um heikle Details über Auslandseinsätze der Armee zu vertuschen. Von Hans Leyendecker
Quelle: http://www.sueddeutsche.de/,tt3l1/deutschland/artikel/669/120517/ (http://www.sueddeutsche.de/,tt3l1/deutschland/artikel/669/120517/)


-.-

Quote
[...] Bei der Bundeswehr sind einem Zeitungsbericht zufolge auch Berichte über die Teilnahme deutscher Offiziere an Verhören in einem US-Geheimgefängnis verschwunden. Die Berichte habe das Zentrum für Nachrichtenwesen der Bundeswehr aus einem Geheimgefängnis im bosnischen Tuzla erhalten, berichtet die "Berliner Zeitung".
 
In Tuzla sollen die USA vor und nach dem 11. September 2001 Terrorverdächtige festgehalten und zum Teil misshandelt haben. Wie die Zeitung unter Berufung auf einen BND-Bericht weiter berichtet, waren an Verhören in Tuzla zumindest im Jahr 2001 auch Offiziere des Militärischen Abschirmdienstes (MAD) beteiligt. Das Blatt zitierte einen Sicherheitsexperten, dem zufolge mit Hilfe der verschwundenen Daten aufgeklärt werden könnte, welche Offiziere illegalerweise an solchen Verhören teilgenommen hätten.


Aus: ""Sehr fragwürdig" - Zweifel am Datenschwund" (Dienstag, 26. Juni 2007)
Quelle: http://www.n-tv.de/819218.html (http://www.n-tv.de/819218.html)


-.-


Quote
[...] Zu den "entlöschten" Festplatten gehöre auch die Harddisk eines Laptops, der vom dem Kommando Spezialkräfte (KSK) in Afghanistan benutzt worden sein soll. KSK-Soldaten sollen den in Bremen geborenen Türken Murat Kurnaz im afghanischen Kandahar verhört haben, ehe Kurnaz nach Guantanomo Bay deportiert wurde. Allerdings wurde der besagte Laptop gestohlen und tauchte nach Monaten in Neapel auf. Entsprechend heißt es beim Verteidungungsministerium, dass auf der rekonstruierten Festplatte "keine für den Untersuchungsauftrag relevanten neuen Dokumente" gefunden wurden. Der Kurnaz-Untersuchungsausschuss erhält damit keine erhellenden Unterlagen. Nach Einschätzung des Ministeriums soll der "weitaus überwiegende Teil" der verlorenen Dateien wieder verfügbar sein. Allerdings könne man mit letzter Gewissheit nicht sagen, ob alle Dateien wieder da sind, weil die Namen der verloren gegangenen Dateien nicht bekannt seien.

Quote
28. November 2007 15:38
So ein Zufall aber auch!
Fritz S. Jobs (215 Beiträge seit 19.09.07)

Daten wieder da, aber ausgerechnet die interessanten Dateien waren
auf einem Laptop, das geklaut wurde. Gottseidank taucht es in Neapel
(! ein reisefreudiger Afghane oder eine ISAF-Laptop-Klau-Bande)
zufällig wieder auf. Toll! Aber ausgerechnet auf diesem Laptop lässt
sich danach nichts mehr finden von den interessanten Daten.
Vermutlich waren die Diebe sorgfältiger als manche Behörde und haben
deshalb die ganze Platte sauber fünfmal mit Zufallswerten
überschrieben, was?

Immer diese Zufälle aber auch.

Quote
28. November 2007 15:40
Wie das denn? Die Kassetten wurden am 4. Juli 2005 vernichtet
Tyler Durden, JensMander@baldmama.de (mehr als 1000 Beiträge seit 26.06.00)

# "Entsprechend der gültigen Vorschriften zum Umgang mit
Verschlusssachen wurden die nicht mehr lesbaren Kassetten am 4. Juli
2005 vernichtet", erklärt Wichert in dem Schreiben. #
http://www.heise.de/newsticker/meldung/91700/

Also Daten, die die Bundeswehr speichern soll, gehen verloren
und Daten, die laut  Aussage eines Staatssekretärs "entsprechend
gültiger Vorschriften" vernichtet wurden, können wiederhergestellt
werden?

Wenn ich also alle Aussagen einfach mal so glaube:
Die Bundeswehr kann also weder richtig speichern noch löschen
bzw: Die Sache stinkt ganz gewaltig

TD

Quote
28. November 2007 15:42
Die haben einfach etwas Zeit gebraucht...
KampfKeksKommando (228 Beiträge seit 27.06.07)

...um die eigenen Daten sorgfältig zu sichten. Schließlich soll ja
hinterher nichts gefunden werden, was evtl. belasten könnte.

SCNR

kkk

Quote
28. November 2007 15:46
Bundeswehr: Daten nach Datenpanne bereinigt und korrigiert
Skirsekarks (mehr als 1000 Beiträge seit 31.07.00)

"Die Zeit vom 'Verlust' bis zum 'Wiederfinden' war jetzt ausreichend
lang, um sensible Daten für die Öffentlichkeit aufzubereiten", so ein
Sprecher...



Quote
28. November 2007 15:45
Festplatten sind seltsame Wesen
mordsDing boa eh (mehr als 1000 Beiträge seit 25.03.05)

verstehe einer diese Festplatten . Mal verschwinden sie, wie im Fall
Max Strauß zwischen zwei Staatsanwaltschaften (beide bayrisch), und
selbst die Kopie ist leider nicht mehr auffindbar. Mal löschen sie
sich auf wundersame Weise, und dann auch noch ausgerechnet
ermittlungsrelevante Bereiche. Mal gehen sie einfach kaputt. Oder sie
werden irgendwo in Containern gefunden und enthalten Brisantes.

Man sollte alle Festplatte verhaften, einsperren und nie mehr raus
lassen. Sie sind einfach zu unzuverlässig. Und gefährlich!

Herr Schäuble ...!


Quote
28. November 2007 15:58
" Es kann nicht sein was nicht sein darf"
DawaZangpo, Dawa Zangpo, DawaZangpo@netscape.net (71 Beiträge seit 18.01.07)

Ich fühle mich so wunderbar belogen.
Steinmeier lässt Menschen in Guantamo Bay verschimmeln.
Folter? bitte, wer soll das bezeugen.
Beweise ? wo Bitte.
Daten werden widerhergestellt, "selektiv aber nicht mehr möglich"?

Mein Mitgefühl gehört Herrn Kurnaz.

Ich fühle mich missbraucht, wenn diese Regierung sich anmaßt
stellvertretend für mich Entscheidungen zu treffen.

Nieder mit dem Lügen-Imperium ! ! !


Quote
28. November 2007 16:12
Schule: Der Hund hat meine Hausaufgaben gefressen
j0chenM (94 Beiträge seit 22.07.06)

> ... "keine für den Untersuchungsauftrag relevanten neuen Dokumente" gefunden wurden

Den Teil wo meine Hausaufgaben drauf waren hat er wohl
runtergeschluckt...

Quote
28. November 2007 16:42
Den KSKs wird einfach so ein Schleppi geklaut?
PuppetMaster, rst_77@gmx.net (373 Beiträge seit 07.01.00)

Die Junngs sind doch in etwa mit den US-Marines vergleichbar, oder?
So 2x2 Meter, Oberarme wie andere Leute Oberschenkel, drauf
trainiert, jemandem mit einem Handgriff das Genick zu brechen (mal
überspitzt formuliert). Und denen klaut man einfach einen Schleppi?
Aha...
Im Übrigen die Jungs, die nicht nur unsere Interessen am Hindukusch
verteidigen (welche auch immer das seien), sondern schon seit Monaten
ganzen Armeen von super-duper-bösen Terroristen standhalten. Also,
kampferprobten, hellwachen und im Idealfall blitzgescheiten Leuten.
Denen wird mal einfach so ein Laptop gemopst. Der auch selbstredend
keine Plattenverschlüsselung o.ä. drauf hat, wo die Daten auch noch
entsprechend sinnig benannt sind: C:\Dokumente und
Einstellungen\Administrator\Eigene
Dateien\Kurnaz-Foltergeständnis-Part1of10.doc
Die Daten, die nun aber dummerweise nicht mehr rekonstruiert werden
können. Aha...

Kommt es nur mir nur so vor, oder ist das der größte Unfug seit
langem, mit dem man uns versucht abzuspeisen?





Aus: "Bundeswehr: Daten nach Datenpanne wieder aufgetaucht" Detlef Borchers (28.11.2007)
Quelle: http://www.heise.de/newsticker/meldung/99694 (http://www.heise.de/newsticker/meldung/99694)

Title: [Eine große Menge interner Daten... (Notiz)]
Post by: Textaris(txt*bot) on Juli 22, 2007, 01:22:36 nachm.
Quote
[...] Ein 26-jähriger Polizist der Tokioter Stadtpolizei ist am vergangenen Freitag entlassen worden, nachdem von seinem PC aus eine große Menge interner Daten ins Internet gelangt war. Bereits Ende Juni hatte die Polizei mitgeteilt, dass sensible Daten über eine möglicherweise virenverseuchte Filesharing-Software auf einem Computer einer Dienststelle verteilt worden waren. Der jetzt Entlassene hatte zunächst abgestritten, das P2P-Programm auf seinem Arbeitsplatzrechner installiert zu haben.

Die Daten gelangten an die Öffentlichkeit, weil das Programm offenbar Zugriff auf die gesamte Festplatte des Rechners hatte. So seien Daten zu insgesamt 10.500 Personen veröffentlicht worden, darunter Ermittlungsakten, Berichte, Zeugenaussagen und eine Liste mit Mitgliedern organisierter Banden. Unter den verteilten Dateien waren japanischen Medienberichten zufolge auch Fotos sowie die geheimen Standorte von Systemen zur automatischen Erkennung von Autokennzeichen. Dies sei die größte Datenpanne bisher, teilte die Polizeidienststelle mit. (bb/c't)

Quote
21. Juli 2007 20:03
Funktioniert Schäubles Online-Durchsuchung auch in beide Richtungen?
Diedel (mehr als 1000 Beiträge seit 28.02.01)

Was meint Ihr?

Quote
21. Juli 2007 20:17
Re: Funktioniert Schäubles Online-Durchsuchung auch in beide Richtungen?
BasisDemokrat (mehr als 1000 Beiträge seit 29.10.00)

Diedel schrieb am 21. Juli 2007 20:03

> Was meint Ihr?

Gar nicht nötig. Bei uns in Deutschland werden komplette Festplatten
der Polizei mit Daten bei eBay versteigert:

Quote
Mitarbeiter versteigerte sieben Festplatten mit Polizeidaten
Das Rätselraten um die Herkunft der im Internet versteigerten Computer-Festplatte mit geheimen Polizeidaten ist zu Ende. Ein 45-jähriger Angestellter der Zentraldienste der Polizei habe gestanden, den Speicher unberechtigt über das Internet-Auktionshaus eBay versteigert zu haben, erklärte Brandenburgs Innenminister Jörg Schönbohm (CDU) heute in Potsdam. Das Arbeitsverhältnis mit dem Beschuldigten sei bereits beendet worden.
> http://www.heise.de/newsticker/meldung/58353

:-)

Schönen Tag wünscht
BasisDemokrat





Aus: "Filesharing kostet Tokioter Polizisten den Job" (21.07.2007)
Quelle: http://www.heise.de/newsticker/meldung/93077 (http://www.heise.de/newsticker/meldung/93077)
Title: [Server mit Polizeidaten... (Notiz, GB)]
Post by: Textaris(txt*bot) on August 15, 2007, 02:06:17 nachm.
Quote
[...] Im Großraum London ist in der vergangenen Woche ein Einbruch verübt worden, bei dem der oder die Täter einen Server mit geheimen Ermittlungsdaten aus dem terroristischen und OK-Umfeld (Organisierte Kriminalität) entwendet haben. Ziel des Einbruchs war das Hauptquartier von Forensic Telecommunication Services (FTS) in Sevenoaks (Kent), ein Privatunternehmen mit rund 90 Angestellten, das sich auf die kriminaltechnische Auswertung von Mobilfunkgeräten und -anwendungen spezialisiert hat. Auf dem gestohlenen Server sollen sich detaillierte Informationen zu tausenden Handytelefonaten sowie Bewegungsdaten von Mobiltelefonbesitzern befinden, die als Beweismittel in Gerichtsprozessen Verwendung finden. Zu den Kunden von FTS gehören unter anderem Scotland Yard, die Polizei Nordirlands, die britischen Zollbehörden sowie die Generalstaatsanwaltschaften von England und Wales (Crown Prosecution Service).

Während FTS erklärte, die abgesichert gespeicherten Daten beträfen keine laufenden polizeilichen Ermittlungen und hätten deshalb nur wenig Nutzen für die Diebe, bezeichnete der Schatteninnenminister der Konservativen, David Davis, den Vorfall als "außerordentlich schwerwiegend". Die britische Presse spekuliert derweil über mögliche Hintergründe und Auftraggeber. Einem Bericht der Mail on Sunday zufolge könnten sowohl terroristische Gruppierungen als auch organisierte Banden in Frage kommen, "die eine Menge Geld dafür bezahlen würden, um herauszubekommen, ob genügend Beweise für eine Verhaftung oder eine Verurteilung vorliegen, und ob Telefonverbindungen überwacht wurden". Dass die Lage sehr ernst ist, belegt unter anderem die Tatsache, dass sofort nach dem Vorfall Scotland Yards Anti-Terrorismus-Kommando SO15 eingeschaltet wurde. FTS erhält seit etwa sechs Jahren Beweissicherungsaufträge von den britischen Polizeibehörden. Das Unternehmen bezeichnet sich selbst als "Weltmarktführer bei der forensischen Analyse von Mobiltelefon-, PDA- und TK-Equipment-Daten". (pmz/c't)

Quote
14. August 2007 16:34
Die Daten dürfen doch sicher nur nach richterlichem Beschluss eingesehen werden
flare----* (mehr als 1000 Beiträge seit 08.12.04)

Kein Problem also, die Diebe werden sich wohl an ein Gericht wenden,
und dann kann man sie ja dingfest machen.

Zudem, seit wann mischt sich die Öffentlichkeit eigentlich in die
Datenbestände privater Firmen ein?

Quote
14. August 2007 16:41
Wo ist das Problem?
Meinungsfrei (mehr als 1000 Beiträge seit 30.04.02)

Die Daten auf dem Server waren sicher verschlüsselt und es liegt ein
aktuelles Backup im Safe. Der einzige Schaden, der aufgetreten ist,
sollte der Verlust der Hardware sein. Oder etwa doch nicht? ;-)

Gruß

mf

Quote
14. August 2007 16:49
Re: Wo ist das Problem?
tiiim (231 Beiträge seit 16.08.05)

Oder... oder nicht? ;-)

Ich freue mich schon auf die Schlagzeile: Datenbank der Agentur zur
zentralen Einkommenserfassung der deutschen Lohnsklaven im
Torrent-Netzwerk aufgetaucht.


Quote
14. August 2007 16:44
Analogie zur Bundeswehr?
tiiim (230 Beiträge seit 16.08.05)

Wie bitte klaut man einen *ganzen* Server?

Ist das so ein Märchen wie das mit den gelöschten Daten bei der
Bundeswehr, wo auch das Backup aus Versehen gelöscht wurde?

Professionelle Rechenzentren verfügen normalerweise über
Zutrittsbarrieren, Gebäudeüberwachung, Serverraumüberwachung,
Hardwareüberwachung, etc.

Erst Recht bei derart sensiblen Daten.

Und man muss ja auch erstmal wissen, welcher Server die wertvollen
Daten speichert, ist ja nicht so das da ein fetter Aufkleber dran
ist: "Hochgeheimer Datenserver"

Und selbst wenn es man durch soziale Manipulationen bis zum Server
geschafft hat, wie kommt man mit dem Ding wieder aus dem Gebäude
raus?

Ich sehe hier eigentlich nur drei mögliche Szenarien:

1) Der oder die Diebe haben sich unter massivem Gewalteinsatz und
explosiven Stoffen direkten Zugang verschafft und sich dann eine
wilde Verfolgungsjagd mit dem Sicherheitsdienst und der Polizei
geliefert.
-> HOLLYWOODREIF, aber UNWAHRSCHEINLICH

2) Der "professionelle" Dienstleister ist ein kleine Klitsche und der
Server war ein "Tower" der im Back-Office (früher:
Hinterhofwerkstatt) ungesichert herumstand.
-> PEINLICH, aber WAHRSCHEINLICH

3) Die Daten mussten "verschwinden" - da die "aus Versehen
gelöscht"-Ausrede erst kürzlich in Deutschland benutzt wurde und dort
auch einige Kompetenzfragen auswarf, erfand man eine neue Geschichte,
die man zusätzlich auch noch als Drehbuch vermarkten kann.
-> ZUTREFFEND?




Aus: "Scotland Yard sucht Server mit geheimen Ermittlungsdaten" (14.08.2007)
Quelle: http://www.heise.de/newsticker/meldung/94353 (http://www.heise.de/newsticker/meldung/94353)

-.-

Quote
[...] Dem Unternehmen Forensic Telecommunication Services (FTS), das der britischen Polizei bei der Terroristenjagd hilft, wurde ein Server mit Polizeidaten aus seinem Büro in Sevenoaks gestohlen. Laut Aussage der Polizei haben die Daten auf dem Server allerdings nur einen geringen Nutzen, da sie verschlüsselt sind.

"Auch in dem unwahrscheinlichen Fall, dass die Diebe sich trotz der Verschlüsselung einen Zugang zu den Daten verschaffen, hat das keine weit reichenden Auswirkungen, denn keine der gespeicherten Daten betrifft laufende polizeiliche Ermittlungen”, teilte FTS mit. Die gespeicherten Information umfassten Daten über bereits abgeschlossene Fälle sowie Daten über Fälle, die bereits verhandelt werden und somit sowohl den Verteidigern als auch den Anklägern zugänglich sind.


Aus: "Server mit Polizeidaten in Großbritannien gestohlen" Von Colin Baker und Katharina Guderian CNET News.com (14. August 2007)
Quelle: http://www.zdnet.de/news/business/0,39023142,39157030,00.htm (http://www.zdnet.de/news/business/0,39023142,39157030,00.htm)
Title: [Der Datendiebstahl im Internet...(Notiz)]
Post by: Textaris(txt*bot) on September 20, 2007, 01:27:25 nachm.
Quote
[...] Der Datendiebstahl im Internet wird nach einer aktuellen Studie des IT-Sicherheitsunternehmens Symantec immer professioneller und hat sich in kurzer Zeit zu einem milliardenschweren illegalen Markt entwickelt.

Wie herkömmliche Wirtschaftszweige sei mittlerweile auch Online-Kriminalität in verschiedene Arbeitschritte gegliedert, die auf unterschiedliche Stellen aufgeteilt werden, hieß es.

Hoch entwickelte Angriffswerkzeuge, die zum Teil professionell programmiert sind, würden im Internet zum Teil für bis zu 1.000 US-Dollar [722 Euro] angeboten, teilte Symantec am Montag mit.

Zu den Opfern zählten laut Symantec fast ausschließlich [99,4 Prozent] private Computernutzer.Im Vergleich zum Vorjahr zeigte sich ein deutlicher Anstieg bei der Zahl der Viren, Würmer und Trojaner. 212.101 neue Codes wurden aufgespürt.

China zeigte sich als das Land mit den meisten Infektionen durch Web-Bots. Die Bots sind Programme, die sich vom Benutzer unbemerkt in Computer einnisten und sich im Internet zu einem Netz verbinden. Über dieses Netzwerk können dann Angreifer die Rechner manipulieren und automatisch Informationen abgreifen.


Aus: "Studie: Milliardengeschäfte mit Datendiebstahl" ([futurezone | APA | dpa | pte], 17.09.2007)
Quelle: http://futurezone.orf.at/it/stories/222364/ (http://futurezone.orf.at/it/stories/222364/)

Title: [Kreditkartennummern... (Notiz, Kartenhaus)]
Post by: Textaris(txt*bot) on Oktober 06, 2007, 10:47:27 vorm.
Quote
[...] Der Hamburger Ticketverkäufer Kartenhaus [http://www.kartenhaus.de/] hat seine Kunden am heutigen Donnerstag darüber informiert, dass bislang unbekannte Täter Kreditkartennummern und Rechnungsanschriften gestohlen haben. Betroffen sollen 66.000 Kunden sein, die zwischen dem 24. Oktober 2006 und dem 30. September 2007 über die Website Kartenhaus.de mit Kreditkarten Tickets gekauft haben. Ausgenommen davon seien lediglich Kreditkartenkäufe von Eintrittskarten für Hertha BSC, HSV Handball und die Eisbären Berlin.

Die Muttergesellschaft Ticketmaster rät den Kunden "schnellstmöglich ihre Kreditkartenabrechnung zu prüfen, um mögliche Unregelmäßigkeiten oder Missbrauch zu identifizieren". Wie der oder die Täter an die Daten kamen, ist bislang nicht bekannt. Die Rede ist lediglich von einem Server, der betroffen gewesen sein soll. Man habe unmittelbar nach Bekanntwerden des Angriffs ein internes Team zusammengestellt, um die Sicherheitslücke zu identifizieren und alle notwendigen Stellen darüber zu informieren, erklärte der stellvertretende Vorsitzende von Ticketmaster Europe, Tommy Higgins.

Die eventuell betroffene Konsumenten seien gewarnt worden. Über eine spezielle Website sollen sie weitere Informationen erhalten. Dabei würde sehr eng mit den relevanten Banken und Karteninstituten zusammengearbeitet. Außerdem sei Anzeige erstattet worden, damit die Verantwortlichen juristisch belangt werden. Das zum IAC-Konzern gehörende Unternehmen Ticketmaster hatte die Kartenhaus GmbH im November 2005 übernommen. Im Jahr 2006 verkaufte Ticketmaster rund 128 Millionen Tickets im Wert von mehr als 7 Milliarden US-Dollar. (pmz/c't)

Quote
Hier der Text der E-Mail
Fussfetischist, fussfetischist@gmx.eu (751 Beiträge seit 02.01.07)

Sehr geehrter Kartenhaus-Kundin, sehr geehrter Kartenhaus-Kunde,

wir möchten Sie darüber informieren, dass wir vor kurzem entdeckt
haben, dass Kartenhaus Opfer eines rechtswidrigen Angriffs auf seine
Internetseite www.kartenhaus.de wurde. Durch diesen Angriff hat ein
unbekannter Täter einige Ihrer persönlichen Informationen gestohlen.
Wir haben leider Grund zu der Annahme, dass Ihre
Kreditkarteninformationen, einschließlich der Rechnungsanschrift für
Ihre Karte mit der Endnummer **** gestohlen wurden.

Wir empfehlen Ihnen, Ihre Kreditkartenabrechnung so bald wie möglich
zu prüfen, um mögliche betrügerische Geschäftsvorgänge zu
identifizieren. Auch in der nahen Zukunft sollten Sie Ihre
Abrechnungen weiterhin auf betrügerische Geschäftsvorgänge hin
überprüfen. Bitte erwägen Sie auch, mit Ihrem Kreditkartenunternehmen
Kontakt aufzunehmen und andere geeignete Maßnahmen zu treffen, die
Ihr Kreditkartenunternehmen Ihnen gegebenenfalls empfiehlt.

Wir haben bereits und werden auch weiterhin alle uns zur Verfügung
stehenden Maßnahmen ergreifen, um Ihre persönlichen Informationen zu
schützen und einen weiteren unbefugten Zugriff zu verhindern. Sofort
nach Kenntniserlangung von dem Diebstahl haben wir ein Team von
Experten aus den Bereichen Technologie, Kreditkarten und Sicherheit
eingesetzt, das mit der Lösung des Problems betraut ist. Wir arbeiten
außerdem mit den zuständigen Strafverfolgungsbehörden zusammen, um
die für diese Straftat verantwortlichen Individuen zu ermitteln und
dazu beizutragen, sie vor Gericht zu bringen.

Wir bedauern die Unannehmlichkeiten, die diese Sicherheitsverletzung
bereitet, zutiefst und haben Verständnis dafür, wenn unglückselige,
kriminelle Aktivitäten wie diese Sie sogar dazu veranlassen sollten,
es sich zweimal zu überlegen, bevor Sie Ihre nächsten Karten über
Kartenhaus beziehen. Wir versprechen Ihnen, dass wir auch weiterhin
hart daran arbeiten werden, uns als vertrauenswürdiger Kartenanbieter
zu erweisen, für den Sicherheit an erster Stelle steht.

Wir schätzen Ihr Unternehmen sehr. Sollten Sie weitere Fragen haben,
schreiben Sie uns bitte eine Email an
kreditkartenhilfe@kartenhaus.de.

Quote
4. Oktober 2007 19:45
Sehr geehrter Kartenhaus.de Kunde,
Konfuzius Peng (602 Beiträge seit 22.01.07)

To: fussfetischist@gmx.eu

Sehr geehrter Kartenhaus.de Kunde,

wir arbeite eng mit das Kreditinstituten zusammen, umd versichern
Ihnen, dass wir alles machen werden, um ihr Kontoaccount zu schutzen.

Dafur benotige wir zur verifizierungen ihre Kontoaccount nochmals zu
Ihre Kontonummer die 3 Digits Nummer Ruckseite.

Bitte schicken alle schnell an Email.

Mwebanatse@KARTENHAUS.DE.notanigeriafraud.com
Quote
4. Oktober 2007 19:46
Re: Sehr geehrter Kartenhaus.de Kunde,
tzembi (291 Beiträge seit 11.01.02)

YMMD !

Thx !




Aus: "Zehntausende Kartenhaus-Kunden von Kreditkartendaten-Diebstahl betroffen" (04.10.2007)
Quelle: http://www.heise.de/newsticker/meldung/96953 (http://www.heise.de/newsticker/meldung/96953)

Title: ["Daten-Leck des Jahrzehnts"... (Notiz, BIS)]
Post by: Textaris(txt*bot) on Oktober 09, 2007, 09:48:09 vorm.
Quote
[...] Aus der Wirtschaftsabteilung des tschechischen Nachrichtendienstes BIS sind offenbar brisante Daten über Wirtschaftsspionage an die Öffentlichkeit gelangt, darunter die Klarnamen von Agenten. Der Verlust sei aufgefallen, weil Teile der sensiblen Daten in Unternehmerkreisen auftauchten, berichtet das News-Portal Aktualne.cz. Es handele sich um das "Daten-Leck des Jahrzehnts".

Laut Radio Prag hat die Geheimdienst-Abteilung die Aufgabe, die wirtschaftlichen Interessen des Staates zu schützen. Dazu gehörten etwa die Überprüfung der Empfänger von staatlichen Aufträgen, die Überwachung von Sicherheitsfragen bei Privatisierungen und die Kontrolle von Finanzgesellschaften.

Unklar ist bislang, wie es zu der Sicherheitspanne kam. Den Angaben zufolge sind IT-Sicherheitslücken ebenso möglich wie ein Diebstahl durch einen BIS-Mitarbeiter. "Die Situation sieht ernst aus", sagte der Leiter des Kontrollausschusses im Prager Parlament, Jeronym Tejc. Der Geheimdienst wollte sich bislang nicht zu dem Fall äußern. (pmz/c't)

Quote
8. Oktober 2007 18:02
Inzwischen freuen mich Schlagzeilen dieser Art
megakill (mehr als 1000 Beiträge seit 14.04.04)

ist nämlich ein Argument gegen alle möglichen Datenbanken und
Sammeltöpfe für Daten aller Art.

Quote
8. Oktober 2007 18:06
Es wird nur für D nix nutzen...
Hinz & Kunz (mehr als 1000 Beiträge seit 28.09.01)

"Deutsche Kernkraftwerke sind sicher!"

hinz & kunz

Quote
8. Oktober 2007 18:11
Re: Es wird nur für D nix nutzen...
shamash (mehr als 1000 Beiträge seit 04.07.01)

Hinz & Kunz schrieb am 8. Oktober 2007 18:06

> "Deutsche Kernkraftwerke sind sicher!"
Ebenso wie Kreditkartensammlungen bei Online-Anbietern, biometrische
Merkmale in Ausweisdokumenten etc...
Ach ja, die Rente ist auch sicher...

*Datenvermeidung* als hoechste Prioritaet im Datenschutzgesetz wird
trotzdem nur ein Traum bleiben.

-m*sh-


Quote
8. Oktober 2007 22:24
Nein.
FrogmasterL (mehr als 1000 Beiträge seit 02.11.05)

Es ist ein Argument für noch mehr Datenerfassung, um die bösen
Gangster in Zukunft fassen zu können.


Quote
8. Oktober 2007 18:36
Daten lassen sich nicht einsperren.
klawischnigg (mehr als 1000 Beiträge seit 04.12.03)


Irgendwie und irgendwo wird es immer wieder passieren, sei es durch
Unachtsamkeit, technische Pannen oder Vorsatz, das gesammelte und
vermeintlich geheime Daten an die Öffentlichkeit oder zumindest an
nicht vorgesehene Stellen gelangen.

Das ist aus meiner Sicht auch _das_ Hauptargument gegen behördliche
Datensammelwut. Selbst bestaugebildetes Personal kann auf die Dauer
auf Daten nicht aufpassen, der Realbeamte kann das noch viel weniger.
Es gibt nur einen wirksamen Schutz gegen Datenklau und Datenverlust:
Daten gar nicht erst zu sammeln...

Quote
8. Oktober 2007 18:42
Re: Daten lassen sich nicht einsperren.
l00ny, m00nchild@gmx.net (189 Beiträge seit 22.01.00)

klawischnigg schrieb am 8. Oktober 2007 18:36

> Es gibt nur einen wirksamen Schutz gegen Datenklau und Datenverlust:
> Daten gar nicht erst zu sammeln...

Das ist ja vollkommen realitätsfremd. Es wird einfach jeder, der
eventuell, vielleicht, die nicht zur Veröffentlichung bestimmten,
dennoch zugänglichen, Daten eventuell, unberechtigterweise, zur
Kenntnis genommen haben könnte, als potenzieller Gefährder präventiv
erschossen >:->

So einfach kann das Leben sein! ;-)




Aus: "Tschechischer Geheimdienst von "Daten-Leck des Jahrzehnts" betroffen" (08.10.2007)
Quelle: http://www.heise.de/newsticker/meldung/97091 (http://www.heise.de/newsticker/meldung/97091)

Title: [Material aus polizeilichen Ermittlungsakten... (Notiz)]
Post by: Textaris(txt*bot) on Oktober 14, 2007, 01:20:44 nachm.
Quote
[...] Dresden/Hamburg - Es ist eine Datensammlung, die wie eine private Fahndungsliste anmutet: Rund 150 Namen sind in der sogenannten "Anti-Antifa-Akte" aufgeführt, Personen aus der linken Szene, Gewerkschafter, Mitglieder linker Parteien, versehen mit Geburtsdaten, oft auch mit Fotos. Sächsische Neonazis haben das Register ihrer vermeintlichen politischen Gegner aus dem Dresdner Raum im vergangenen Jahr zusammengestellt.

Zum ersten Mal tauchte die ominöse Akte Anfang 2007 auf. Sie war einer antifaschistischen Gruppe in der sächsischen Landeshauptstadt zugesandt worden, diese hatte sie öffentlich gemacht. Dass Neonazis persönliche Daten von Bürgern sammeln, die sich aktiv gegen Rechtsextremismus engagieren, und diese zum Teil auch im Internet veröffentlichen, ist an sich nicht neu. Doch in diesem Fall hatten die Autoren der Liste hochbrisantes Material verarbeitet.

Das sächsische Justizministerium bestätigte nun in der schriftlichen Antwort auf eine Anfrage des Grünen-Abgeordneten Johannes Lichdi, dass sich in der "Anti-Antifa-Akte" Material aus polizeilichen Ermittlungsakten fand. Darunter seien erkennungsdienstliche Fotos von 37 Personen und Videoprints aus Einsatzvideos der Polizei von neun weiteren Personen, heißt es in dem von Justizminister Geert Mackenroth (CDU) Papier. Die Bilder wurden demnach aus Ermittlungsakten kopiert. Nicht bekannt sei, ob die auf der überwiegenden Zahl der Aufnahmen vermerkten Namen, Geburtsdaten und -orte der Betroffenen ebenfalls aus den Polizeiakten stammten.

Wie die Akten in die Hände der Rechtsextremisten gelangt sind, darüber rätseln die Landesregierung und die betroffenen Behörden. "Es konnte nicht festgestellt werden, wie die Kopien aus den Ermittlungsakten in die sogenannte 'Anti-Antifa-Akte' gelangten", heißt es in der Reaktion des Justizministeriums.


Aus: "ANTI-ANTIFA-AKTE: Neonazis erhielten Polizeifotos politischer Gegner" (08. Oktober 2007)
Quelle: http://www.spiegel.de/politik/deutschland/0,1518,510177,00.html (http://www.spiegel.de/politik/deutschland/0,1518,510177,00.html)

Title: [Objektschutzdaten... (Notiz, BRD)]
Post by: Textaris(txt*bot) on November 13, 2007, 10:28:41 vorm.
Quote
[...] Die Darmstädter Polizei hat versehentlich ein Formular über Schutzmaßnahmen für Objekte und Persönlichkeiten an einen Presseverteiler verschickt. Der Präsident des Polizeipräsidiums, Gosbert Dölger, bedauerte das Versehen am Montagabend und betonte, das Formular sei nicht in ein öffentlich zugängliches Netz gelangt. Es seien auch zu keinem Zeitpunkt Objekte oder Personen gefährdet gewesen. Als Ursache nannte er menschliches Versagen. Der Vorfall werde polizeiintern untersucht, auch dienstrechtliche Konsequenzen würden überprüft. Er habe sich zudem mit den auf dem Formular genannten Personen in Verbindung gesetzt.

Der Hessische Rundfunk hatte zuvor von der Panne berichtet. Aus dem am Sonntag verschickten Fax sei beispielsweise hervorgegangen, wie oft Polizeistreifen die Wohnung von Bundesjustizministerin Brigitte Zypries (SPD) nachts kontrollierten. Der Polizeipräsident betonte, die Schutzmaßnahmen seien vorsorglich umgestellt worden. Rund eine Stunde nach der Fehlleitung des Faxes seien zudem die Empfänger informiert und gebeten worden, das Papier zu vernichten.


Aus: "Polizei schickt versehentlich Objektschutzdaten über Presseverteiler" (13.11.2007)
Quelle: http://www.heise.de/newsticker/meldung/98863 (http://www.heise.de/newsticker/meldung/98863)

Title: [Persönliche Daten von 25 Millionen Menschen... (Notiz, UK)]
Post by: Textaris(txt*bot) on November 21, 2007, 10:17:21 vorm.
Quote
[...] Zwei CDs mit persönlichen Daten von 25 Millionen Briten sind vor drei Wochen in einer Steuerbehörde verloren gegangen. Der zuständige Behördenchef ist zurückgetreten.

Bei den britischen Steuerbehörden sind zwei CDs mit den persönlichen Daten von 25 Millionen Menschen verloren gegangen. Die Datenträger seien in die Hauspost gegeben und ihr Verlust sei drei Wochen lang nicht bemerkt worden, sagte Finanzminister Alistair Darling am Dienstag vor dem Parlament.

Die CDs enthalten dem Minister zufolge die Daten von 7,25 Millionen Familien, die Kindergeld erhalten. Zu den Daten gehören Angaben zu Anschrift, Geburtsdaten und Bankverbindungen. Er gehe aber nicht davon aus, dass die Daten in die Hand Krimineller gefallen seien, sagte Darling. Der Chef der zuständigen Behörde trat wegen des Zwischenfalls zurück. (AP)


Aus: "CDs mit Steuerdaten in England verschwunden" (NZ, 21. Nov. 2007)
Quelle: http://www.netzeitung.de/ausland/817730.html (http://www.netzeitung.de/ausland/817730.html)

-.-

Quote
[...] Ein Mitarbeiter der Behörde habe die passwortgeschützten CDs im Oktober über einen Kurierdienst an die Finanzkontrolle geschickt, wo sie aber nie angekommen seien, sagte Darling.

Quote
21.11.2007  07:43:08

laVictoria: oops

da fällt mir spontan die geplante Datenerfassung in Deutschland ein.
Aber ich bin sicher, so etwas ist in unserem Lande ausgeschlossen.
Ebenso wie unsere Atomkraftwerke die Sichersten sind.

übrigends verstehe ich den Bericht nicht so, dass hier Originaldaten "verloren" gingen, sondern Kopien. Wofür auch immer.



Aus: "Großbritannien: CDs mit persönlichen Daten verschwunden" (SZ, 21.11.2007)
Quelle: http://www.sueddeutsche.de/ausland/artikel/211/143888/ (http://www.sueddeutsche.de/ausland/artikel/211/143888/)

Title: [Ein unverschlüsselten Tape... (Notiz, 100.000 Datensätze, Ohio)]
Post by: Textaris(txt*bot) on Dezember 13, 2007, 10:25:20 vorm.
Quote
[...] Ein Türschloss einbauen, nachdem die Wohnung ausgeräumt wurde: es bleibt nur zu hoffen, dass sich die Behörden in Deutschland und der EU schlauer anstellen als diese im US-Bundesstaat Ohio. Dort kam man nach dem Diebstahl der Datensätze von über 100.000 Bürgern auf die Idee, Verschlüsselungssoftware zu nutzen.

Daten von über 60.000 Staatsbediensteten, knapp 50.000 Steuerzahlern und fast 20.000 ehemaligen Staatsangestellten waren auf einem unverschlüsselten Tape gespeichert, welches aus einem Auto gestohlen wurde. Erste Schätzungen der Kosten durch den Diebstahl bewegen sich in Millionenhöhe. Nun schafft Ohio  in neuem Fenster folgt60.000 Lizenzen von McAfees "Safe Boot" an, um die Festplatten staatlicher Rechner zu verschlüsseln. Auch USB-Sticks, CD-Roms und andere Wechseldatenträger sollen mit der Kryptosoftware in Zukunft geschützt sein.

Gute Idee, nur leider etwas spät. Und auch nicht wirklich sicher, wie das Beispiel Großbritannien zeigte: Datensätze wurden dort zwar verschlüsselt verschickt, die notwendigen Passwörter wurden den verloren gegangenen Briefsendungen jedoch beigelegt.

Immerhin: in der EU wurde die Diskussion kürzlich wiederbelebt, ob zentral erfasste Daten auch tatsächlich sicher vor unbefugtem Zugriff seien. Ein Verbot der Speicherung sensibler Daten auf transportablen Medien wurde gefordert, ob das zur notwendigen Sicherheit führt, ist jedoch fraglich: gerne wird ein System als technisch sicher deklariert unter der Vorannahme, dass es auch korrekt bedient und verwendet wird. Menschliches Versagen, menschliche Bequemlichkeit und gewisse menschliche Schwächen wie die Versuchung, staatliche Datenbanken zu privaten Zwecken zu nutzen, fallen dabei gerne unter den Tisch.

Gezwungenermaßen - denn sonst müsste man gestehen, dass es keine sicheren Systeme gibt und daher die sichersten Daten die sind, die nicht aufgezeichnet werden. An letzterem hat aber bekanntermaßen niemand Interesse - abgesehen von den betroffenen Bürgern, deren Stimme in diesen Angelegenheiten aber in der Regel keine große Rolle spielt.


Aus: "Soviel zu staatlichen Datenbanken Ohio verschlüsselt, nachdem die Bürgerdaten geklaut wurden" (12.12.2007)
Quelle: http://www.gulli.com/news/soviel-zu-staatlichen-2007-12-12/ (http://www.gulli.com/news/soviel-zu-staatlichen-2007-12-12/)

Title: [Adresslisten, Finanzplanungen und Kalkulationen der Stadt... (Dienstcomputer)]
Post by: Textaris(txt*bot) on Dezember 14, 2007, 10:45:07 vorm.
Quote
[...] "Diese Sache" ist die tragische Geschichte eines Mannes, der als konservativer Polit-Aufsteiger von sich reden machte und inzwischen tief gefallen ist. Eines Mannes, der "die Begeisterung und das Selbstwertgefühl der Schweriner stärken" wollte, als er im Mai sein Amt als Stadtpräsident, also als Vorsitzender des Gemeinderats antrat. Und der damals von sich sagte, er wolle "kein politischer Eunuch sein".

Die Provinz-Politposse, deren Protagonist der Stadtpräsident ist, nimmt ihren Anfang am 30. Oktober. Morgens um halb sieben klingeln Kriminalpolizisten und eine Staatsanwältin Isabel aus dem Bett. Die Beamten haben einen Durchsuchungsbeschluss - es geht um Bandendiebstahl, in den K.s Lebensgefährte verwickelt sein soll - und stellen die Wohnung auf den Kopf. Erst nach Stunden rücken sie ab, nicht ohne jedoch zuvor einen Laptop der Marke "Dell" zu beschlagnahmen, der politisch brisant werden soll.

[...] Denn dieser Computer, so will es Isabel den Ermittlern sogleich zu Protokoll gegeben haben, gehört dem Schweriner CDU-Stadtpräsidenten Andreas Lange, 33. Der sei seit Januar 2007 regelmäßig ihr Freier gewesen, erinnert sich die Blondine im Gespräch mit SPIEGEL ONLINE. Seinen Laptop habe er bei ihr als Pfand für seine Schulden hinterlegt. Liebesdienste im Wert von 4200 Euro habe der Rechtsanwalt damals nicht bezahlt, behauptet Isabel, die nach eigenen Angaben inzwischen nicht mehr als Prostituierte arbeitet, sondern Arbeitslosengeld bezieht.

Lange, der gestern von seinem Amt zurückgetreten ist, weil er "weiteren Schaden für die Stadt, die Stadtverwaltung und für meine Familie abwenden" will, hat bislang nicht bestritten, Kontakt zu K. gehabt zu haben. Der Computer sei jedoch kein Pfand gewesen, sondern von ihm schlichtweg in der Wohnung vergessen worden, erklärte er Journalisten. Auch hätten sich keine sensiblen Daten auf dem Rechner befunden. Mehr könne er wegen seiner anwaltlichen Schweigepflicht nicht sagen.

"Das stimmt so natürlich nicht", sagt Isabel und zündet sich die nächste Zigarette an. "Auf dem USB-Stick, der in der Computertasche lag, waren Adresslisten, Finanzplanungen und Kalkulationen der Stadt. Ich glaube nicht, dass die für meine Augen bestimmt waren." Reporter des NDR und der "Schweriner Volkszeitung" hätten die Dokumente ebenfalls gesehen. Gestern Abend dann sei der Datenträger von der Polizei beschlagnahmt worden.

[...] "Wir haben außerdem noch gemeinsam das Passwort geändert, damit ich Zugriff auf den Rechner habe. Ich hätte ihn ja verkauft, wenn ich das Geld von Andreas nicht bekommen hätte", so Isabel. Das alte Kennwort habe "Friedrich1" gelautet. Doch nachdem ihr Anwalt dem säumigen Zahler am 26. November eine Klage ins Haus schickte - in dem Dokument sind nach Informationen von SPIEGEL ONLINE detailliert sexuelle Dienstleistungen aufgeführt -, übergab Lange seinem Juristenkollegen wenige Tage später 3000 Euro in bar.

"Ich kann nicht sagen, dass er mir leid tut", sagt Isabel. "Er hätte eben am besten gleich bezahlt." In ihren Augen sei Lange ein labiler, leicht zu beeinflussender Mensch und "schwieriger Kunde" gewesen, der eigentlich Hilfe brauche. "Ich habe nie verstanden, warum er ausgerechnet in der Stadt, in der er ziemlich bekannt war, zu Prostituierten ging. In meinen Augen war das dumm." Doch sei es nicht "ihre Aufgabe gewesen", so rechtfertigt sich Isabel wohl vor allem vor sich selbst, "auf Andreas aufzupassen".

Dem Ex-Stadtpräsidenten, der gestern und heute nicht auf Anrufe und E-Mails von SPIEGEL ONLINE reagierte, droht nun weiteres Ungemach: Inzwischen ermittelt die Staatsanwaltschaft Schwerin gegen ihn. Der 33-Jährige steht im Verdacht, Verwahrungsbruch begangen und gegen das Landesdatenschutzgesetz verstoßen zu haben. Eine hohe Strafe hat der Anwalt wohl nicht zu befürchten, doch der Schaden für seine politische und berufliche Karriere dürfte immens sein.

Isabel ist unterdessen guter Dinge. Mit ihrer Vergangenheit als Hure habe sie abgeschlossen. "Ich muss schließlich an meine Tochter denken, die wird auch älter und irgendwann bekommt sie das mit", sagt sie. Gefragt, was sie denn beruflich machen wolle, antwortet die Blondine mit dem braven Gesicht, ohne einen Moment zu zögern: "Was mit Computern. Da bin ich gut drin!" Dann prustet sie los.



Aus: "Sex, Lügen und ein Laptop" Von Jörg Diehl, Schwerin (13. Dezember 2007)
Quelle: http://www.spiegel.de/panorama/justiz/0,1518,523201,00.html (http://www.spiegel.de/panorama/justiz/0,1518,523201,00.html)

Title: [deren Rentendaten komplett verschollen oder... (Notiz, Japan)]
Post by: Textaris(txt*bot) on Dezember 18, 2007, 11:56:38 vorm.
Quote
[...] Chaos in der japanischen Rentenverwaltung: Mitte des Jahres musste die Regierung Probleme mit den Rentendaten von Millionen Staatsbürgern zugeben. Schlecht programmierte Software und schlampige Beamte hatten das gesamte System durcheinander gebracht. Rund 65 Millionen Datensätze konnten nicht mehr korrekt zugeordnet werden. Nun versucht sich der Rentenapparat in Schadensbegrenzung, startet eine Nachfassaktion enormen Ausmaßes.

Bis Ende März, so Sueji Miura von der japanischen Sozialversicherungsbehörde, werde man elf Millionen Datensätze überprüfen, will insgesamt 8,5 Millionen Rentenbezieher anschreiben. Je nachdem wie stark die Datensätze der jeweiligen Empfänger vom Behörden-Kuddelmuddel durcheinander gebracht wurden, müssen diese teilweise nur ihre Personalien angeben und bestätigen, dass die entsprechenden Angaben korrekt sind. Mehr als eine Postkarte sei dazu nicht notwendig.

Weit mehr Aufwand müssen dagegen jene treiben, deren Rentendaten komplett verschollen oder durcheinander geraten sind. Sie müssen den Behörden die gewünschten Korrekturen und Ergänzungen komplett neu nachweisen. Dazu seien unter anderem die entsprechenden Dokumente nachzureichen. Glücklich, wer die noch hat.


Aus: "COMPUTER-PANNE: Japan sucht die Rentendaten" (17. Dezember 2007)
Quelle: http://www.spiegel.de/netzwelt/tech/0,1518,523769,00.html (http://www.spiegel.de/netzwelt/tech/0,1518,523769,00.html)

Title: [Der raubkopierte Bürger... (Notiz, Identitätsbetrug)]
Post by: Textaris(txt*bot) on Dezember 20, 2007, 02:36:30 nachm.
Quote
[...] Identitätsbetrug ist in den USA dabei, an die Spitze aller kriminellen Delikte aufzusteigen. Die Daten dafür werden von Behörden und Privatfirmen en gros "geliefert". Von Firmen-Laptops und über Sicherheitslücken gestohlene Datensätze landen auf einem boomenden Schwarzmarkt.

Bei der Beschwerdekommission des US-Handelsministeriums ist das Delikt des Identitätsbetrugs inzwischen auf Platz eins der Beschwerdeliste vorgerückt und dabei, an die Spitze der allgemeinen Kriminalitätsstatistik aufzusteigen.

Die neuesten Schätzungen, die auf Statistiken von Mitte 2005 bis Mitte 2006 basieren, gehen von 15 Millionen geschädigten US-Bürgern aus.

Der typische Identitätsbetrüger benutzt die Stammdaten seines Opfers, um bestehende Konten zu plündern, neue zu eröffnen, Kredite aufzunehmen und dergleichen mehr.

Die Betrugsform selbst kam mit dem Aufschwung des Versandhandels auf, die stärksten Zuwachsraten machen sich aber erst seit 2001 in den Statistiken bemerkbar.

Die hochgerechneten Schadenszahlen der Analysten bewegen sich zwischen 30 und 60 Milliarden Dollar jährlich alleine in den USA.

Die tatsächlich gestohlene Summe macht darunter noch den geringsten Anteil aus, der größte Teil besteht aus Versicherungsentschädigungen, entgangenen Arbeitsstunden und Anwaltskosten. In der Regel dauert es mehrere Monate, bis die Bonität eines Opfers wiederhergestellt ist.

In Europa fällt - außer in Großbritannien - Identitätsbetrug in den Kriminalstatistiken offensichtlich viel weniger ins Gewicht. Die Anzahl der öffentlich bekanntgewordenen Fälle ist mit jenen in den USA nicht zu vergleichen, ebenso wenig wie die Zuwachsraten der Delikte vergleichbar sind.

2003 schon schätzte die US-Handelskommission Federal Trade Commission [FTC] die Anzahl geschädigter US-Bürger auf zehn Millionen jährlich. Für das Jahr 2007 gehen die Berater der Gartner Group bereits von 15 Millionen Opfern aus. Jeder vierte US-Haushalt soll demnach bereits irgendwann einmal Opfer von Identitätsdiebstahl geworden sein, immer mehr Anwaltskanzleien spezialisieren sich auf das Delikt.

Auch wiederholte Initiativen seitens Regierung und Behörden konnten den Anstieg in den vergangenen Jahren nicht bremsen.

Sowohl bei der FTC wie auf den Websites der US-Polizei und anderer Behörden wie bei privaten Anbietern von Schutzmaßnahmen werden mehr oder weniger dieselben Ursachen genannt.

Der generell immer noch sorglose Umgang der Menschen mit ihren persönlichen Daten steht bei den Warnungen der Behörden zumeist an erster Stelle.

Auch auf die altbekannten Betrugsformen mit verlorenen, gestohlenen oder von Kriminellen im Hinterzimmer kopierten Kreditkarten weisen die Strafverfolger gerne hin.

Für das Leben im Netz sind Passwort-Diebstahl, Phishing und Kriminelle relevant, die mit Trojanern Kreditkartentransaktionen ausspionieren.

Einen möglichen Grund, warum dieses Betrugsmodell so rasant in der US-Kriminalitätsstatistik auf die oberen Ränge gestiegen ist, liefern die Strafverfolger jedoch nicht. Die kriminelle Datenbeschaffung via Schadsoftware allein kann dafür nicht verantwortlich sein.

Dann nämlich müsste sich derselbe starke Trend auch in Europa statistisch manifestieren, was aber nicht der Fall ist.

Einen Hinweis auf die wahren Ursachen der zunehmenden Kriminalität mit Identitätsdiebstahl gibt ein Blick auf die Anzahl der Datensätze, die in jüngster Zeit den US-Behörden auf die eine oder andere Weise abhanden gekommen sind.

Mussten die Daten der potenziellen Opfer von den Kriminellen früher mehr oder weniger mühsam einzeln zusammengetragen werden, so besteht mittlerweile ein illegaler Großmarkt, auf dem bereits aggregierte Sätze persönlicher Daten gehandelt werden.

Auf dem Identitätsschwarzmarkt werden veruntreute, gestohlene oder bei einem anderen Delikt miterbeutete Datensätze im großen Stil verkauft. Es handelt sich dabei um einen weit höherwertigen Markt als etwa die Mail-Adressen-Börsen der Spammer.

[...] Im anbrechenden Zeitalter immaterieller Güter bezeichnet "Abhandenkommen" nämlich grundsätzlich das Gegenteil dessen, was ein Diebstahl in der analogen Welt bedeutet hat: Geklautes kommt nicht abhanden, sondern es vervielfältigt sich und taucht an anderen Orten wieder auf.

Mit diesem Material, das in Form von umfangreichen Datensätzen Behörden aller Art, Militärs, Dienstleistern, Beraterfirmen, Kreditkartenunternehmen und Datenhändlern "entkommt", wird der Schwarzmarkt beliefert.

[...]

Quote
Willkommen in der Zukunft Europas!
xanthipe, vor 6 Tagen, 19 Stunden, 31 Minuten
Das kann doch nur eine Frage der Zeit sein, bis unser Datenschutz genauso löchrig ist wie in der USA ist und der Datenklau bestens funktionieren wird.
Nochdazu wenn in Zukunft von jedem fliegenden Gast in Europa alle möglichen Daten inkl. Kreditkartennr. etc.,erhoben wird, mit welcher Absicht? Um dem Datenklau Vorschub zu leisten?
Derzeit werden Datenschützer immer noch lächerlich in der Öffentlichkeit gemacht, eine Frechheit angesichts obiger Fakten.

...



Quote
  Jaja, das kennt jeder.
lonelycowboy, vor 6 Tagen, 20 Stunden, 31 Minuten
Hab einmal bei einem Versandhändler was online (!) bestellt (ca. 50 Euro) und bald kamen Werbe-Bombardements in echt und per Mail. Leider finden sich diskrete (Online-)Geschäfte sehr selten, die KEINE Registrierung benötigen, KEINE Daten dauerhaft speichern und KEIN Geschäft mit diesen Daten machen.


Quote
  Datenschutz
mladenec, vor 6 Tagen, 22 Stunden, 41 Minuten
Es heißt, daß man seine Bankkontonummer nicht bekanntgeben darf. Warum ?
Ich habe ca. 500 kunden, von denen natürlich jeder meine Kontonummer kennt, sonst könnte er ja nicht meine Rechnungen begleichen.
Jeder Mensch kann mir auf mein Konto Geld überweisen.
Aber abbuchen kann doch niemand etwas, wenn ich keinen Auftrag dazu gebe.
Damit sollte der Fall klar sein und niemand kann mich betrügen.
O d e r ???

Quote
  Das sollte es beantworten ...
mic26, vor 6 Tagen, 22 Stunden, 17 Minuten

41.000 Euro mit illegalen Überweisungen
http://wien.orf.at/stories/219238/ (http://wien.orf.at/stories/219238/)





Aus: "Der raubkopierte Bürger" (13.12.2007)
Quelle: http://futurezone.orf.at/it/stories/242278/ (http://futurezone.orf.at/it/stories/242278/)


Title: [Pannenserie mit Datenverlusten...(Notiz, Großbritannien)]
Post by: Textaris(txt*bot) on Dezember 26, 2007, 08:25:21 nachm.
Quote
[...] In Großbritannien reißt die Pannenserie von Datenverlusten nicht ab. Nachdem bekannt wurde, dass Kundendaten von neun Verwaltungszentren des Nationalen Gesundheitssystems (NHS) verloren gegangen sind, wurde nun berichtet, dass die Post möglicherweise an einige Tausend Rentner falsche Konto-Auszüge geschickt hat. Betroffen sein sollen bis zu 5.500 Personen, die Post streitet dies allerdings ab und spricht von 120 Kunden. Alle seien informiert worden. Der Vorfall hatte sich bereits am 19. November ereignet, die Schuld trägt ein von der Post beauftragter Subunternehmer, bei dem offenbar Adressen durcheinander geraten waren.

Bei den verschwundenen Patientendaten ist die Situation weiterhin unklar. Die britische Gesundheitsministerin Dawn Primarolo versichert zwar, dass keine wichtigen Daten verloren gegangen seien, muss aber gleichzeitig einräumen, dass sie gar nicht weiß, um wie viele und welche Daten es sich handelt. Alle 36 Stunden würden vom NHS über eine Million Patienten behandelt, fügt sie hinzu, die Daten seien im Gesundheitssystem sicherer als beim Online-Banking. Beides dürfte die Öffentlichkeit nicht sonderlich beruhigen.

Die Opposition wirft der Regierung vor, sie gehen sorglos mit den persönlichen Daten der Menschen um. Scharfe Kritik kommt auch vom britischen Datenschutzbeauftragten Richard Thomas, der davon spricht, dass man in Großbritannien an einem "Wendepunkt" beim Umgang mit persönlichen Daten angelangt sei. Das Versagen, die persönlichen Daten der Bürger zu schützen, verspiele die Glaubwürdigkeit der Behörden und untergrabe das Vertrauen der Öffentlichkeit. Besonders der Verlust von Patientendaten sei "schwerwiegend". Verantwortlichkeit und Zuständigkeit müssten schnell und klar geregelt werden. Da in Großbritannien gerade eine zentrale Datenbank mit den Patientenakten von 50 Millionen Briten eingerichtet wird, mahnt Thomas, zunächst müsste absolut sichergestellt werden, dass alle Risiken einer solchen Zentraldatei, auf die Krankenhäuser und Ärzte online zugreifen können, erkannt und beseitigt wurden: "Ein Massenverlust von Daten aus zentralen Datenbanken würde eine Katastrophe sein, aber medizinische Informationen sind besonders heikel." (fr/Telepolis)

Quote
25. Dezember 2007 18:14
Wer nichts zu verbergen hat
evil_eddie (mehr als 1000 Beiträge seit 05.05.05)

... bei Online-Einbrüchen etc, der darf sich auch über "Datenpannen"
nicht aufregen.

Den intelligente Teil der Bevölkerung hingegen wundert gar nichts
mehr.


Quote
25. Dezember 2007 18:20
Vielleicht würde ein Entschädigungs-Gesetz helfen...
chris-reichert (41 Beiträge seit 23.04.02)

...welches den Geschädigten exorbitante Entschädigungssummen
zusichert in einer Höhe in der es auch einem Staat richtig weh tut,
z.B. 200Mio EUR für jeden verlorenen Datensatz.

Das Geld sollte dann direkt den Geschädigten zugute kommen, quasi als
Schadenersatz.

Ich meine, wenn ein Statt sagen kann "die Daten sind sicher", dann
kann er ja auch ein solches Gesetz verabschieden. Da die Daten sicher
sind, muss er ja nie zahlen. Und wenn sich dann "überrraschend" raus
stellt, dass die Daten dann doch nicht sicher waren: Was solls,
hätten sie halt besser aufpassen müssen.

/end of Zynismus


Quote
26. Dezember 2007 1:12
Daten verschwinden nicht so einfach
Lichterkettenraucher (72 Beiträge seit 30.11.07)

Hier geht es nicht um "Datenverlust" sondern eher um das genaue
Gegenteil.


Quote
25. Dezember 2007 23:51
Wissen ist Macht und Geld...
g-o-r (mehr als 1000 Beiträge seit 08.05.03)

..und wird daher wie Macht und Geld gestohlen und geraubt werden. Das
Problem: Anders als Macht und Geld, kann man Wissen nicht
zurückholen. Wenn einmal bekannt ist, dass X schwul ist und Y Aids
hat, dann wird keine Abdankung und keine Rückzahlung den Schaden je
wieder gut machen können.

Passend hierzu die Antwort von Herrn Wiefelspütz auf
abgeordnetenwatch.de:

Frage:
Aktuell sind in Großbritannien 25 Millionen Datensätzen
"verschwunden". (...) Wer schützt uns, sehr geehrter Herr Dr.
Wiefelspütz, vor ähnlichen Vorkommnissen in Deutschland?(...) Welche
rechtlichen Ansprüche seitens der Bürger an den Gesetzgeber gibt es
in einem solchen Szenario?

Antwort:
Ihre Verbindungsdaten werden von dem Unternehmen aufbewahrt, dessen
Kunde Sie sind. Wenn Daten bei dieser Firma abhanden kommen, ist das
ein Problem Ihres Vertragspartners im Verhältnis zu Ihnen.
Im Übrigen: Absolute Garantien gibt es nicht.

Mit anderen Worten: Der Gesetzgeber verlangt eine Gefährdung der
Bürger durch unnötig lange Speicherung der Daten, wäscht aber seine
Hände in Unschuld, sollte diese Gefährdung realisiert werden.

Wie kann man solchen Leuten noch vertrauen?



Aus: "In Großbritannien reißt die Pannenserie von Datenverlusten bei Behörden nicht ab" (25.12.2007)
Quelle: http://www.heise.de/newsticker/meldung/101061 (http://www.heise.de/newsticker/meldung/101061)

Title: [Sensible Daten von US-Bürgern... ]
Post by: Textaris(txt*bot) on Januar 02, 2008, 08:40:14 nachm.
Quote
[...] Die Zahl der Fälle, bei denen sensible Daten von US-Bürgern wie Kreditkarteninformationen, Sozialversicherungsnummern oder auch Gesundheitsinformationen abhanden gekommen sind, ist im vergangenen Jahr sprunghaft angestiegen. Wie das Identity Theft Resource Center (ITRC) am heutigen Mittwoch mitteilte, kam es im Jahr 2007 allein in den Vereinigten Staaten zu insgesamt 446 Vorfällen (plus 40 Prozent gegenüber 2006) mit mehr als 127 Millionen Betroffenen – eine Steigerung gegenüber dem Vorjahr um mehr als das Sechsfache.

Aufgeführt werden im 2007 ITRC Breach Report (PDF-Datei: http://idtheftmostwanted.org/ITRC%20Breach%20Report%202007.pdf) kleinere Vorkommnisse wie in Minnesota, wo ein Laptop mit den Namen, Sozialversicherungsnummern und Nummernschild-Daten von 257 Personen gestohlen wurde, über einen vermissten Krankenhaus-Computer in North Carolina mit 28.000 Datensätzen, bis hin zum Verlust einer externen Festplatte mit Datensätzen von 1,8 Millionen aktiven und ehemaligen US-Soldaten, die einem Mitarbeiter des Ministeriums für Kriegsveteranen (Department of Veteran's Affairs) bei einem Einbruch entwendet worden war.

Den unrühmlichen Spitzenplatz in der Liste nimmt aber der Fall des US-amerikanischen Einzelhändlers TJX Companies ein, der im Frühjahr einräumen musste, dass Millionen Kredit- und Debit-Kartennummern von Kunden nach einem Einbruch in die Computersysteme des Konzerns gestohlen wurden. Das ITRC gibt die Zahl der Betroffenen nach einem Abgleich mit Daten von VISA und Mastercard inzwischen mit 94 Millionen an. TJX betreibt in den USA unter anderem die Kaufhaus- und Einzelhandelsketten T.J. Maxx, Marshall's und A.J. Wright sowie Winners in Kanada und T.K. Maxx in Großbritannien und Irland.

In den meisten Fällen handele es sich aber nicht um Hacker-Angriffe, wenn Datenverluste beklagt werden, erläutert ITRC-Gründerin Linda Foley. Vielmehr sei die häufigste Ursache unsachgemäßer Umgang mit sensiblen Datenträgern, etwa wenn Firmenmitarbeiter Laptops nach Hause oder zu Terminen mitnehmen und sie diese dann verlieren oder gestohlen bekommen. "Solche Fehler wären in jedem Fall vermeidbar gewesen", verdeutlicht Foley. Den Firmen wirft sie vor, weiterhin zu reagieren, statt proaktiv tätig zu sein und die eigenen Sicherheitsvorkehrungen dahingehend zu überprüfen, wo mögliche Gefahren lauern könnten. (pmz/c't)

Quote
2. Januar 2008 18:07
Wen wunderts?
klawischnigg (mehr als 1000 Beiträge seit 04.12.03)

Daten verhalten sich wie superfluides Helium, das lässt sich auch
fast nicht einsperren.

Die wirklich einzige Möglichkeit, Daten zu schützen, ist sie gar
nicht erst zu erheben. Aber nachdem das Wunschdenken bleiben wird,
werden wir in Zukunft noch oft solche Meldungen bei Heise lesen,
nicht nur die USA betreffend...



Aus: "Sprunghafter Anstieg der Zahl von Datenklau-Opfern in den USA" (02.01.2008)
Quelle: http://www.heise.de/newsticker/meldung/101222 (http://www.heise.de/newsticker/meldung/101222)

Title: [Militärisches Datenleck in Stockholmer Bibliothek... (Notiz, USB-Stick)]
Post by: Textaris(txt*bot) on Januar 05, 2008, 11:28:57 vorm.
Quote
[...] An einem Computer einer öffentlichen Stockholmer Bibliothek wurde ein USB-Stick gefunden, auf dem vertrauliche Dokumente des schwedischen Militärs abgespeichert waren. Das berichtet die Tageszeitung Aftonbladet. Die Zeitung sei in den Besitz des USB-Sticks gelangt und habe ihn dem Militär zurückgegeben. Auf ihm hätten sich unter anderem geheime Informationen über die ISAF-Truppen der Nato in Afghanistan befunden sowie die Analyse eines privaten US-Sicherheitsunternehmens zur Ermordung des srilankischen Außenministers.

Wer den USB-Stick stecken ließ, wurde noch nicht bekannt. Bengt Sandström vom militärischen Nachrichtendienst Militära Underrättelse och Säkerhetsjänsten (MUST) zeigte sich besorgt, vor allem wegen der Sicherheit der Soldaten. Außerdem handele es sich bei dem mutmaßlichen Missgeschick eventuell um eine Sorgfaltspflichtverletzung, die bestraft werden müsse. Sandström traf sich im Laufe des Freitags mit Vertretern der Länder, die von dem Datenleck betroffen sind. (anw/c't)

Quote
4. Januar 2008 15:28
Da fällt mir eigentlich nur eins ein:
kajott (566 Beiträge seit 05.07.00)

http://www.truecrypt.org/


Quote
4. Januar 2008 15:53
Keine Panik, Leute. Das Militär hat doch sicher nichts zu verbergen. Oder? (kt)
evil_eddie

...



Quote
4. Januar 2008 16:14
Wer behauptet eigentlich das der Stick dem Militär gehört?
ram1 (277 Beiträge seit 03.11.00)

Rest kann man sich selber ausdenken ;)




Aus: "Militärisches Datenleck in Stockholmer Bibliothek" (04.01.2008)
Quelle: http://www.heise.de/newsticker/meldung/101300 (http://www.heise.de/newsticker/meldung/101300)

Title: [Verlust persönlicher Daten von 600.000 Nachwuchssoldaten... ]
Post by: Textaris(txt*bot) on Januar 20, 2008, 08:48:31 nachm.
Quote
[...] Die Meldungen über Datenlecks in Großbritannien reißen nicht ab: Nachdem erst im November die britische Steuerbehörde CDs mit Daten von 25 Millionen Kindergeldempfängern verloren hatte, musste nun das britische Militär den Verlust persönlicher Daten von 600.000 Nachwuchssoldaten eingestehen. Ein Jungoffizier der Royal Navy hatte die Namen, Pass- und Versicherungsnummern sowie Angaben zum Familienstand von Rekruten und anderen Militärdienstbewerbern auf seinem Laptop gespeichert und über Nacht auf dem Beifahrersitz seines PKW liegen lassen. Am nächsten Morgen fand er den Wagen aufgebrochen vor und das Laptop war gestohlen. Dies passierte allerdings nicht in einer düsteren Seitengasse eines Londoner Vororts, sondern auf bewachtem Militärgelände. Wie der Täter das Notebook vom Militärgelände herunterschmuggeln konnte, ist bislang nicht geklärt.

Der Diebstahl ereignete sich bereits am 9. Januar, aus ermittlungstaktischen Gründen wurde die Öffentlichkeit aber erst am gestrigen Freitag darüber informiert. Unter den gestohlenen Daten befanden sich auch Informationen über 3.500 Bankverbindungen. Die britischen Behörden haben die Betroffenen kurz nach dem Diebstahl informiert. Wegen der bereits vierte Datenpanne innerhalb weniger Monate steht die britische Regierung unter Gordon Brown wegen des schlampigen Umgangs mit sensiblen Daten unter großem Druck.

In den USA musste derweil das Kreditkartenunternehmen GE Money den Verlust von 650.000 Kundendaten eingestehen. Die Kreditkarten- und Sozialversicherungsnummern waren auf einem Magnetband gespeichert und an das Datensicherungs- und -rettungsunternehmen Iron Mountain geschickt worden, wo es verschwand. Iron Mountain sprach von einem "unvorteilhaften Fall eines verlegten Bandes". General Electric, der Mutterkonzern von GE Money, versucht seine Kunden derweil zu beschwichtigen, dass es bisher keine Hinweise auf einen Missbrauch der Daten gäbe und dass selbst Experten die Daten aufgrund der besonderen Speicherart nur schwer entziffern könnten. Der Konzern schloss allerdings nicht aus, dass noch weitere Kunden von US-Einzelhandelsunternehmen von dem Diebstahl betroffen seien. (hag/c't)

Quote
19. Januar 2008 15:01
Wird langsam langweilig, Steigerung notwendig
Mueder_Mann, claus@cs.tu-berlin.de (91 Beiträge seit 18.04.07)

Immer die gleichen Nachrichten, Datenverlust da, Dateien verschwunden
dort usw.

Wann gibt es die Nachricht, daß die Daten der Reisepässe samt
biometrischer Infos auf mysteriöse Weise bei Ebay verkauft worden
sind? Das wäre mal wieder eine Neuigkeit von ganz anderer Qualität
:-(

MM



Quote
19. Januar 2008 12:14
Wer nichts zu verbergen hat
hacky68 (722 Beiträge seit 25.09.00)

Wer nichts zu verbergen hat - hat nichts zu befürchten! (???)

"dass selbst Experten die Daten aufgrund der besonderen Speicherart
nur schwer entziffern könnten ..."

Man sollte davon ausgehen, dass verschwundene Daten im Zweifelsfall
genutzt werden.

Große Datenbestände sind immer der Gefahr ausgeliefert, dass sie
"verschwinden" und/oder missbraucht werden könnten.
Man könnte denken, dass sich einige Befürworter der Datensammelwut
dessen sehr bewusst sind.
Es zeigt sich, dass gesammelte Daten nicht den Betroffenen dienen,
obwohl Politiker ($$chäuble) gern anderes behaupten.





Aus: "Datenpannen beim britischen Militär und US-Kreditkartenunternehmen" (19.01.2008)
Quelle: http://www.heise.de/newsticker/meldung/102065 (http://www.heise.de/newsticker/meldung/102065)


Title: [Die Unschuldsvermutung lässt sich nicht erzwingen... (IP-Verwechslung)]
Post by: Textaris(txt*bot) on M?RZ 19, 2008, 11:57:47 vorm.
Quote
[...] Ins Visier der staatlichen Ermittlungsbehörden zu gelangen, gehört wohl für die wenigsten Menschen zu dem, was sie unter positive Erlebnisse einreihen würden. Doch auch da wiegen manche Vorwürfe in der öffentlichen Wahrnehmung schwerer als andere, insofern war es wohl ziemlich starker Tobak, als ein deutscher Universitätsprofessor von seiner Frau per Telefon erfahren musste, dass gerade sein Haus wegen des Verdachts auf Handels mit Kinderpornos durchsucht wurde.

Bei einer ersten telefonischen Kontaktaufnahme mit den zuständigen Beamten konnte er dann immerhin in Erfahrung bringen, was ihm konkret vorgeworfen wurde: Er habe in einem Filesharing-Netz kinderpornographisches Material zum Download angeboten. Allein: Der solcherart doch recht massiv Beschuldigte konnte sich nicht entsinnen, jenseits des vollkommen legalen Downloads der Linux-Distribution Fedora überhaupt P2P-Netze benutzt zu haben. Vom Down- oder Upload von Kinderpornos ganz zu schweigen.

Alle Beteuerungen nutzen freilich nichts, die Beamten nahmen seinen Desktop-Rechner, seinen Laptop und auch gleich den seiner Frau mit. In Folge machte sich der Universitäts-Professor daran, herauszufinden, wie der Vorwurf der Behörden entstanden sein könnte.

Der erste Gedanke, dass sich eventuell jemand Zugriff auf sein WLAN verschafft haben könnte, stellte sich schnell als falsch heraus. Also ging es gemeinsam mit dem Rechtsanwalt Udo Vetter ans Aktenstudium, wie heise online berichtet.

Dabei zeigte sich, dass die Ermittlungen vom deutschen Bundeskriminalamt in Angriff genommen wurden. Dieses hatte einen Tauschbörsennutzer beobachtet, der kinderpornographisches Material angeboten hat. Die dabei ersichtliche IP-Adresse hatte man an den zuständigen Provider Arcor weitergereicht, der daraufhin in Windeseile den Beschuldigten "ausfindig" machte.

Die recht formlose, handschriftlich dokumentierte Antwort Arcors regte schnell das Interesses des Anwalts. Also formulierte man eine Anfrage an den Provider mit einer Beschreibung der Situation und der Bitte den Fall noch einmal eingehend zu prüfen.

Wenige Tage darauf ein Anruf von der Polizei: Der Professor könne sich seinen Rechner wieder abholen, der Verdacht gegen ihn habe sich nicht bestätigt. Auf weitere Recherche stellte sich dann heraus: Bei Arcor hatte man tatsächlich einen Fehler gemacht und dem BKA eine falsche IP-Adressenzuordnung geliefert. Immerhin hatte der Provider auf Rückfrage dann sein verhängnisvolles Versehen korrigiert.

Für den Universitätsprofessor zeigt sich aus dem Fall vor allem, wie leicht man in den behördlichen Fokus gelangen kann, auch unter einem Vorwurf, der schnelle verheerende soziale Auswirkungen haben kann. Immerhin sei er aber in der privilegierten Situation gewesen, dass er das Vertrauen seines Umfelds genießen durfte. Etwas das gerade in Fällen, bei denen der Vorwurf "Kinderpornographie" lautet, wohl alles andere als an der Tagesordnung ist. (red)


Aus: "Kinderpornoverdacht: Hausdurch- suchung wegen falscher IP-Adresse" (19. März 2008)
Quelle: http://derstandard.at/?url=/?id=3268992 (http://derstandard.at/?url=/?id=3268992)

-.-

Quote
[...] Schmidt zieht Resümee: "Ich bin in einer privilegierten Position; sowohl meine Frau als auch meine Kollegen haben zu mir gestanden und mir geglaubt. Das ist wohl eher die Ausnahme, ich hatte Riesenglück." Andere, vergleichbare Fälle, die gar nicht so selten vorkommen, gehen weniger glimpflich aus. Wenn der Vorwurf "Kinderporno" lautet, kann das die Existenz eines unschuldig in Verdacht geratenen Internetnutzers vernichten. Dazu reicht schon ein Zahlendreher, ein Tippfehler oder eine falsch zugeordnete Zeitzone bei der Ermittlung des Inhabers der IP-Adresse. Die Unschuldsvermutung lässt sich bei Ehefrauen, Kollegen, Chefs, Freunden oder Nachbarn eben nicht erzwingen. (uma/c't)


Quote
14. März 2008 17:51
Das sei allen "Ich habe nichts zu verbergen"-Heinis hinter die Ohren geschrieben
cassiel (mehr als 1000 Beiträge seit 21.09.01)

aber die wachen eben erst dann auf, wenn der Peterwagen vor dem
eigenen Haus steht und dann die Nachbarn tuscheln ... dann ist deren
Arsch aber gleich auf Grundeis.


Quote
14. März 2008 17:54
Brazil
Stahlwollschaf (45 Beiträge seit 29.08.07)

kennt man doch aus Film und Fernsehen:

ein Bug (also so ein richtiger Käfer) fällt in die Schreibmaschine
und aus Buttle wird Tuttle und das unglück nimmt seinen Lauf...

btw: Terry Gilliam rulez

mfg, Stahlwollschaf


Quote
14. März 2008 19:17
Der grosse Skandal ist ...
IEEE802.1q (mehr als 1000 Beiträge seit 01.07.02)


Das die "Mainstreammedien" darüber nichts , aber auch gar nichts ,
berichten.

Dieser Fall zeigt mit einer so brutalen Deutlichkeit , wie schnell es
JEDEM passieren kann, Morgens aufzustehen und zur Arbeit zu fahren ,
und Mittags schon vor den Trümmern seiner Existenz zu stehen. Und das
nur Aufgrund von 4 Zahlen, die einen Menschen identifizieren sollen.
Vier Zahlen , die jetzt noch zu mir gehören und in einer Minute schon
wieder wem anders.

Das ist so als ob man nach einem Fahrerflüchtigen zu ermitteln bei
Autos wo sich die Nummernschilder minütlich ändern können und noch
nicht mal eine Zulassungplakette brauchen...






Aus: "IP-Verwechslung führt zu falschem Kinderporno-Verdacht" (14.03.2008)
Quelle: http://www.heise.de/newsticker/IP-Verwechslung-fuehrt-zu-falschem-Kinderporno-Verdacht--/meldung/105094 (http://www.heise.de/newsticker/IP-Verwechslung-fuehrt-zu-falschem-Kinderporno-Verdacht--/meldung/105094)



Title: [Aus deutschen Behörden verschwanden 500 Computer...]
Post by: Textaris(txt*bot) on M?RZ 22, 2008, 10:58:32 vorm.
Quote
[...] In deutschen Behörden sind seit 2005 rund 500 Notebooks und Desktop-Computer gestohlen worden, verloren gegangen oder sind unauffindbar. Das geht aus der Antwort des Bundesinnenminsteriums auf eine Anfrage des FDP-Bundestagsabgeordneten Carl-Ludwig Thiele hervor, die heise online vorliegt. Angesichts der großen Anzahl von in der Bundesverwaltung insgesamt und in jeder Behörde vorhandenen Geräten seien, "soweit dies in der Kürze der Zeit feststellbar war, die meisten Bundesbehörden betroffen", heißt es in der Antwort von Peter Altmaier, Parlamentarischer Staatssekretär beim Bundesminister des Innern. Details beispielsweise zu den Daten, die auf den Rechnern abgespeichert waren, wurden nicht mitgeteilt.

Thiele hatte sich am 6. März in einer schriftlichen Anfrage an das Ministerium gewandt. Nun sagte er laut dpa, "hier ergibt sich Aufklärungsbedarf". Es gehe immerhin um öffentlich-rechtlich Bedienstete, die mit sehr persönlichen Daten von Bürgern umgingen.

Das Bundesinnenministerium wies Sicherheitsbedenken zurück. Sensible Daten auf den Festplatten seien durch eine entsprechende Software absolut sicher geschützt, sagte eine Sprecherin. Ein Dritter könne sich keinen Zugang verschaffen. Auch gehe es bei den verschwundenen Computern um keine beunruhigend große Zahl. Gemessen an der Zahl der Bundesbeschäftigten von etwa 480.000 liege der Computerschwund auch im Vergleich zu Privatfirmen "im absolut üblichen Verhältnis". (anw/c't)




Aus: "Aus deutschen Behörden verschwanden 500 Computer" (20.03.2008)
Quelle: http://www.heise.de/newsticker/Aus-deutschen-Behoerden-verschwanden-500-Computer--/meldung/105360 (http://www.heise.de/newsticker/Aus-deutschen-Behoerden-verschwanden-500-Computer--/meldung/105360)



Title: [4 Millionen Kreditkartennummern... (Notiz, Hannaford Bros, Datendiebe)]
Post by: Textaris(txt*bot) on April 01, 2008, 09:51:19 vorm.
Quote
[...] Die US-Lebensmittelkette Hannaford Bros. hat sich zwischen dem 7. Dezember 2007 und dem 10. März dieses Jahres rund 4 Millionen Kreditkartennummern klauen lassen. US-amerikanischen Medienberichten zufolge installierten die kriminellen Drahtzieher hinter dem Datendiebstahl Spionageprogramme auf den Servern des Unternehmens in der Region New England sowie in den US-Bundesstaaten New York und Florida.

Die Schadsoftware soll die Kreditkartendaten abgegriffen haben, wenn Bezahldaten von den Point-of-Sale-Geräten in den Filialen des Unternehmens an die Server zur Autorisierung der Transaktion übertragen wurden. Die gestohlenen Kreditkartennnummern und die zugehörigen Ablaufdaten wurden anschließend an Server in Übersee transferiert.

Nach der Entdeckung des Einbruchs soll der Lebensmitelhändler den Großteil der Server ausgetauscht haben. Mit Hilfe des US-Geheimdienstes und von IT-Sicherheitsunternehmen habe das Unternehmen die betroffenen Server identifiziert, ausgetauscht und weiterhin sichergestellt, dass die Schädlinge auf keinem System im Unternehmen verblieben.

Hannaford Bros. wurde Ende Februar des vergangenen Jahres als zum Payment Card Industry Data Security Standard (PCI-DSS) konform zertifiziert – der Standard soll eigentlich die Datensicherheit bei Finanztransaktionen mit einem Unternehmen attestieren. Er schreibt etwa die verschlüsselte Übertragung der Transaktionsdaten vor. Ungewöhnlich ist auch die Methode der Datendiebe: Bislang wurden bei derartigen Vorfällen Kreditkartendaten aus einer Datenbank kopiert. Bei diesem Angriff haben die Diebe jedoch die Daten bei der Übertragung zwischen den Systemen abgegriffen.

Wie die Schadsoftware auf die Server gelangen konnte, ist bislang unklar. Spekulationen über eine ungepatchte Sicherleitslücke in der Serversoftware, eine zu freizügige Firewallkonfiguration oder das Versagen von Antivirensoftware schießen ins Kraut. Aber auch das Aufspielen der Schadsoftware durch einen Insider schließen einige Sicherheitsexperten nicht aus.

(dmk/c't)






Aus: "4 Millionen Kreditkarten-Datensätze bei US-Lebensmittelhändler geklaut" (31.03.2008)
Quelle: http://www.heise.de/newsticker/4-Millionen-Kreditkarten-Datensaetze-bei-US-Lebensmittelhaendler-geklaut--/meldung/105724 (http://www.heise.de/newsticker/4-Millionen-Kreditkarten-Datensaetze-bei-US-Lebensmittelhaendler-geklaut--/meldung/105724)



-.-

Quote
[...] Bei den US-Handelsketten Hannaford Brothers und Sweetbay wurden in der Zeit von Dezember bis März 4,2 Millionen Datensätze während des Autorisierungs-Vorgangs illegal kopiert. „Datendiebe sind in unsere Systeme eingedrungen und haben sich Zugang zu den Transaktionsdaten verschafft“, musste jetzt deren CEO Ron Hodge zugeben.

Entdeckt wurde der Datendiebstahl am 27. Februar, nach dem sich bei einigen Karten Unregelmäßigkeiten abzeichneten und die betroffene Bank mit den Supermarktketten Kontakt aufgenommen hatte. „Jemand ist dort eingedrungen und hat ganz schön abgeräumt“, sagt Mark Walter, Sprecher der Maine Bankers Association (MBA), nach dem eine der Mitgliedsbanken den Vorfällen auf der Spur war. Die MBA hat inzwischen alle angeschlossenen Banken informiert, um damit den weiteren Schanden zu begrenzen.


Die beiden Supermarktketten archivieren keine Namen und Adressen in Verbindung mit den Karten, sodass es auch nicht möglich ist, die betroffenen Kunden benachrichtigen. Und so gab es bereits öffentliche Aufrufe an die Bevölkerung, dass diejenigen, die in der fraglichen Zeit in den Geschäften per Karten bezahlt haben, sorgfältig ihre Abbuchungen beobachten sollen.


Mastercard hat inzwischen die Staatsanwaltschaft eingeschaltet. Auch der Secret Service sei bereits aktiv, da Finanz-Kriminalität in dessen Aufgabengebiet fällt.


Wie es zu dem Dateneinbruch gekommen ist, wurde bislang nicht veröffentlicht und alle Beteiligten schweigen sich mit dem Hinweis auf die laufenden Ermittlungen aus.


Der Fall erinnert an den bislang größten Datendiebstahl bei der Supermarktkette TJX, bei der 94 Millionen Kreditkarten ausspioniert wurden. In diesem Fall fehlt von den Datendieben noch immer jede Spur.


Die jetzt attackierten Ketten sind Tochtergesellschaften des belgischen Handelskonzerns Delhaize Group, zu denen in den USA auch noch Food Lion, Bloom, Bottom Dollar, Harveys sowie Kash ‘n Karry gehören. Insgesamt betreibt der Konzern 1500 Märkte an der US-Ostküste. Die Supermarktkette Hannaford sind regional im Nordosten der USA anzutreffen und Sweetbay ist in Florida angesiedelt.



Aus: "Erneut Millionen an Kreditkartendaten in den USA entwendet" Von Harald Weiss/sts (18. März 2008)
Quelle: http://computerzeitung.de/loader?path=/articles/2008013/31455983_ha_CZ.html&art=/articles/2008013/31455983_ha_CZ.html&thes=&pid=ee54f3c7-0de1-40f5-bb23-2cfdf022aee5 (http://computerzeitung.de/loader?path=/articles/2008013/31455983_ha_CZ.html&art=/articles/2008013/31455983_ha_CZ.html&thes=&pid=ee54f3c7-0de1-40f5-bb23-2cfdf022aee5)

Title: [Log-Dateien mit vertraulichen Informationen...]
Post by: Textaris(txt*bot) on Mai 08, 2008, 09:50:47 vorm.
Quote
[...] Die Sicherheitsspezialisten von Finjan haben einen Command-and-Control-Server (C&C) im Internet aufgespürt, den die Botnetzbetreiber zugleich als Ablage für die ergaunerten Daten missbraucht haben. Auf dem Server befanden sich 5388 Log-Dateien mit vertraulichen Informationen, die ein Volumen von über 1,4 GByte umfassen, berichtet das Sicherheitsunternehmen.

In den Log-Dateien finden sich Daten von normalen Websurfern ebenso wie von Firmen, namhaften Organisationen und Dienstleistern aus dem Gesundheitssektor. Die Daten stammen aus vielen Ländern, von den Log-Dateien unter anderem

    * 1037 aus der Türkei,
    * 621 aus Deutschland,
    * 571 aus den USA,
    * 322 aus Frankreich,
    * 308 aus Indien,
    * 232 aus Großbritannien und
    * 150 aus Spanien.

Die Dateien enthalten Finjan zufolge kompromittierte Patientendaten, Daten von Bankkunden, geschäftliche E-Mails sowie Outlook-Konten mitsamt der E-Mail-Kommunikation. Das Unternehmen hat dem eigenen Bekunden nach rund 40 der betroffenen Unternehmen aus Deutschland, den USA und Indien über das Datenleck informiert sowie die Strafverfolgungsbehörden eingeschaltet.

Die Daten seien weder mit einem Zugriffschutz versehen noch verschlüsselt worden, berichtet Finjan weiter. Jeder, der zufällig auf den Server gestoßen ist, hätte sie einsehen können – nicht nur die Hacker, die das Botnetz kontrolliert und die Informationen gestohlen haben. Die Daten seien alle innerhalb eines Monats aufgelaufen.

...




Aus: "Über 1,4 GByte an gestohlenen Daten auf Server gefunden" (dmk/c't, 07.05.2008)
Quelle: http://www.heise.de/newsticker/Ueber-1-4-GByte-an-gestohlenen-Daten-auf-Server-gefunden--/meldung/107517 (http://www.heise.de/newsticker/Ueber-1-4-GByte-an-gestohlenen-Daten-auf-Server-gefunden--/meldung/107517)

Title: [Josh Evans... (fiktive Person)]
Post by: Textaris(txt*bot) on Mai 17, 2008, 08:52:03 vorm.
Quote
[...] Die traurige Geschichte eines 13-jährigen Mädchens aus dem US-Bundesstaat Missouri, das von einem angeblichen MySpace-Freund psychisch so drangsaliert wurde, dass sie später Selbstmord verübte, findet eine Fortsetzung vor Gericht. Die Staatsanwaltschaft von Los Angeles teilte am gestrigen Donnerstag mit, sie werde auf Antrag des FBI Klage gegen eine 49-jährige Mutter erheben, die im Jahr 2006 unter dem Namen "Josh Evans" einen MySpace-Account eingerichtet hatte. Hinter "Josh" sollte ein 16-jähriger Junge stehen, der als Verehrer der 13-jährigen Megan auftrat. Tatsächlich diente die fiktive Person aber nur dazu, Rache an Megan zu nehmen, die früher mit der Tochter der angeklagten Frau befreundet war. Mit schlimmen Folgen: Megan erhängte sich im Oktober 2006 in ihrem Zimmer.

"Josh" nahm über MySpace gezielt Kontakt zu Megan auf und flirtete mit dem Mädchen. In den darauffolgenden Wochen nahm die Intensität der Kommunikation zu und es wurden auch sexuelle Themen angeschnitten. Er finde sie "sexy" teilte "Josh" dem Mädchen in E-Mails mit – geschrieben am Küchentisch der verfeindeten Familie. Mutter und Tochter lachten sich kaputt, wenn wieder verliebte Antwort-Mails eintrafen, und heckten Pläne aus, wie sie das Kind noch tiefer in ihr teuflisches Werk verstricken könnten. Wenn die Mutter nicht mehr weiter wusste, formulierten Tochter Lori oder eine Aushilfskraft im Familienbetrieb die Passagen – bis sie den Strick zuzogen: "Josh" spielte mit Selbstbewusstseins- und Trennungsängsten und brach dann den Kontakt mit einer letzten Nachricht ab: "Ohne dich wäre die Welt besser dran". Das Kind nahm es sich zu Herzen.

"Diese erwachsene Frau nutzte das Internet, um Angriffe mit entsetzlichen Folgen gegen ein junges Mädchen zu richten", verdeutlichte Staatsanwalt Thomas P. O'Brien bei einer Pressekonferenz in Los Angeles. Nachdem eine Anklage in Missouri wegen dort fehlender Rechtsgrundlagen nicht möglich gewesen sei, habe seine Behörde gemeinsam mit dem FBI eigene Untersuchungen eingeleitet. In Los Angeles könne die Frau vor Gericht gestellt werden, weil MySpace hier seinen Hauptsitz habe. Angeklagt wird die 49-Jährige wegen Verschwörung und dem widerrechtlichen Zugriff auf geschützte Computersysteme. Sie habe falsche Angaben bei der MySpace-Registrierung gemacht und gegen Unternehmensstatuten verstoßen.

Dazu gehöre etwa das Verbot, Informationen über Minderjährige zu sammeln. Auch dürften MySpace-Daten nicht genutzt werden, um Personen "zu drangsalieren, zu beschimpfen oder zu schädigen". Im Falle einer Verurteilung drohen der Frau bis zu zwanzig Jahre Haft. Gegenüber der LA Times äußerte die Rechtsprofessorin Rebecca Lonergan von der University of Southern California (USC) jedoch Bedenken, dass die Klage auf wackeligen Füßen stehen könnte. So mangele es der Klageschrift beispielsweise an Eindeutigkeit, wer denn nun das Opfer sei. MySpace oder Megan? "Es handelt sich hier zwar um eine löbliche, aber auch extrem offensiv ausgelegte Strafverfolgungsmaßnahme", sagt Lonergan. "Und ich weiß nicht, ob die Gerichte den Ausführungen der Anklage folgen werden." (pmz/c't)




Aus: "Mutter drohen 20 Jahre Haft wegen Cyber-Terror auf MySpace" (16.05.2008)
Quelle: http://www.heise.de/newsticker/Mutter-drohen-20-Jahre-Haft-wegen-Cyber-Terror-auf-MySpace--/meldung/107998 (http://www.heise.de/newsticker/Mutter-drohen-20-Jahre-Haft-wegen-Cyber-Terror-auf-MySpace--/meldung/107998)

Title: [Der Beamte bediente sich... (Notiz, Österreich)]
Post by: Textaris(txt*bot) on Mai 19, 2008, 09:19:53 vorm.
Quote
[...] Justizwachebeamter der Justizanstalt Josefstadt hatte die Daten heruntergeladen. Einfach so. Ohne viel Aufwand. Ohne dass es besondere Hürden dafür gegeben hätte, die gesamte Kartei abzurufen. Und vor allem: ohne dass es jemandem aufgefallen wäre. Der Beamte der Jus­tizanstalt Josefstadt loggte sich mit seinem Kennwort einfach in die so genannte „Integrierte Vollzugsverwaltung“ ein und lud „personenbezogene Daten über 8500 Häftlinge“ herunter, wie die Staatsanwaltschaft in ihrer Anklage schreibt. „Geburtsdatum und -ort, Staatsangehörigkeit, Geschlecht, Familienstand, Religionsbekenntnis, Vornamen der Eltern, erlernten und ausgeübten Beruf, Aufnahme- und Entlassungsdaten, Verurteilungen und Lichtbilder der Häftlinge“ rief er ab, kopierte sie auf einen USB-Stick und gab sie einem Gefangenen, der gerade eine Haftstrafe wegen Betrugs absaß. Dass der Fall überhaupt aktenkundig wurde und der Staatsanwalt die obige Anklageschrift wegen Amtsmissbrauch formulieren konnte, ist das Verdienst eines anderen Häftlings, Johann B.* Dieser organisierte sich den USB-Stick und ließ ihn über einen Anwalt nachweislich dem Jus­tizministerium übergeben.

...


Aus: "Justiz verlor 2005 tausende Häftlingsdaten" (profil 21/08)
Quelle: http://www.news.at/profil/index.html?/articles/0820/560/206055.shtml (http://www.news.at/profil/index.html?/articles/0820/560/206055.shtml)



-.-

Quote
[...] 2005 hat ein Justizwachbeamter in der Justizanstalt Wien-Josefstadt ausführliche Datensätze über 8.500 Häftlinge kopiert und einem Häftling gegeben. Dies berichtet das Magazin profil.

[http://www.news.at/profil/index.html?/articles/0820/560/206055.shtml (http://www.news.at/profil/index.html?/articles/0820/560/206055.shtml)]

Hinweise eines anderen Häftlings, der die Datenschieberei aufdecken wollte, wurden nicht weiter bearbeitet, seine Post an eine Abgeordnete der Grünen wurde abgefangen. Schließlich informierte sein Anwalt das Justizministerium. Es folgte ein Strafverfahren, bei dem ein weiterer Häftling, der den Vorfall aufgedeckt hatte, die höchste Strafe erhielt.

Der Beamte bediente sich an der so genannten "integrierten Vollzugsverwaltung", einem Server, der personenbezogene Daten über tausende Häftlinge vorhält. Eine Kontrolle der Notwendigkeit der Zugriffe und der Verwendung der Daten gab und gibt es offenbar nicht. Der Mann konnte Daten über 8.500 Häftlinge herunterladen und auf einen USB-Stick speichern.

"Geburtsdatum und -ort, Staatsangehörigkeit, Geschlecht, Familienstand, Religionsbekenntnis, Vornamen der Eltern, erlernten und ausgeübten Beruf, Aufnahme- und Entlassungsdaten, Verurteilungen und Lichtbilder der Häftlinge" umfassten die Datensätze laut Anklageschrift. Informationen also, an denen vom Erpresser bis zum Personalberater viele interessiert sind. Warum er den Stick einem Häftling gab, ist nicht ganz klar. Beide rechtfertigen sich, dass sie ein weiterer Häftling, den profil "Johann B." nennt, dazu angestiftet habe. Die Daten sollten "irgendeiner amerikanischen Hilfsorganisation" zukommen, die finanziell bedürftige Häftlinge unterstützt.

Das Urteil erging Ende August 2006, vier Wochen vor der letzten Nationalratswahl, bei der das von der FPÖ abgespaltene BZÖ um sein politisches Überleben kämpfte. Vor der Wahl war die BZÖ-Politikerin Karin Gastinger die zuständige Justizministerin. Sie informierte weder die Öffentlichkeit noch die betroffenen Häftlinge über den Datendiebstahl. Im Ministerium hatte niemand daran gedacht, dass von den Daten mehrere Kopien im Umlauf sein könnten. Erst als ein Teil davon profil zugespielt wurde, sah sich die aktuelle Justizministerin Maria Berger (SPÖ) veranlasst, etwas zu unternehmen. Sie will nun die Betroffenen informieren. Diese könnten unter Umständen Schadenersatzansprüche gegen die Republik Österreich geltend machen.

Dass der Fall überhaupt vor Gericht kam ist dem hartnäckigen Einsatz von Johann B. zu verdanken. Einen früheren Brief über Daten-Indiskretionen, den B. an die damalige Grüne Nationalratsabgeordnete und jetzige Volksanwältin Terezija Stoisits adressierte, hatte die Gefängnisleitung zurückgehalten. Die Anweisung dazu kam vom inzwischen in den Ruhestand getretenen Sektionschef Dr. Michael Neider, der gegenüber profil Stellung nahm: "Wenn es um die innere Sicherheit der Justizanstalt geht, soll das nicht an die Öffentlichkeit dringen. Was kann die arme Frau Abgeordnete dafür, dass da jemand so einen Blödsinn zusammenschreibt." Aufgrund der Angaben im Brief hätte Stoisits die Polizei verständigen müssen. "Und da wir selber Exekutive sind, regeln wir so was selbst", so Neider wörtlich.

Erst als B. sich den USB-Stick organisiert und seinem Anwalt übergeben hatte, der ihn beim Justizministerium deponierte, setzten sich die Mühlen der Justiz in Bewegung. Der eigentliche Datendieb wurde wegen Amtsmissbrauchs zu acht Monaten Haft auf Bewährung verurteilt und entlassen. Sein Häftlings-Komplize erhielt zehn Monate ohne Bewährung. Der unbequeme Aufdecker B. muss 14 Monate absitzen. (Daniel AJ Sokolov) / (ad/c't)


Quote
18. Mai 2008 17:54
Karl Frank

eGK, ePass, ePersonalausweis - Ihre Daten sind sicher,...

...jeder Mißbrauch ist ausgeschlossen!

  - gez. Ihr Innenminister





Aus: "Österreichs Justizministerin vertuschte Datendiebstahl" (18.05.2008)
Quelle: http://www.heise.de/newsticker/Oesterreichs-Justizministerin-vertuschte-Datendiebstahl--/meldung/108045 (http://www.heise.de/newsticker/Oesterreichs-Justizministerin-vertuschte-Datendiebstahl--/meldung/108045)


Title: [New Yorker Bank verliert Kundendaten...]
Post by: Textaris(txt*bot) on Juni 02, 2008, 09:11:08 vorm.
Quote
[...] In der vergangenen Woche bestätigte die US-amerikanische Bank of New York Mellon den Verlust eines Bandes mit Daten von rund 4,5 Millionen Kunden. Das Band ist nach Berichten amerikanischer Medien vor etwa drei Monaten während eines Transports abhanden gekommen. Es enthält Daten wie Namen, Geburtsdaten und Sozialversicherungsnummern; die Daten sollen nicht verschlüsselt sein. Nach Angaben der Bank sind bisher noch keine Daten missbräuchlich genutzt worden. Das Transportunternehmen Archive America verweist den Berichten zufolge auf laufende Untersuchungen und möchte daher keinen Kommentar zu den Vorgängen abgeben.

Richard Blumenthal, Generalstaatsanwalt des Bundesstaates Connecticut, hat sich in die Ermittlungen eingeschaltet. Er rügte die Bank dafür, dass sie ihre Kunden nicht sofort nach dem Vorfall informiert habe. Auch ein von etwa 40 Betroffenen eingeschalteter Anwalt machte seinem Unverständnis über den Vorfall öffentlich Luft. Es sei ihm unverständlich, dass eine Bank unverschlüsselte Daten transportiert und speichert. "Ich kann mir nicht vorstellen, warum sie nicht ein ausgereiftes Verschlüsselungsprogramm benutzen, um es praktisch unmöglich zu machen, an die Daten zu gelangen – auch, wenn sie abhanden gekommen sind." (ll/c't)




Aus: "New Yorker Bank verliert Kundendaten" (01.06.2008)
Quelle: http://www.heise.de/newsticker/New-Yorker-Bank-verliert-Kundendaten--/meldung/108798 (http://www.heise.de/newsticker/New-Yorker-Bank-verliert-Kundendaten--/meldung/108798)

Title: [Datenpanne bei Einwohnermeldeämtern... (Notiz, BRD)]
Post by: Textaris(txt*bot) on Juni 24, 2008, 11:37:12 vorm.
Quote
[...] Ein nicht autorisierter Online-Zugriff auf sensible Bürgerdaten war nach Report München Informationen bei fünf Kommunen bis vergangenen Freitag problemlos möglich. Der Marktführer für kommunale Behördensoftware hatte Benutzername und Passwort auf der unternehmenseigenen Homepage abgebildet. Unbefugte gelangten ohne Überprüfung der Zugangsberechtigung zu Reisepass- und Personalausweisnummern, Fotos, Geburtsdaten, aktuellen und früheren Wohnorten sowie Finanzdaten. Sogar die Religionszugehörigkeit lieferten die Gemeinden gleich Online mit. Bei zufällig eingegebenen Straßennamen erschienen alle dort wohnhaften Bürger. Dr. Matthias Rosche vom führenden Beratungsspezialisten für Informationssicherheit Integralis bei München, hält diesen Sicherheitsmangel für einen Supergau in Sachen Datenschutz. "Das ist ungefähr das Schlimmste, was passieren kann. Ich habe de facto die Daten öffentlich ins Netz gestellt. Das ist grob fahrlässig und einfach völlig inakzeptabel", erklärt der Rosche.

Nach Konfrontation des Softwareherstellers, die 1991 gegründete Firma HSH aus Ahrensfelde im Osten von Berlin, räumte Geschäftsführer Stephan Hauber die Sicherheitslücke ein und versicherte im Interview mit Report München: "Die Passworte werden noch heute verschwinden, das ist ganz klar. Unabhängig davon werden wir auch noch mal unsere Kunden informieren, dass sie selbstverständlich ihre Passworte ändern müssen", verspricht er. Er hoffe, so Hauber, dass die 200 Gemeinden, die diese Software nutzen und ihre Zugangsdaten nach Installation der Software nicht geändert hatten, dieser Aufforderung sofort nachkommen würden. Die kommunale Software ist seit rund drei Jahren im Einsatz. Warum die Daten überhaupt auf der Homepage des Unternehmens einsehbar waren, konnte er nicht erklären.

Die Landesbeauftragte für den Datenschutz Brandenburg, Dagmar Hartge, ist der Meinung, dass die Kommunen hier grob fahrlässig gehandelt haben, weil sie das Passwort nicht umgehend geändert hatten. Seit Report München vergangenen Freitag betroffene Gemeinden, Datenschützer und die Herstellerfirma der Software über das gravierende Sicherheitsloch informiert hat, ist das Problem jedoch nicht vom Tisch warnt Michael Müller von der Firma Integralis: "Es kann nicht davon ausgegangen werden, dass nicht doch jemand darauf zugegriffen hat bereits mit diesen Userdaten. Das heißt die Integrität des Datenbestandes für die Anmeldedaten ist nicht mehr gewährleistet. Es besteht also grundsätzlich die Möglichkeit, dass diese Schwachstelle bereist ausgenutzt hat und sich dort entsprechende Hintertürchen als Benutzerdaten eingebaut hat."

Ein Zugriff auf Bürgerdaten aus dem Internetcafé könnte deshalb weiter möglich sein. Seit rund drei Jahren arbeiten die Gemeinden schon mit dieser Software. Dass Kriminelle nicht längst Bürgerdaten absaugen, darauf sollten sich die Verantwortlichen lieber nicht verlassen. Alexander Gerken vom Bayerischen Landeskriminalamt in München warnt man vor dem neuen Geschäftszweig der organisierten Kriminalität, dem so genannten "Identitätsklau". "Im Grunde ist es so, dass jede Straftat, die in Richtung organisierte Kriminalität oder Bandenkriminalität geht, falsche Dokumente braucht, eben zum Zweck, dass man sich unbehelligt hier im Land oder in der EU bewegen kann." Und das, so betont Gerken, das gelte auch für den Terrorismus.


Aus: "Offenbar Datenpanne bei Einwohnermeldeämtern - Supergau in Sachen Datenschutz" (report MÜNCHEN, 23.06.2008)
Quelle: http://www.tagesschau.de/inland/datenpanne4.html (http://www.tagesschau.de/inland/datenpanne4.html)

Title: [Datenmassen weiterverkauft und schließlich missbraucht... ]
Post by: Textaris(txt*bot) on Juni 24, 2008, 11:48:19 vorm.
Quote
[...] Die junge Asiatin stöckelt durch die geöffnete Glastür hinein in eine deutsche Luxusboutique. Kein langes Zaudern, kein umständliches Beratungsgespräch, schon rauscht ihre goldene Kreditkarte durch das Kartenlesegerät. Die Beute: ein Prada-Täschchen - 1487 Euro. Wenig später schwingt die nächste Tür auf, diesmal wird es eine goldene Uhr von Tag Heuer für den daheimgebliebenen Gatten sein - 2350 Euro. Die Kreditkarte ist im Dauereinsatz: glitzernde Brillantarmbänder - 4000 Euro, eine Digitalkamera Marke Lumix, fünf Handys.

Die zierliche Frau mit Pagenschnitt und cremefarbenem Rock ist unterwegs als "Marke reiche Touristin", so beschreibt sie ein Ermittler später. Mit ihrem falschen Pass und ihren 37 gefälschten goldenen Kreditkarten im Portemonnaie gibt sie an diesem Tag knapp 30.000 Euro aus, am Abend steigt sie in den Zug, um von Hamburg bis München weiter in deutschen Großstädten zu shoppen.

Die Asiatin ist Teil eines Gewerbes, das sich immer mehr ausbreitet: des Kreditkartenbetrugs in ganz großem Stil. Sie ist nicht allein unterwegs, gemeinsam mit weiteren Frauen flog sie Ende Mai nach Hamburg zum Abräumen. Immer im Hintergrund: ein Profikrimineller, als Aufpasser. Er überwacht die Einkäuferinnen und sackt die Waren ein. Zurück in Malaysia bringen sie auf dem Schwarzmarkt viel Geld.

Die Sicherheitsbehörden sind alarmiert. Den Ermittlern des Bayerischen Landeskriminalamts gehen fast wöchentlich Asiatinnen mit gefälschten Kreditkarten ins Netz. Das Bundeskriminalamt meldet rund 9000 Fälle für das vergangene Jahr, Tendenz steigend.

Die Frauen haben immer Schulden in der Heimat und hoffen, sie auf diese Weise schnell zurückzahlen zu können. Ihre Hintermänner sind nicht zu fassen, sie sitzen sicher im Ausland. Dort beherrschen sie auch die Fälscherwerkstätten, in denen Pässe und Kreditkarten detailgetreu nachgebaut werden. Der Magnetstreifen macht es möglich: Die Karten sind zwar falsch, die Konten allerdings, von denen das Geld abgebucht wird, sind echt.

So echt, wie das Konto von Betrugsopfer Walter Späth aus Berlin. Vor wenigen Wochen erhielt der Rechtsanwalt einen Anruf seiner Bank: Ob er auf seine Kreditkarte einen Flug mit Caribbean Airlines gebucht hätte? Kosten: rund 1000 Euro. Und eine weitere Reise in ein südamerikanisches Land, Wert: insgesamt 1500 Euro. Späth wunderte sich. Er hatte mit seiner Kreditkarte einmal ein Fachbuch bei Amazon gekauft oder war mit Air Berlin geflogen, allerdings nicht nach Südamerika.

Die Kreditkartendaten von Walter Späth wurden ausgespäht, höchstwahrscheinlich weiterverkauft und schließlich missbraucht. Das geht ganz einfach: Die sensiblen Daten werden im Internet gehandelt. Und das nicht auf irgendwelchen Untergrund-Websites oder Hacker-Servern, sondern ganz offensichtlich und mühelos zu finden.

Einmal googeln, schon tauchen sie auf und Stunden später wieder ab, Web-Seiten wie dumps.co.nr, cc-info.biz oder cvvsell.com. Eine Nummer mit Gültigkeitsdatum und Sicherheitscode kostet fünf Dollar, eine amerikanische vier Dollar. Mindestbestellwert: 300 Dollar.

Unzählige hübsch und professionell gelayoutete Daten-Supermärkte werben im Netz mit Sätzen wie: "Eastern europe crew, on your service" oder "Our current special offers". Das "special offer", das Sonderangebot, in diesem Fall ein "Beginner Carder Pack". Es enthält ein Lese- und Schreibgerät für Magnetstreifenkarten, zehn Rohlinge, eine gefälschte Visa-Card-Dublette und fünf Datensätze zum Schnäppchenpreis von 300 Dollar. Auf das Beginner-Paket folgt das für Fortgeschrittene und schließlich das "Pro Carder Pack" für 2000 Dollar.

Bei vielen Händlern kann sich der Kunde auch noch die Bank aussuchen, von der die Kreditkarte stammen soll. Je größer das Angebot, je detailreicher die Preislisten, desto teurer, aber auch qualitativ hochwertiger sind die Daten. Gleichzeitig werden oft auch die Zugangscodes von Online-Bankzugängen verkauft. Je nach Bank und Kontostand variieren die Preise. So geht beispielsweise der Zugang zu einem Citibank-Konto mit einem Guthaben von rund 12.000 Euro für 850 Euro weg. Die passende PIN und TAN werden mitgeliefert. Besonders professionelle Händler bieten eine 24-Stunden-Garantie. Funktioniert der Account nicht, wird er ausgetauscht.

Auch Komplettsätze, gefälschte Dubletten mit den geklauten Informationen auf dem Magnetstreifen, kommen per Post zum Käufer. Besonders beliebt sind dafür laut BKA die Packstationen der Deutschen Post. Hier werden Fächer unter falschem Namen eingerichtet, die heiße Ware kann zu jeder Uhrzeit anonym abgeholt werden.

Das volle Ausmaß des globalen Betrugs wird bei den Datenmassen deutlich, die den Tätern zur Verfügung stehen. Erst vor wenigen Wochen entdeckte eine amerikanische Computer-Sicherheitsfirma einen sogenannten Crimeserver: einen Rechner mit Standort in Malaysia, registriert auf einen Russen, gespickt mit 1,4 Giga-byte gehackten Daten aus der gesamten Netzwelt, darunter auch Versicherungsnummern, geschäftliche E-Mails und Kreditkartendaten.

Das Bayerische Landeskriminalamt berichtet vom gehackten Server einer Fluglinie, in Hamburg bearbeitet das Landeskriminalamt den Fall des geknackten Online-Shops der Firma Kartenhaus Ticketservice GmbH mit 65 992 gestohlenen Datensätzen. Wer ein Ticket der Fluglinie mit seiner Kreditkarte gekauft oder eine Konzertkarte bei Kartenhaus bestellt hat, muss fürchten, dass seine Daten im Netz zum Verkauf stehen.

[...]


Aus: "KRIMINALITÄT: Online-Shops für Betrüger" Von Svea Eckert (23.06.2008)
Quelle: http://www.spiegel.de/spiegel/0,1518,561188,00.html (http://www.spiegel.de/spiegel/0,1518,561188,00.html)

Title: [Geldautomatennetz der Citibank gehackt... ]
Post by: Textaris(txt*bot) on Juli 03, 2008, 10:26:41 vorm.
Quote
[...] Unbekannte haben sich Zugriff das bankinterne Geldautomatennetz der Citibank verschafft und PIN-Daten abgefangen. Dies berichtet die New York Times in ihrer Online-Ausgabe. Der Zugriff erfolgte demnach über die Netzwerkverbindungen der in der US-Handelskette 7-Eleven ausgestellten Automatensysteme der Bank. An die PINs seien die Betrüger gelangt, indem sie die Gegenstellen attackierten, welche die PINs gegenüber den Automaten autorisieren. Die Diebe hätten sich so um mehrere Millionen US-Dollar bereichern können, heißt es weiter. Über die Zahl der betroffenen Citibank-Kunden ist nichts bekannt.

...

Quote
2. Juli 2008 19:00
Zum Glück kann das in Deutschland nicht passieren.
FrogmasterL (mehr als 1000 Beiträge seit 02.11.05)

Hier ist das Hacken ja gottseidank verboten. Das wird die pöhsen
Purschen abschrecken. Für ein paar Millionen Euro leichte Beute bei
minimalem Risiko riskiert doch keiner, mit dem Gesetz in Konflikt zu
geraten.
Der Lappen für den Sarkasmus ist im Putzschrank.





Aus: "Geldautomatennetz der Citibank gehackt" (02.07.2008)
Quelle: http://www.heise.de/newsticker/Geldautomatennetz-der-Citibank-gehackt--/meldung/110358 (http://www.heise.de/newsticker/Geldautomatennetz-der-Citibank-gehackt--/meldung/110358)

Title: [Sicherheitsleck bei TNS Infratest/Emnid...]
Post by: Textaris(txt*bot) on Juli 07, 2008, 09:36:29 vorm.
Quote
[...] CCC meldet Sicherheitsleck bei TNS Infratest/Emnid: Das Wohnzimmer von 41.000 Bürgern im Netz

04. Juli 2008 (erdgeist)
Das Wissenschaftliche Fachblatt "Die Datenschleuder" des Chaos Computer Club (CCC) meldet eine schwerwiegende Datenpanne: Dem Marktforschungsinstitut TNS Infratest/Emnid sind über 41.000 Datensätze mit persönlichsten Daten ihrer Umfrageteilnehmer abhanden gekommen.

Wie das Blatt vermeldete [1], war es durch einen Fehler in der Programmierung allen Umfrageteilnehmern der Marktforscher möglich, Stammdaten und Konsumprofile aller anderen Befragten einzusehen, ohne besondere Schutzmechanismen zu umgehen. Das einfache Austauschen der Kundennummer in der Adresszeile des Browser genügte, um Einsicht in die umfangreichen Umfragedaten zu bekommen.

Neben Namen und Anschriften sind in den Datensätzen Geburtsdatum, E-Mailadressen und Telefonnummern vermerkt. Bei vielen Befragten sind diese zudem mit sensiblen Informationen gespickt: Monatseinkommen, Ausbildung, Kontoverbindungen, Krankenversicherungen, ob und welche Kreditkarten benutzt werden, welche elektronischen Geräte im Haushalt verwendet werden, Alter der Kinder, und viele weitere private Daten.

"TNS Infratest hat einen Anfängerfehler bei der Entwicklung seiner Software gemacht. So etwas ist unprofessionell, grob fahrlässig und außerdem einfach peinlich." kommentierte Dirk Engling vom CCC den Datenunfall. "Da es sich um persönlichste Daten handelt, bei denen ein Missbrauch, wie etwa durch Identitätsdiebstahl oder zur Vorbereitung von Einbrüchen, nicht ausgeschlossen werden kann, muss TNS Infratest dringend die Betroffenen informieren", fordert er weiter.

Dieser Fall setzt die verheerende, nicht abreißende Reihe von Datenverlusten aus öffentlichen und privaten Datensammlungen fort. Dass eine strengere Kontrolle sensibler Datensammlungen unumgänglich ist, zeigten nicht zuletzt auch die spektakulären Schnüffelmaßnahmen wie im Falle der Telekom oder die Datenpannen in den Meldeämtern. Hier wird auch deutlich, dass Datenschutz in Unternehmen nur eine untergeordnete Rolle spielt. "Gerade für ein Unternehmen, welches privateste Daten abfragt, müssen besonders hohe Maßstäbe bei der Datensicherheit gelten", so Engling.

Der CCC sieht sich in Hinsicht auf die Schwere des Unfalls in seinen Forderungen [2] nach strengen Auflagen für öffentliche und private Datensammler bestätigt.

...

Links

    * [1] [Externer Link] http://ds.ccc.de/vorab/Sicherheitsleck_Infratest.pdf (http://ds.ccc.de/vorab/Sicherheitsleck_Infratest.pdf)
    * [2] [Externer Link] http://www.ccc.de/updates/2008/datenschutz-manifest (http://www.ccc.de/updates/2008/datenschutz-manifest)


Aus: "CCC meldet Sicherheitsleck bei TNS Infratest/Emnid: Das Wohnzimmer von 41.000 Bürgern im Netz" (04. Juli 2008  (erdgeist))
Quelle: http://www.ccc.de/updates/2008/umfragetief (http://www.ccc.de/updates/2008/umfragetief)

Title: [Laptop mit Passagierdaten verschwunden...]
Post by: Textaris(txt*bot) on August 06, 2008, 12:51:26 nachm.
Quote
[...] Die US-Transportation Security Administration [TSA] hat am Dienstag den Verlust eines Laptops bekanntgegeben, der sensible Daten von rund 33.000 Personen enthalten haben soll. Der unverschlüsselte Computer sei am 26. Juli auf dem internationalen Flughafen von San Francisco verloren gegangen, teilte die US-Behörde mit.

Der Computer gehörte dem Unternehmen Verified Identity Pass [VIP], das an 17 US-Flughäfen das Registered-Traveller-Programm Clear betreibt. Clear bietet zahlende Kunden nach einer Vorabüberprüfung Erleichterungen bei Sicherheitskontrollen an Flughäfen.

Die TSA ordnete an, dass die betroffenen Passagiere umgehend über den Datenverlust informiert werden müssen. Das Unternehmen dürfe erst dann wieder neue Kunden aufnehmen, wenn sichergestellt sei, dass die Daten verschlüsselt werden, hieß es in der Aussendung. Die Zusammenarbeit mit privaten Dienstleistern bei der Flughafensicherheit sieht die US-Behörde durch die Datenpanne nicht infrage gestellt.


Aus: "USA: Laptop mit Passagierdaten verschwunden - Sensible Daten von 33.000 Fluggästen" (05.08.2008)
Quelle: http://futurezone.orf.at/it/stories/298233/ (http://futurezone.orf.at/it/stories/298233/)

-.-

Quote
[...] Die Verlustrate von Notebooks auf europäischen Flughäfen liegt bei über 3.300 Stück pro Woche. Den größten Schwund verbucht London, gefolgt von Amsterdam und Paris.

[...] In den USA liegt die Rate gegenüber Europa sogar noch deutlich höher. 12.000 Notebooks gehen dort laut der Studie wöchentlich verloren. Die Zahlen beinhalten sowohl gestohlene, als auch einfach vergessene und liegengelassene Geräte.




Aus: "Notebook-Schwund auf EU-Flughäfen" (02.08.2008)
Quelle: http://futurezone.orf.at/it/stories/297523/ (http://futurezone.orf.at/it/stories/297523/)

Title: [40 Millionen Kreditkartendaten...]
Post by: Textaris(txt*bot) on August 07, 2008, 09:42:04 vorm.
Quote
[...] Das US-Justizministerium hat Anklage im nach seinen Aussagen bisher größten Fall von Identitätsdiebstahl erhoben. Es beschuldigt elf Personen, über 40 Millionen Kredit- und Debit-Kartennummern gestohlen zu haben. Drei der Beschuldigten sind US-Bürger, die anderen kommen aus Estland, der Ukraine, China und Weißrussland. Sie sollen WLANs von Einzelhändlern wie TJX und Barnes & Noble erkundschaftet haben und dort eingedrungen sein, heißt es in einer Mitteilung des Ministeriums.

Sobald sie in ein Netzwerk eingedrungen waren, haben die Beschuldigten Paket-Schnüffler installiert, die Kartennummern, Passwörter und Account-Informationen festhielten, erläutert das Ministerium weiter. Die gesammelten Daten sollen sie auf durch Verschlüsselung geschützte Server in Osteuropa und den USA hinterlegt und zum Verkauf angeboten haben. Mit Hilfe von gefälschten Kreditkarten sollen die Beschuldigten sich selbst an Geldautomaten bedient haben.

Einer der Beschuldigten war bis 2003 ein Informant des US-amerikanischen Secret Service. Als sich herausstellte, dass er selbst an Betrügereien beteiligt war, wurde er verhaftet. Diesem Beschuldigten, der im Mai in einem anderen Verfahren bereits wegen Eindringens in das Computernetzwerk einer Restaurantkette angeklagt wurde, droht nun eine lebenslange Gefängnisstrafe. Derzeit ist noch nicht geklärt, ob die Beschuldigten an dem massiven Datendiebstahl beim Einzelhändler TJX beteiligt waren, der voriges Jahr bekannt wurde. (anw/c't)

Quote
6. August 2008 12:17
Glück für die Einzelhändler, dass die Diebe keine Songs heruntergeladen haben,
auf den Kommentar hat die Welt g (160 Beiträge seit 07.01.07)

sonst stünden die jetzt vor dem Richter, weil sie ihr WLAN nicht
ausreichend abgesichert haben.

Wo doch heute jeder Rentner weis, dass das ein WLAN sonst missbraucht
werden kann...

SCNR

Quote
6. August 2008 12:28
Re: Glück für die Einzelhändler, dass die Diebe keine Songs heruntergeladen habe
Spontanejakulator (396 Beiträge seit 27.10.06)

> sonst stünden die jetzt vor dem Richter, weil sie ihr WLAN nicht
> ausreichend abgesichert haben.

Ich völliger Anologie dazu wäre ich in diesem Fall allerdings dafür,
daß die Händler voll für den Schaden (so einer entsteht) aufkommen
müssen.

...

Quote
6. August 2008 12:35
Re: Glück für die Einzelhändler, dass die Diebe keine Songs heruntergeladen habe
Gwurm (110 Beiträge seit 14.07.08)

Spontanejakulator schrieb am 6. August 2008 12:28

> Wofür zum Teufel haben Systeme, auf denen Kreditkartendaten
> gespeichert sind, Kontakt mit einem WLAN?!
> Da DARF keine Verbindung bestehen!

Doch, darf schon. Sie müssen nur ausreichend abgesichert sein. Die
Vorschriften dazu finden sich in PCI DSS und die Sanktionen, die
verhängt werden wenn diese Auflagen nicht erfüllt werden, sind
ziemlich knackig! Gerade die großen Händler werden sich schon daran
halten.
Die Frage hier ist nur, mit welchem Wissen und welchen technischen
Mitteln da gearbeitet wurde. Wenn der Typ Zugang zu
Geheimdienstmethoden hatte, kann man dagegen nicht viel ausrichten.

Quote
6. August 2008 12:58
Re: Glück für die Einzelhändler, dass die Diebe keine Songs heruntergeladen habe
MrGolgi (100 Beiträge seit 25.12.02)

Gwurm schrieb am 6. August 2008 12:35

> Wenn der Typ Zugang zu
> Geheimdienstmethoden hatte, kann man dagegen nicht viel ausrichten.

Eine Sichere Verschlüsselung wird nicht dadurch unsicher, dass jemand
vom Geheimdienst kommt. Ich kann mir auch nicht vorstellen, das er
alle Ressourcen des Geheimdienstes eingespannt hat um für seine
Kumpels ein WLAN zu knacken.

Den Vergleich mit dem Musikdownload über ein offenes WLAN finde ich
nach wie vor absolut treffend.

Gruß MrGolgi

Quote
6. August 2008 14:15
Re: Glück für die Einzelhändler, dass die Diebe keine Songs heruntergeladen habe
Gwurm (111 Beiträge seit 14.07.08)

MrGolgi schrieb am 6. August 2008 12:58

> Eine Sichere Verschlüsselung wird nicht dadurch unsicher, dass jemand
> vom Geheimdienst kommt.

Diesen Optimismus teile ich nicht so restlos.

> Ich kann mir auch nicht vorstellen, das er
> alle Ressourcen des Geheimdienstes eingespannt hat um für seine
> Kumpels ein WLAN zu knacken.

Keine Ahnung, vielleicht reicht es ja aus zu wissen wie's bei
bestimmten Systemen geht. Da muss man ja nicht unbedingt die
komplette Leistung des NSA-Rechenzentrums reservieren.

> Den Vergleich mit dem Musikdownload über ein offenes WLAN finde ich
> nach wie vor absolut treffend.

Also ich kenne die Vorgaben und Sanktionsdrohungen des PCI DSS ein
Wenig. Da kann ich mir nicht vorstellen, dass ein Unternehmen, das
solche Mengen an Kreditkartendaten verarbeitet so ganz blauäugig an
die Technik rangeht.

Quote
6. August 2008 15:05
der typ war laut artikel nur informant.
heiseposter1 (mehr als 1000 Beiträge seit 28.11.07)

sobald man einem beliebigen geheimdienst irgendwas verwertbares
liefert, ist man informant.











Quote
6. August 2008 13:27
+FT+ Computereindringlinge stehlen 80 Millionen Personendaten +FT+ +FT+
Heisasa (873 Beiträge seit 22.10.04)

Die zwei Angeklagten terroristischer Herkunft*, die im Libanon
freiwillig unter Folter gestanden hatten, 80 Millionen Einträge beim
Bundesmelderegister (Personenkennziffern, Namen, Adressen,
Fingerabdrücke, versteuertes Einkommen etc.) kopiert und auf
Internetforen in Rußland und USA zum Verkauf angeboten zu haben, sind
auf Antrag der USA ausgeliefert und dort heute zum Tod verurteilt
worden. Wie das BKA mitteilte, seien die Angeklagten an die Daten
gelangt, als sie sich im Einwohner-Meldeamt von Hintertupfingen
hinterhältig vom Rechner einer Mitarbeiterin auf USB-Stick kopierten,
als sich diese in der Mittagspause befand und wohl vergaß, sich
auszuloggen. Auf unsere Nachfrage sagte ihr Abteilungsleiter, Herr W.
Schäuble: „Kann alles gar nicht sein. Meine Mitarbeiterin loggen sich
immer aus. Außerdem ist der Datendiebstahl ja verboten!“

Quote
6. August 2008 17:42
Re: +FT+ Computereindringlinge stehlen 80 Millionen Personendaten +FT+ +FT+
Calibrator (mehr als 1000 Beiträge seit 16.03.01)

Wenn es traurigerweise nicht so realistisch wäre, würde ich lachen.

(++)
Calibrator






Aus: "Computereindringlinge stehlen 40 Millionen Kreditkartendaten" (06.08.2008)
Quelle: http://www.heise.de/newsticker/Computereindringlinge-stehlen-40-Millionen-Kreditkartendaten--/meldung/113881 (http://www.heise.de/newsticker/Computereindringlinge-stehlen-40-Millionen-Kreditkartendaten--/meldung/113881)

Title: [Die Bankdaten tausender Verbraucher... (Notiz, BRD)]
Post by: Textaris(txt*bot) on August 13, 2008, 09:05:49 vorm.
Quote
[...] In Deutschland werden offenbar die Bankdaten tausender Verbraucher illegal gehandelt. Der Verbraucherzentrale Schleswig-Holstein sowie dem dortigen Datenschutzbeauftragten wurde am Montag von einem ehemaligen Mitarbeiter eines Callcenters eine CD mit den Daten von 17.000 Bürgern zugespielt.

Die Firma des Informanten heißt nach taz-Informationen Eurochance und sitzt im nordrhein-westfälischen Viersen. Sie soll die Angaben an andere Callcenter verkauft haben. Auf der CD sind neben Namen, Geburtsdaten, Adressen und Telefonnummern auch die jeweiligen Kontoverbindungen gespeichert. Die Datenstruktur weise darauf hin, dass die Angaben ursprünglich von Lottofirmen wie der Süddeutschen Klassenlotterie SKL stammen, hieß es in Kiel.

 "Das ist ein erschreckender Fall von Datenmissbrauch", sagte der Datenschutzbeauftragte Schleswig-Holsteins, Thilo Weichert, der taz. "Wir ahnten, dass solche Daten im Umlauf sind. Jetzt haben wir es schwarz auf weiß." Die CD sei an die Staatsanwaltschaft Mönchengladbach weitergeleitet worden.

Die Ermittlungen dürften sich auf Eurochance konzentrieren. Deren Name tauchte bereits Ende letzter Woche im Onlineverbraucherportal Antispam.de auf. Ein Nutzer, der sich dort als Mitarbeiter des Unternehmens ausgab, beklagte den Datenhandel seines Arbeitgebers und kündigte im Forum ein Treffen mit der Verbraucherzentrale in Schleswig-Holstein an, um die Praxis öffentlich zu machen.

Klären muss die Staatsanwaltschaft auch, wem die Firma die Daten verkauft haben könnte und ob ein Zusammenhang zu jüngsten Missbrauchsfällen von Glücksspielanbietern besteht. Verbraucherzentralen in ganz Deutschland hatten in den letzten Wochen einen rapiden Anstieg an Beschwerden registriert. Der Sprecher der Zweigstelle in Schleswig-Holstein, Thomas Hagen, sagte: "Uns sind die ersten Fälle bekannt, in denen von Konten der betroffenen Verbraucher abgebucht wurde, obwohl diese unmissverständlich jegliche Teilnahme an einem Glücksspiel ablehnten."

Laut den Verbraucherzentralen Brandenburg und Hessen sind bundesweit rund 500 Fälle solcher illegalen "cold calls" bekannt. Fast alle Proteste richteten sich gegen die Firma LottoTeam aus Köln, sagte der Sprecher der Zentrale in Brandenburg, Hartmut Müller. In allen Fällen hätten die Betroffenen berichtet, ihnen seien nach einem Werbeanruf der Lotto-Firma Beträge abgebucht worden, obwohl sie ihre Kontodaten nicht angegeben hatten. Man habe deshalb bereits eigene Schritte gegen LottoTeam eingeleitet. "Wir haben die Firma gestern abgemahnt", berichtete Müller. "Die Beschwerden haben in den letzten Wochen deutlich zugenommen", sagte auch die Sprecherin der Zweigstelle in Hessen, Ute Klaus.

Das Kölner Unternehmen wie auch die SKL hätten sich jedoch umgehend in Kiel gemeldet, betonte Datenschützer Weichert: "Beide haben uns ihre Kooperation zugesichert, um schnellstmögliche Klärung zu erreichen." In einer Erklärung versicherte die SKL am Nachmittag, man habe "nie Daten von ihren Kunden an Dritte weitergegeben".

Weichert riet Verbrauchern, Kontoauszüge regelmäßig zu prüfen. Bei nicht zuzuordnenden Transaktionen solle man sofort widersprechen. "Wir fordern auch die Betroffenen auf, sich bei uns Datenschützern, bei Verbraucherschützern, Polizei und Staatsanwaltschaft zu melden."




Aus: "17.000 Verbraucher von Abzocke bedroht - Bankdaten illegal gehandelt" VON VEIT MEDICK (13.08.2008)
Quelle: http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/bankdaten-illegal-gehandelt/ (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/bankdaten-illegal-gehandelt/)

-.-

Quote
[...] Die Staatsanwaltschaft in Mönchengladbach teilte am Freitag mit, dass sich ein Mann aus Hannover gestellt habe. Laut „Bild“-Zeitung habe der Mann als Leiter eines Call-Centers Daten von der Süddeutschen Klassenlotterie gesammelt. Die bis zu 2,5 Millionen Datensätze habe er dreimal für fünfstellige Summen weiterverkauft. Seit zwölf Jahren sei er im Telefonwerbergeschäft tätig.

Der Verbraucherzentrale Schleswig-Holstein war die CD mit Daten von 17 000 Menschen zugespielt worden, die auch deren Kontoverbindungen enthielt. Bei allen soll es sich um Kunden der Süddeutschen Klassenlotterie handeln. In der Call-Center-Branche sollen die Datensätze dazu missbraucht worden sein, Vertragsabschlüsse vorzutäuschen und den Opfern Geld abzubuchen. In Viersen und Lübeck durchsuchten Ermittler bereits zwei Call-Center.

hei/dpa/AFP/ddp

Quote
cgn (15.08.2008 15:55)
Wäre ja interessant mal
die Namen dieser Unternehmen zu erfahren. Viel mehr als Gedstrafen fürchten solche Firmen die Nennung ihres Namens in der Öffentlichkeit.



Aus: "Kontonummern-Skandal - Datendieb stellt sich" (15.08.08)
Quelle: http://www.focus.de/finanzen/banken/kontonummern-skandal-datendieb-stellt-sich_aid_325171.html (http://www.focus.de/finanzen/banken/kontonummern-skandal-datendieb-stellt-sich_aid_325171.html)

Title: [...dass die Befürchtungen von damals hysterische Übertreibungen waren.]
Post by: Textaris(txt*bot) on August 20, 2008, 05:04:10 nachm.
Quote
[...] Im Mittelpunkt der jüngsten Enthüllungen steht die Callcenter-Branche. Vor allem Lotterieunternehmen, aber auch Handyfirmen, Buchclubs und Zeitungsverlage beauftragen gerne Callcenter-Agenten mit der Verkaufsakquise. Bei den Verbraucherzentralen häufen sich seit Monaten Beschwerden, dass insbesondere von Glückspielunternehmen mitunter über mehrere Monate Konten geplündert wurden. Mit Hilfe von Bankverbindungen und Lastschriftverfahren ist es ein Leichtes, aufgrund fingierter Verträge Abbuchungen in Höhe von jeweils 50 bis 100 Euro vorzunehmen. Die Geschädigten können das Geld nur innerhalb von sechs Wochen von ihrer Bank zurückverlangen.

Bei der Staatsanwaltschaft Köln liegen wegen solch illegaler Abbuchungen Strafanzeigen gegen die Firma LottoTeam vor. "Wir haben ein Ermittlungsverfahren wegen Betrugsverdacht eingeleitet", bestätigt Oberstaatsanwalt Günther Feld. Die Ermittler gehen offenbar von einer bundesweiten Betrugsmasche aus. "Ich denke, dass gegen die Firma überall in Deutschland Strafanzeigen vorliegen werden", sagt Feld.

Die Callcenter-Branche wehrt sich gegen den Generalverdacht. Die weit überwiegende Zahl der Telefonverkäufer halte sich an Recht und Gesetz, versichert das "Call Center Forum Deutschland". Im Normalfall würden die Callcenter-Kunden die Daten mitbringen. Doch die Verbraucherschützer sind mehr als skeptisch.

"Jeder kann heute mit einem Aldi-Computer einen Callcenter aufmachen und per Excel-Dateien Millionen von Daten verwalten", klagt Thomas Hagen von der Verbraucherschutzzentrale in Schleswig-Holstein. Nach den Erkenntnissen von Hagen werden vor allem in Wirtschaftsunternehmen Personendaten abgefischt. "Dazu braucht man nur ein bisschen IT-Kenntnisse und kriminelle Energie." Alle Branchen, in denen Daten gesammelt würden, seien von Datenklau-Skandalen bedroht, mutmaßt der Kieler Verbraucherschützer, "sogar die Behörden".

Hagen will belastbare Indizien dafür gefunden haben, dass selbst unter Behörden ein illegaler Datenaustausch stattfindet. "Wenn Sie ihr Auto beim TÜV angemeldet haben, steht doch meistens einige Wochen später die GEZ wegen der Anmeldung des Autoradios vor der Tür."

Über den Marktwert der illegal gehandelten Personendaten gibt es bei Daten- und Verbraucherschützern nur Schätzungen. "Die Preisskala reicht von Cent- bis einstelligen Eurobeträgen pro Adresse", erklärt Weichert.

...

Quote

20.08.2008 10:08:46

HansJoachim44:

Schon vor Jahren konnte man lesen, daß Daten die erhoben werden völlig selbstverständlich mißbraucht werden und es damit nicht die Frage ist "ob" Daten, die einmal erhoben sind, missbraucht werden, sondern "wann". Das uns nun ausgerechnet die Politik davor schützen möchte, die in den letzten 3 Jahren beispiellose Gesetze gemacht hat, etwa verschiedene Datentausch-Abkommen mit der USA, wo Dinge wie "politische Einstellung" oder "sexuelle Präferenz" übertragen werden und ich mich frage, woher zum Teufel will der deutsche Staat das eigentlich wissen bzw. woher weiß er das, halte ich für lächerlich. "Die" reiten uns eher noch tiefer rein und schieben sich am Ende gegenseitig die Schuld zu, wie immer halt...


Quote

20.08.2008 10:25:41

Niemalsherdentier: .......Beitrag No.2

Ich habe schon vor über 20 Jahren gerafft wieder „Hase läuft“, da habe ich, noch keine

18 Lenze alt, an einem Preisausschreiben bei der Duschseifenfirma „Duschdas“ od.

„Cliff“, wie die Schmiere auch immer hieß teilgenommen. Damals noch mit Postkarte,

mit Adresse und Telefonnummer. Ich wollte halt unbedingt diese futuristische Suzuki

„Katana“ haben. (männliche Leser meines Alters werden sich erinnern) Das einzige

was kam, es war ca. ein halbes Jahr später: die erst eigene Werbung auf meinen Namen im Briefkasten meiner Eltern von unterschiedlichen Firmen.

Heute läuft das u.a. so: Auf einem Volksfest wird ein begehrter Kleinwagen platziert auf dem „Auto zu verlosen“ steht, da sind z.B. Luftballons od. Kissen drin, man soll schätzen wie viele. Alles auf eine Karte schreiben, Adr., Telefon und e-mail.

Hunderte machen mit. Und was glaubt Ihr ?

schöne Zeit noch !


Quote

20.08.2008 10:48:15

Legis: Wer weiß, ob nicht unsere Politiker mit von der Partie beim Datenklau sind....

...mein Sohn hatte im letzten Jahr seines Studiums einen kleinen Kredit bei der KfW-Bank in NRW bekommen, den er nach seinem Studium und einem guten Berufsstart sofort zurückzahlte.

Gleich nachdem er das Geld zurückgezahlt hatte, erhielt er auffällige Post von Investment-Banken, Versicherungen und anderen Geld-Instituten, die unbedingt "sein Bestes" wollten - eben "sein Geld"!

Er hat bis heute den Verdacht, dass diese Bank seine Daten weitergereicht hat.

Und wer sitzt dort im Vorstand und Aufsichtsrat.....

Mir erweckt sich der Eindruck, dass dieser Datenhandel gewollt ist.

Wieso gibt es denn ein multiliberales Abkommen mit den USA, das Zypries und Schäuble im April 2008 unterschrieben haben, in dem steht, dass sogar Daten über Gewerkschaftszugehörigkeit und die politische Anschauung der Bürger an den US-Geheimdienst weitergereicht werden? Wo ist hier der Datenschutz für uns Bürger?

Ich erinnere nur an Indonesien und Chile - vor den von den USA und CIA mitorganisierten Putschen! Damals hat der US-Geheimdienst mit Hilfe seiner Spitzel die Daten von verdächtigen, angeblichen "Linken bzw. Kommunisten" an die Militärs weitergegeben und es wurden Millionen brutalst ermordet! Pinochet und Suharto in Zusammenarbeit mit dem US-Geheimdienst beseitigten damals friedliche Regierungen. Gott sei Dank sind diese CIA-Berichte jetzt veröffentlicht worden.

Naomi Kleins Buch: "Die Schock Strategie" zeigt diese Methoden des Datenmißbrauches auch der US-Regierung, die übrigens diese Daten über private Firmen - "Department of Homeland Security" mit über 115 000 Verträgen - abwickelt, auf.

Buch von Naomi Klein - Seite 26 sowie Kapitel 2 und 3.


Quote

20.08.2008 11:00:37

6414: Das Problem begann schon...

...mit den Telefonbuch-CDs. Als die ersten CDs mit Invers-Suche (Suche nach Tel.-.Nr mit Ausgabe der kompletten Adresse), gab es erste Bedenken dagegen. Es wurde dann auch verboten, aber nach einigen Jahren dann doch erlaubt. In diesem Zusammenhang hat die Politik meines Erachtens gnadenlos versagt, weil sie die den Telefonbuchverlagen prinzipiell erlaubte das Opt-Out für die Kunden einzuführen. Zu Anfang wurde man nämlich nur mit Einwilligung in das Telefonbuch aufgenommen. Nach dieser Änderung war es genau anders herum. Ab diesem Zeitpunkt mußte jeder Telefonanschlußteilnehmer explizit bekunden, daß er NICHT im Telefonbuch geführt werden möchte. Ich habe dies sogleich getan und bin seit diesem Zeitpunkt noch niemals von einem Call-Center belästigt worden. Hier hätte die Politik aber meines erachtens die damals bestehende Opt-In Lösung niemals antasten dürfen. Die Politik hat also auch den jetzigen Datengau mitverursacht - wenn auch über diverse Umwege. Es wird Zeit daß die Politik diese Löcher wieder schließt, damit in ca. 10Jahren die Bürger wieder unbelästigter leben können.

PS.: Schon aufgefallen, daß KEIN Politiker im Telefonbuch geführt wird?


Quote

20.08.2008 10:59:17

suedle: @Axolotl79 (10:51:48Uhr): Schäuble-Zitat

An derselben Stelle findet sich auch folgendes Zitat von Herrn Schäuble:

"Die Debatte um die informationelle Selbstbestimmung stammt aus der Zeit der Volkszählung vor zwanzig Jahren. Heute würde doch jeder zugeben, dass die Befürchtungen von damals hysterische Übertreibungen waren." - Interview mit dem Stern, Heft 17/2007

[Quelle: http://de.wikiquote.org/wiki/Wolfgang_Sch%C3%A4uble (http://de.wikiquote.org/wiki/Wolfgang_Sch%C3%A4uble) (19.08.2008)]



Aus: "Millionenfacher Missbrauch - Das Daten-Debakel" Von Johannes Nitschmann (19.08.2008)
Quelle: http://www.sueddeutsche.de/wirtschaft/947/306904/text/ (http://www.sueddeutsche.de/wirtschaft/947/306904/text/)

Title: [Die Debatte um den Datenhandel-Skandal... (Notiz, BRD)]
Post by: Textaris(txt*bot) on August 20, 2008, 06:08:21 nachm.
Quote
[...] Die Debatte um den Datenhandel-Skandal und den Super-GAU im Umgang mit Verbraucherinformationen heizt sich weiter auf: Nach Ansicht des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) sind Kundendaten wie Namen und Adressangaben der gesamten bundesdeutschen Bevölkerung für Marketingzwecke im Umlauf. Zudem "vagabundieren etwa 10 bis 20 Millionen Kontodaten" illegal in der Call-Center-Branche und auf Handelsplattformen im Internet, sagte ULD-Leiter Thilo Weichert der Süddeutschen Zeitung. Die sensiblen persönlichen Daten würden vor allem beim Telefonverkauf, bei Glücksspielen und Preisausschreiben sowie bei Verkaufsbörsen im Netz abgeschöpft. Die Behörden stünden daher bei der Aufdeckung des Skandals nach wie vor am Anfang: "Wir sehen jetzt immer mehr von der Spitze des Eisbergs."

Wie die Zeitung weiter berichtet, ermittelt die Staatsanwaltschaft Köln mittlerweile aufgrund von Strafanzeigen gegen die in Dortmund und Köln ansässige Firma LottoTeam. Das Unternehmen soll aufgrund fingierter Verträge aus Call-Centern die Konten von Verbrauchern geplündert haben. "Wir haben ein Ermittlungsverfahren wegen Betrugsverdachts eingeleitet", bestätigte Oberstaatsanwalt Günther Feld der Süddeutschen Zeitung. Er gehe davon aus, dass gegen die Firma zwischenzeitlich "überall in Deutschland Strafanzeigen vorliegen werden".

Die Verbraucherzentrale Schleswig-Holstein, der ein Call-Center-Mitarbeiter die erste CD mit 17.000 Kundendatensätze zuspielte und damit die Enthüllungen ins Rollen brachte, geht davon aus, dass vor allem in Wirtschaftsunternehmen Personendaten abgeschöpft werden. Die Kieler wollen aber auch belastbare Indizien dafür vorliegen haben, dass selbst unter Behörden ein illegaler Datenaustausch floriert. Ein Sprecher der Einrichtung erklärte: "Wenn Sie ihr Auto beim TÜV angemeldet haben, steht doch meistens einige Wochen später die GEZ wegen der Anmeldung des Autoradios vor der Tür." Bei einer Wohnungsummeldung verhält es sich ähnlich.

Für den innenpolitischen Sprecher der SPD-Bundestagsfraktion, Dieter Wiefelspütz, ist der Datenmissbrauch dagegen vor allem ein Problem in der Unternehmenslandschaft. "Big Brother lauert eher in der Privatwirtschaft als bei Vater Staat", sagte er der Passauer Neuen Presse. Der Staat sei "sauber, Teile der Privatwirtschaft leider überhaupt nicht". Es gebe akuten Handlungsbedarf, schloss sich der Innenpolitiker vage den Forderungen anderer Vertreter der großen Koalition an. "Der Stellenwert des Datenschutzes muss deutlich vergrößert werden. Wenn nötig, wird es auch gesetzliche Änderungen geben."

Als "äußerst beunruhigend" hat der Hauptgeschäftsführer des Branchenverbandes Bitkom, Bernhard Rohleder, die sich ausweitenden Fälle von Datendiebstahl bezeichnet. Die Ursache sei aber nicht in fehlenden Gesetzen zu suchen: "Was den Verbraucherschutz und den Schutz von Kundendaten angeht, haben wir in Deutschland mit die strengsten Regeln der Welt", betonte Rohleder gegenüber der Berliner Zeitung. Das Instrumentarium sei vorhanden, gleichwohl seien Verstöße immer möglich. Auch das schärfste Gesetz komme gegen kriminelle Energie nicht an. Aus Rohleders Sicht könnte es aber sinnvoll sein, die vorgesehenen Strafen und Bußgelder zu erhöhen, um eine abschreckende Wirkung auf die Täter zu erzielen. Um den Datendiebstahl wirkungsvoller bekämpfen zu können, sei ferner die finanzielle und personelle Ausstattung staatlicher Datenschützer zu verbessern. Aber auch innerhalb der Firmen müsse der betriebliche Datenschutzbeauftragte einen hohen Stellenwert haben.

Quote
20. August 2008 10:02
Wiefelspütz: "Der Staat ist sauber" *Selten so gelacht*
marchy (mehr als 1000 Beiträge seit 29.04.02)

Ich liebe es, wenn Politiker solche zynischen Witze reißen.
Speziell jemand, der nun nicht wirklich als Datenschutzfanatiker
bekannt ist.
cu
marchy

Quote
20. August 2008 10:14
Er hat doch Recht!
Hinz & Kunz (mehr als 1000 Beiträge seit 28.09.01)

Dass Finanzamt, Sozialbehörden, Arbeitsagentur, Bafög-Stellen etc usw
auf meine Kontodaten zugreifen können ist doch nicht illegal ;-)

hinz & kunz



Quote
20. August 2008 10:15
Was ist denn nun aus der Ichhabedochnichtszuverbergen-Fraktion geworden?
troll-proll (mehr als 1000 Beiträge seit 16.12.04)

Hat der Rest an verschrumpelter Gehirnmasse etwa ausgereicht, um die
Sinnlosigkeit ihrer Aussage zu begreifen?


Quote
20. August 2008 10:18
Das war abzusehen. (Editiert vom Verfasser am 20.08.08 um 10:24)
fenster-formater (332 Beiträge seit 02.11.04)

Die letzten Jahre wurde jeder, der auf die Gefahren von riesigen
Datensammlungen hingewiesen hat, als paranoider Spinner abgestempelt.
Nun ist genau das gekommen, was befürchtet wurde: Millionen
Datensätze mit Namen, Adressen, teils auch Bankverbindungen sind im
Umlauf. Wozu sie verwendet werden können, ist nicht abzusehen.
Gezielte Betrugsversuche sind ein Beispiel (es muss sich nur irgend
jemand bei Oma Müller melden, der Ihr erzählt, er sei von der
XY-Bank, woher sollte er sonst auch ihre Kontonummer haben...),
Lastschrift-Einkäufe im Internet, Telefonwerbung usw.

Allerding ist der aktuelle Fall nur ein Schuss vor den Bug, der im
Artikel erwähnte Super-GAU sieht anders aus. Weitaus
sicherheitskritischer sind Daten der elektronischen Gesundheitskarte,
Fingerabdrücke aus den Personalausweisen, Datensätze aus dem
zentralen Melderegister, Daten zur neuen Steuer-Identifikationsnummer
etc.

Diese Daten sind genauso sicher - oder besser gesagt unsicher - wie
die Datensätze aus den aktuellen Fällen. Die neuen Datenbanken sind
gewaltig, sie umfassen sensibelste Daten jedes Bürgers, und trotzdem
- es genügt ein Mitarbeiter, der Schulden hat, erpresst wird oder
irgend etwas in dieser Richtung - und die angeblich sicheren Daten
sind unwiderruflich öffentlich zugänglich.

Der einzige Weg, das zu verhindern, ist der Verzicht auf Speicherung.
Mag sein, dass den Behörden die Arbeit erleichtert werden könnte, mag
sein, dass die Abfertigung am Flughafen 5 Minuten schneller gehen
würde. Aber das Risiko, das dafür eingegangen werden muss, ist
unkalkulierbar.


Quote
20. August 2008 10:18
Der Staat sei sauber.. (Editiert vom Verfasser am 20.08.08 um 10:21)
derJ (328 Beiträge seit 12.05.05)

Genau so sauber wie die Vereinigten Staaten, wo staatlichen
Schnüffelbehörden bei jedwedem Datenklau Straffreiheit on oberster
Stelle garantiert wird?

Wenn in D _alle_ Bundesbürger betroffen seien, der Staat aber
'sauber', wer zum Geier arbeitet denn dann beim Staat? Sind wohl
keine Bundesbürger..

Naja, auf jeden Fall bin ich froh, unserer Regierung rückhaltlos und
blind vertrauen zu können. Die Schuldigen für Big Brother sind
endlich gefunden - Call-Center, vereinzelte, schwarze Schafe und
überhaupt die Privatwirtschaft.

...


Quote
20. August 2008 10:32
"Big Brother lauert eher in der Privatwirtschaft als bei Vater Staat"
-Jo- (mehr als 1000 Beiträge seit 08.09.04)

haha... ja, nee is klar... selten so gelacht lieber Wiefelspützi...

mit all den ganzen Maßnahmen wie VDS, OD, BKA-Gesetz, eGK usw. *IST*
der Vater Staat bereits BIG BROTHER!! always watching you!


Quote
20. August 2008 11:02
Datenschutz ist Täterschutz!
Provokant (reloaded) (mehr als 1000 Beiträge seit 30.03.06)

Liebe "Volksvertreter",

"Datenschutz ist Täterschutz!". ...


Quote
20. August 2008 11:45
Was unsere Innenminister jetzt dringend brauchen ...
Bartträger (mehr als 1000 Beiträge seit 27.07.05)

... ist ein Terroranschlag, der das Sentiment in der Bevölkerung
wieder vom Kopf auf die Beine stellt.



Aus: "Datenschützer sieht alle Bundesbürger vom illegalen Datenhandel betroffen" (20.08.2008, Stefan Krempl) / (jk/c't) 
Quelle: http://www.heise.de/newsticker/Datenschuetzer-sieht-alle-Bundesbuerger-vom-illegalen-Datenhandel-betroffen--/meldung/114507 (http://www.heise.de/newsticker/Datenschuetzer-sieht-alle-Bundesbuerger-vom-illegalen-Datenhandel-betroffen--/meldung/114507)

Title: [Handel mit Melderegisterdaten... (Notiz, BRD)]
Post by: Textaris(txt*bot) on August 29, 2008, 01:01:16 nachm.
Quote
[...] Diesmal sollen die kommunalen Melderegister betroffen sein. Bei den dort aktiven Adresshändlern handelt es sich einem Bericht der "Tageszeitung" ("taz") zufolge um Vermittler, die im Auftrag von Unternehmen bei Meldeämtern Kundendaten überprüfen. Statt die Angaben nach Erhalt lediglich an den Auftraggeber weiterzuleiten, hätten die Vermittler sie in eigenen Datenbanken gespeichert, um damit anschließend erneut Geld zu verdienen.

...


Aus: "DATENSCHUTZSKANDAL - Handel mit Millionen Melderegisterdaten aufgedeckt" (29.08.2008)
Quelle: http://www.spiegel.de/wirtschaft/0,1518,575097,00.html (http://www.spiegel.de/wirtschaft/0,1518,575097,00.html)

-.-

Quote
[...] Sie übernehmen die bürokratische Drecksarbeit: Adressmittler. Wartet eine Bank auf die Rückzahlung eines Kredits, schaltet sie solche Firmen ein. Adressmittler nehmen mit den Melderegistern Kontakt auf, um den Aufenthaltsort des säumigen Zahlers herauszufinden und die Daten der Bank zur Verfügung zu stellen. Nur der Bank - denn der Mittler darf die Daten nirgends speichern.

Doch mehrere Unternehmen handeln offenbar rechtswidrig mit Millionen dieser Melderegister-Daten. Das bestätigten mehrere Landesinnenministerien der taz. Statt die Angaben nach Erhalt nur dem Auftraggeber weiterzuleiten, behalten die Vermittler sie in eigenen Datenbanken. Nach taz-Informationen werden mindestens acht Firmen beschuldigt. Eines dieser Unternehmen besitze eine Datenbank mit 72 Millionen Datensätzen, sagte ein Sprecher des Innenministeriums Schleswig-Holsteins der taz. Von den übrigen Händlern lägen keine konkreten Zahlen vor. "Aber auch dort dürften Datensätze im vielfachen zweistelligen Millionenbereich vorgehalten werden", sagte der Sprecher.

 Die Innenbehörden in Kiel und in Nordrhein-Westfalen haben deshalb einen Runderlass an ihre Kommunen verschickt, der den örtlichen Meldeämtern untersagt, den entsprechenden Firmen Auskünfte zu erteilen. Auch die Innenverwaltung des Saarlands prüft eine solche Weisung. Schleswig-Holsteins Datenschutzbeauftragter Thilo Weichert warnt vor einer steigenden Anzahl solcher "Schattenmeldeämter". Betroffenen Bürgern würden so "sämtliche melderechtlichen Rechte entzogen".

In einem Schreiben des Innenministeriums Nordrhein-Westfalen an die Gemeinden heißt es: "Der Schutz der Meldedaten" sei so "nicht mehr gewährleistet". Es bestünden "erhebliche Bedenken" in datenschutzrechtlicher Hinsicht, kritisiert die Behörde in Kiel.

Der Hintergrund: Jeder Bürger ist zwar nach dem Melderecht dazu verpflichtet, seine aktuellen Namens- und Anschriftsdaten dem zuständigen Meldeamt mitzuteilen. Private Dritte aber können nur unter bestimmten Voraussetzungen durch die einfache Melderegisterauskunft (EMA) Zugriff auf diese Daten erhalten. So müssen den Ämtern eigens Daten vorgelegt werden, um die gesuchte Person eindeutig identifizieren zu können. Nach dem Melderecht und Bundesdatenschutzgesetz sind die Adressmittler dazu verpflichtet, die sensiblen Daten nach der Auskunft zu löschen. "Die kommunalen Melderegister sind kein Selbstbedienungsladen für Datenjäger", sagt Datenschützer Weichert. Zudem haben Bürger durch das Melderecht die Möglichkeit, Widerspruch gegen eine Online-Übermittlung einzuleiten und eine komplette Auskunftssperre zu beantragen.

Diese Rechte werden von Parallelregistern der Adressmittler nun ausgehebelt. Die schwarzen Schafe unter den Adressmittlern erhöhen durch diese Praxis ihre Gewinne. Zum einen können sie die Kundenanfragen zunächst mit der eigenen Datenbank abgleichen, bevor sie für eine Melderegisterauskunft bezahlen. Und Weichert befürchtet, dass die Firmen ihre Daten im großen Stil für Werbezwecke verscherbeln.

So ist das Berliner Unternehmen Regis24 ins Visier der Innenminister geraten. Bis vor kurzem warb es auf seiner Website noch damit, über "einen umfangreichen und qualitativ hochwertigen Datenbestand" zu verfügen, der "ausschließlich mit Melderegisterauskünften angereichert" wurde. Inzwischen ist auf der Seite nur noch von einem "internen Pool" die Rede.

Auf Anfrage wies Regis24 alle Anschuldigungen zurück. "Wir verkaufen keine Adressen, weder an Werbetreibende, Listbroker, Callcenter noch sonstige Dritte", sagte ein Sprecher der taz. Die Auffassung, die Daten aus Melderegisterauskünften dürften nicht gespeichert werden, hielte man "für eine neue und alles andere als zwingende Deutung der Gesetzeslage".

Paragraf 29 des Bundesdatenschutzgesetzes erlaubt privaten Dritten in der Tat die Speicherung von Daten. Allerdings nur, wenn dagegen kein "schutzwürdiges Interesse" vorliege oder die Daten "aus allgemein zugänglichen Quellen entnommen" würden. Für die Landesinnenministerien sind Meldeämter weder eine öffentliche Quelle, noch sind deren Daten schutzlos herauszugeben.

Auch die ebenfalls ins Zwielicht geratene Firma Deltavista beruft sich auf eine rechtliche Grauzone. Sie wirbt im Internet noch immer mit einem "QuickPoolCheck" im internen "EMA-Pool", um rascher und billiger Auskunft zu geben. Allerdings: "Wir verkaufen keine Adressen, haben dies nie getan und werden dies auch nie tun", so ein Sprecher zur taz. Hinter der Intervention der Bundesländer sieht Deltavista allein ein ökonomisches Interesse. Ein Speicherverbot "erhöht die Einnahmen der Bundesländer", weil für jede Neuauskunft gezahlt werden muss, so ein Firmensprecher.

Die acht Firmen, die durch EMAs ihren eigenen Datenbestand anreichern, sind von der Kieler Innenbehörde bereits abgemahnt worden. Sechs von ihnen haben nach Angaben des Ministeriumssprechers inzwischen versichert, Daten schleswig-holsteinischer Meldebehörden nicht mehr in einer eigenen Datenbank zu speichern, darunter auch Regis24 und Deltavista. Die meisten anderen Bundesländer sehen derzeit keinen Handlungsbedarf.


Aus: "Handel mit Melderegisterdaten - Die Schattenmeldeämter" VON V.MEDICK & D.SCHULZ (29.08.2008)
Quelle: http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/die-schattenmeldeaemter/ (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/die-schattenmeldeaemter/)

Title: [Verlorener Datenträger in GB... ]
Post by: Textaris(txt*bot) on September 07, 2008, 07:45:57 nachm.
Quote
[...] Festplatte mit Informationen über rund 5.000 Gefängnisbeamten und Verwaltungsangestellten der Justizbehörden verlorengegangen

London - Die Serie von peinlichen Datenpannen in Großbritannien reißt nicht ab: Das Justizministerium räumte am Wochenende ein, dass eine Festplatte mit den Daten von rund 5.000 Gefängnisbeamten und Verwaltungsangestellten der Justizbehörden verloren gegangen ist. Der Datenträger sei bereits im Juli 2007 verschwunden, das Ministerium sei aber erst jetzt informiert worden. Justizminister Jack Straw kündigte sofortige Ermittlungen an.

Einem Brief zufolge, der an die Sonntagszeitung "News of the World" ging, hatte das Privatunternehmen EDS die Gefängnisbehörden im Juli 2007 über den Verlust informiert. Auf der Festplatte sind unter anderem einige persönliche Details wie Namen, Geburtsdaten und Versicherungsnummern der Justizbeamten gespeichert gewesen, sagte eine Ministeriumssprecherin. Auch befanden sich Finanzinformationen wie Rechnungen von Dienstleistern der Haftanstalten auf dem Datenträger.

Die britische Regierung steht wegen wiederholter Datenpannen stark unter Druck. Vergangenen Oktober gingen CDs mit den persönlichen Details von 25 Millionen Kindergeldempfängern verloren. Erst im August sorgte der Verlust von Daten von allen Häftlingen in England und Wales für Aufregung. (APA/dpa)


Aus: "Wieder Datenpanne: Daten von Gefängnisbeamten weg" (07. September 2008)
Quelle: http://derstandard.at/?url=/?id=1220457545584 (http://derstandard.at/?url=/?id=1220457545584)

-.-

Quote
[...] In Großbritannien kocht der Fall einer vermissten Festplatte mit Informationen über rund 5000 Angestellte des Strafgefangenen- und Entlassenen-Dienstes NOMS (National Offender Management Service) politisch hoch. Wie die Times am heutigen Sonntag berichtet, könnten die auf der Festplatte gespeicherten Details zu Gefängniswärtern und Bewährungshelfern dazu führen, dass die betroffenen Personen ihren Arbeitsplatz und den Wohnort wechseln müssen – bezahlt werden müssten die Maßnahmen womöglich vom Steuerzahler.

Laut Times wird die Festplatte, die insgesamt 45.000 Datensätze zu Mitarbeitern der britischen Justizbehörden enthalten soll, allerdings bereits seit einem Jahr vermisst. Jedoch soll das für den Verlust verantwortliche IT-Dienstleistungsunternehmen EDS dies erst im Juli gemeldet haben. Und den britischen Justizminister Jack Straw zitiert die Times mit den Worten, dass dieser vom Verlust erst "zur Mittagszeit (Samstag)" erfahren habe. Wegen der Tragweite habe er eine umgehende Untersuchung des Vorfalls eingeleitet.

Justizminister Straw, so die Times, habe zudem einen Bericht mit Erklärungen angefordert, warum ihn sein Ministerium nicht sofort von dem Datenträger-Verschwinden in Kenntnis gesetzt habe. Der Generalsekretär der Vereinigung der britischen Vollzugsbeamten, Brian Caton, erklärte unterdessen, es sei "absolut abscheulich, dass die Verantwortlichen hier offenbar versucht haben, die Sache zu vertuschen". Hier gehe es nicht nur um die Sicherheit in den Gefängnissen sondern auch um das Wohlergehen der dort arbeitenden Personen und ihren Familien.

Vor gut zwei Wochen erst hatte das britische Innenministerium mitgeteilt, dass auch ein Speicherstick vermisst wird, auf den Daten des zentralen britischen Polizeicomputersystems (Police National Computer) transferiert wurden. Der Stick soll unverschlüsselte Informationen über sämtliche Strafgefangene in England und Wales enthalten. Außer diesen 84.000 Standarddatensätzen sollen im Flashspeicher auch erweiterte Informationen zu 33.000 Schwerverbrechern sowie zu 10.000 "Priority Criminals" abgelegt worden sein, darunter kriminalpolizeiliche und geheimdienstliche Erkenntnisse. (pmz/c't)

Quote
7. September 2008 18:01
Wer nichts zu verbergen hat ...
Gregory P (mehr als 1000 Beiträge seit 15.11.03)

... der braucht auch nicht umziehen.

Nicht wahr?


Quote
7. September 2008 18:08
Langsam wird es zur Normalität
seinerenitenz (mehr als 1000 Beiträge seit 27.03.06)

womöglich ist das gar das Ziel?


Quote
7. September 2008 18:23
Der Staat ist sauber. (Wiefelspütz) - kwT
_longo_ (mehr als 1000 Beiträge seit 24.09.03)

http://www.heise.de/tp/r4/artikel/28/28579/1.html


Quote
7. September 2008 18:39
Das ist die britische Version von rottenneigbor.
ganzgenau (mehr als 1000 Beiträge seit 23.01.04)

Europäisch mit tatkräftiger Unterstützung behördlicher Institutionen.
In den USA ist sowas völlig privtaisiert und jeder kann seinen Senf
dazugeben.
Gibt es im UK noch unveröffentlichte Daten?


Quote
7. September 2008 19:36
Eigentlich wird das so langsam für wirklich jeden selbsterklärend. (nt)
Tippse




Aus: "Großbritannien: Verlorener Datenträger könnte Steuerzahler viele Millionen Pfund kosten" (07.09.2008)
Quelle: http://www.heise.de/newsticker/Grossbritannien-Verlorener-Datentraeger-koennte-Steuerzahler-viele-Millionen-Pfund-kosten--/meldung/115584 (http://www.heise.de/newsticker/Grossbritannien-Verlorener-Datentraeger-koennte-Steuerzahler-viele-Millionen-Pfund-kosten--/meldung/115584)

Title: [Massive Datenpanne in norwegischer Steuerverwaltung...]
Post by: Textaris(txt*bot) on September 18, 2008, 09:57:17 vorm.
Quote
[...] Die norwegische Steuerverwaltung hat versehentlich die ID-Nummern der fast 4 Millionen Steuerpflichtigen des Landes auf CDs an Zeitungsredaktionen geschickt. Die aus elf Ziffern bestehende Nummer, die unter anderem das Geburtsdatum enthält, wird in Norwegen von öffentlichen Institutionen und Unternehmen zur Identifizierung von Personen genutzt. Die CDs gingen laut einer Mitteilung der Steuerverwaltung an neun Zeitungsredakteure. Die Daten seien verschlüsselt, daher hätten nur Redakteure mit einem Schlüssel Zugang. Sie werden gebeten, die CDs zurückzugeben und möglicherweise kopierte Datensätze zu löschen.

Der norwegische Datenschutzbeauftragte Ove Skåra bezeichnete den Vorfall laut einem Bericht des norwegischen Rundfunks NRK als einen Skandal und verglich ihn mit den jüngsten Datenlecks in Großbritannien. Finanzministerin Kristin Halvorsen sieht einen "äußerst ernsten und bedauerlichen Fehler" und forderte eine Aufklärung des Vorfalls.

Daten wie Namen, Einkommen und Steuersätze sind in Norwegen allgemein zugänglich. Die Steuerverwaltung liefert den Medien sogar alljährlich entsprechende Listen. Die Aufregung entstand nun, da die Datenlisten auch die jeweilige Personen-Kennziffer enthalten. Da sie die für die Identifizierung von Personen entscheidend ist, wird sie im Gegensatz zu den anderen Daten normalerweise streng vertraulich behandelt. (anw/c't)

Quote
17. September 2008 18:23
...und in D ..... ist
µtux (13 Beiträge seit 04.12.07)

...alles sicher. Ist ja noch nix wech gekommen. Zumindest schreibt
keiner drüber.
Bestimmt aus Datenschutzgründen...hohohooooo


Quote
17. September 2008 20:39
Warum Skandal?
HelenR (3 Beiträge seit 04.09.08)

In allen skandinavischen Ländern gibt es eine Personennummer, die man
auch angeben muß, wenn man in einem Internetforum einen Kommentar
abgeben oder etwas bestellen will. In Island werden all diese
eindeutigen Identifizierungen zusammengeführt und weiterverkauft.
Dass es in Norwegen jetzt ein Skandal ist, liegt nur daran, dass alle
schon gesammelt und geordnet auf CD gebrannt war. Man kann aber alles
über andere erfahren, was nicht mit Geheimnis belegt ist (laufende
Polizeiermittlung, Staatsschutz). Der Skandal besteht also nur darin,
das die Zeitung sonst für jeden Bürger separat die Dinge hätte
herausfinden müssen. Steuererklärungen, Adressen, und
Familienverhältnisse sind öffentlich zugänglich. In Schweden kann man
die zum Nummernschild des vor einem fahrenden Autos gehörende
Wohnadresse in zehn Sekunden erfahren.


Quote
17. September 2008 16:39
Was ist die Gemeinsamkeit von Daten und Atomkraftwerken?
Der Inquisitor (253 Beiträge seit 03.06.08)

Beides ist natürlich todsicher und es gibt keine Pannen.




Aus: "Massive Datenpanne in norwegischer Steuerverwaltung" (17.09.2008)
Quelle: http://www.heise.de/newsticker/Massive-Datenpanne-in-norwegischer-Steuerverwaltung--/meldung/116109 (http://www.heise.de/newsticker/Massive-Datenpanne-in-norwegischer-Steuerverwaltung--/meldung/116109)

Title: [Aus dem Hochsicherheitsbereich des Luftwaffenstützpunktes Innsworth...]
Post by: Textaris(txt*bot) on September 29, 2008, 09:53:38 vorm.
Quote
[...] Alle paar Wochen eine neue Daternverlust-Meldung aus Großbritannien: Wie das Verteidigungsministerium in London am späten Freitagabend mitteilte, wurden aus dem Hochsicherheitsbereich des Luftwaffenstützpunktes Innsworth im südwestenglischen Gloucester drei Computerfestplatten mit den persönlichen Daten tausender Militärangehöriger gestohlen.

Man nehme den Vorfall vom vergangenen Mittwoch "extrem ernst", sagte ein Ministeriumssprecher. Noch sei aber unklar, wie viele Datensätze tatsächlich gestohlen worden seien und was genau an persönlichen Informationen auf den drei USB-Festplatten gespeichert war. Insgesamt würden in dem Stützpunkt Daten von rund 900.000 ehemaligen und noch im Dienst stehenden Militärangehörigen verwaltet.

Die britische Regierung steht wegen der ständigen Datenpannen unter Druck.

Erst Anfang des Monats hatte das Justizministerium einräumen müssen, dass bereits im Sommer vergangenen Jahres eine Festplatte mit Daten von rund 5000 Gefängnisbeamten und Verwaltungsangestellten der Justizbehörden verlorengegangen ist.

Im August sorgte der Verlust von Daten von allen Häftlingen in England und Wales für Aufregung. Im Oktober vergangenen Jahres verschwanden CDs mit den persönlichen Details von 25 Millionen Kindergeldempfängern.


Aus: "Daten von Luftwaffenstützpunkt gestohlen" (27.09.2008)
Quelle: http://futurezone.orf.at/it/stories/310619/ (http://futurezone.orf.at/it/stories/310619/)

-.-

Quote
[...] In Großbritannien häufen sich die Datenverluste bei Behörden. Das britische Verteidigungsministerium musste erneut berichten, dass aus einem doppelt gesicherten Personalbüro auf dem Luftwaffenstützpunkt Innsworth am letzten Dienstag drei USB-Speichermedien mit persönlichen Daten von bis zu 50.000 ehemaligen und aktuell dienenden Soldaten gestohlen wurden.

Ein Sprecher des Verteidigungsministeriums räumte ein, dass Daten des gesamten Personals der Luftwaffe, einschließlich ihrer Angehörigen, in Gefahr sein könnten. Allerdings scheint unklar zu sein, welche Informationen sich auf den Speichermedien befanden und wie viele Soldaten vom Diebstahl betroffen sind. Man nehme den Diebstahl "sehr ernst", um die Ermittlungen nicht zu gefährden, dürfe jetzt aber keine weiteren Einzelheiten bekannt geben.

[...]

Quote
28. September 2008 00:46
Wäre es nicht einfacher...
Luckie (mehr als 1000 Beiträge seit 20.02.03)

zu berichten von welcher Behörde noch keine Daten(träger) verloren
gegangen sind?

Wenn die mit dieser Verlustrate weitermachen, sind wohl bis Ende des
Jahres Daten aller Bürger Groß Britaniens im Umlauf. Eventuell
erleichtert das auch den Datenaustausch zwischen den Behören:
Telefonanruf:
"Ja hallo, hier Brown von der Behörde XYZ. Ich bräuchte mal die Daten
von Bürger ABC."
"Äh Moment. Geben sie mir mal bite ihre dienstliche E-Mail Adresse,
dann schicke ich ihnen den Torrent-Link."


Quote
28. September 2008 00:53
Die interessante Frage ist...
der_ingo (187 Beiträge seit 11.01.06)

...ist das in Deutschland noch nicht in dem Umfang passiert oder hat
es einfach nur keiner gemerkt?


Quote
28. September 2008 01:51
Re: Die interessante Frage ist...
step, step@startplus.de (mehr als 1000 Beiträge seit 05.03.00)

Onkel Bräsig schrieb am 28. September 2008 01:09

> Ist doch schon mal passiert, und zwar als ein Untersuchungsausschuss
> Daten haben wollte. Da waren sie durch eine "technische Panne"
> verloren gegangen.

Ja dass war auch mal wieder so ein "dummer Zufall". Als das von
unserer Junta publiziert wurde, hat doch jeder gedacht: Das kriegen
die nicht durch, die können doch den Untersuchungsausschuss nicht so
verarschen, das gibt doch ganz böses Blut. Passiert ist dann...
nichts. Um zu präzisieren: GARNICHTS. Der Untersuchungsausschuss war
es offensichtlich zufrieden, die Medienvertreter habe brav die Fresse
gehalten, fertig. Heute schon vergessen, die ganze Geschichte, da
kann sich jetzt maximal noch ne handvoll Leute dran erinnern.

Erklär doch mal Otto Normalbürger, dass eine Bundeseinrichtung einem
parlametarischen Untersuchungsausschuss Daten vorenthält und eine
haarsträubende Geschichte dazu erfindet - er wird dich ungläubig
angucken und sich irgendwas von Übertreibung oder
Verschwörungstheorie denken. Genau das gleiche wird er denken, wenn
man ihm vorträgt, dass der jetzige Bundesinnenminister auf eine Frage
zu einer Spendenaffäre wissentlich gelogen hat - gelogen, um die
Aufklärung des Vorgangs zu behindern und um den Sachverhalt zu
verschleiern.
Warum ist das so? ganz einfach: Während bei einigen Personen oder
Organisationen die nachteiligen Eigenschaften immer gleich miterwähnt
werden (Floskeln wie "die SED-Nachfolgepartei", "der wegen
<irgendwas> vorbestrafte", "zwielichtige", "polizeibekannt") wird bei
anderen auf solche Zusatztexte verzichtet. Oder konnte man in den
*etablierten* Medien schon mal vom lügenden Innenminister, der aus
der FDJ-AgitProp bekannten Bundeskanzlerin oder der für zwangsarbeit
bekannten Siemens AG hören oder lesen? Genau so wird Meinung und
*Volkserinnerung* gemacht, wir müssen hier nicht zensieren und
verbieten, dafür haben wir unsere stromlinienförmigen
Hofjournalisten, die verfassen ihre Texte schon von sich aus zum
Wohlgefallen der Bonzen.

Na gut, ich schweife gerade ein wenig ab.

MfG
Step.


Quote
28. September 2008 01:17
Gestatten, Bond, James...
Z (mehr als 1000 Beiträge seit 16.06.00)

"Ach, das weiß ich doch alles, Bond!"

"Woher?"

"Die Mitarbeiter ihrer Regierung haben ja nun wirklich jeden, aber
auch jeden Datensatz verbummelt, den ihr in euren Datenbanken habt."

"Bitte?"

"So, und jetzt werde ich die Welt sprengen."

"Ich muss sie enttäuschen, Dr. Smud, aber wir haben die Codes
geändert."

"Das ist mir egal, auf diesem MI5-Notebook war das Generatorprogramm
drauf."

"Die Waffensysteme wurden verriegelt!"

"Schön. *klick* Jetzt nicht mehr."

"Mein Standpunkt ist dem MI5 bekannt! Die sind gleich hier."

"Ups, und mit diesem schönen Notebook haben wir ihre Regierung
darüber informiert, dass sie in Grönland sitzen. Vor über einer
Stunde..."

"Aber hier ist doch gar nicht... wie auch immer, wir haben die
Zielkoordinaten auch gefälscht! Ätsch!"

"Aber Mr. Bond, das wissen wir doch alles."

"Das können Sie doch gar nicht wissen! Das haben wir erst vor einer
Stunde gemacht."

"Sicherlich, aber das Drehbuch für diese Schmonzette war auf diesem
USB-Stick hier drauf."

MFG/Z


Quote
28. September 2008 03:52
Gegenüberstellung, neusprech
evilk666 (mehr als 1000 Beiträge seit 11.01.02)

[Terror]
Terror ist überall, wir sind in Deutschland allesamt akut durch den
internationalen Terrorismus gefährdet.
[DatenGAU]
Panne, die mit den Strukturen in Deutschland völlig unvergleichbar
ist.

[Terror]
Es muss sofort gehandelt werden. Die Befugnisse der Behörden müssen
erweitert werden - auf Augenhöhe mit den Terroristen.
[DatenGAU]
Es besteht kein Handlungsbedarf, die geltenden Rechte sind vollkommen
ausreichend. Es heißt nun, besonnen auf die geltende Rechtslage zu
vertrauen. Reiner Aktionismus ist hier Fehl am Platze.

[Terror]
Wer nicht für die Bürgerrechtsdemonatgen und Privillegienerweiterung
der Behörden ist, spielt den Terroristen in die Hände.
[DatenGAU]
Änderungen würde bewährte und sichere Abläufe gefährden und das
Alltagsleben erstarren lassen. Pizzas könnten nicht mehr ohne
unterschriebenen Vertrag bestellt werden - die Welt würde halt aus
den Fugen geraten.

[Terror]
Umsetzung von Bürgerrechtsdemontage lebensnotwendig. Aber wir sind
trotzdem natürlich sicher. Noch. Das kann sich aber jeden Moment
ändern. Vor allem dann, wenn Überwachungs- und
Behördenbefugnis-Ausdehnungen sowie Bürgerrechtseinschränkungen nicht
sofort umgesetzt werden.
[DatenGAU]
Die Diskussion in öffentlichen Kreisen ist albern und ohne Niveau.
Die Regierungsexperten beleuchten das Thema von jeder Facette und
kommen anhand bewährter Beurteilungsprozesse zum objektiv richtigen
Ergebnis.
Es heißt Abstand gewinnen, die Dinge von oben betrachten und mit
klugem Kopf die Ergebnisse der Experten ignorieren, halt nein.. die
Ergebnisse der eigenen Experten umsetzen und ein Bundesamt für
Datenschutzfragen (Diskussionsforum ohne Befugnisse) zu gründen.

[Terror]
Kritiker spielen mit dem Leben der Bürger! Aber man will ja auch
nicht unnötig Ängste schüren. Aber warnen. Und hinterher sagen "ich
hab's ja schon immer gesagt" und "hättet ihr alle euch in den Bunker
in der Erde verkrochen und mich zu allem ermächtigt, wäre das nicht
passiert".
[DatenGAU]
Kritiker lähmen durch ihre unsäglichen, unhaltbaren und langweiligen
Aussagen und Forderungen die Tagespolitik.
Falls etwas passiert, ist es sowieso unvorhersehbar gewesen und es
hätte auch sonst niemand damit rechnen können. Eine Daten-GAU wie in
GB sei in D schon wegen der geografischen Unterschiede undenkbar
gewesen. Die Experten seien fassungslos und könnten es nicht
begreifen.





Aus: "USB-Sticks mit persönlichen Daten aus britischem Luftwaffenstützpunkt gestohlen" (28.09.2008)
Quelle: http://www.heise.de/newsticker/USB-Sticks-mit-persoenlichen-Daten-aus-britischem-Luftwaffenstuetzpunkt-gestohlen--/meldung/116588 (http://www.heise.de/newsticker/USB-Sticks-mit-persoenlichen-Daten-aus-britischem-Luftwaffenstuetzpunkt-gestohlen--/meldung/116588)

Title: [Telekom-Kundendaten offenbar schlecht gesichert...]
Post by: Textaris(txt*bot) on Oktober 01, 2008, 02:52:27 nachm.
Quote
[...] Vertrauliche Kundendaten in der internen Telekom-Plattform Cosma waren lange Zeit nur mit Passwort und Kennung gesichert. Wie das Magazin Stern berichtet, betraf der schwache Zugangsschutz Callcenter-Beschäftigte, die auf die zentrale Kundendatenbank des Konzerns zugreifen. 25.000 Menschen, Callcenter-Mitarbeiter und Beschäftigte in T-Punkten konnten demnach lange Zeit mit Passwort und Kennungen von jedem Rechner aus die Datenbank öffnen. Die Zugangsinformationen seien etwa auf dem Schwarzmarkt im Internet angeboten worden, so die Zeitschrift. Die Sicherheitsmängel fielen erst im Sommer 2007 auf. Die Telekom hat rund 30 Millionen Festnetz- und 38 Millionen Mobilfunkkunden.

Telekom-Sprecher Philipp Blank sagte Golem.de: "Es gab eine Sicherheitslücke, die wir im August 2007 durch neue Sicherheitsfeatures geschlossen haben." Dem Konzern sei bislang nur ein Fall in Bremerhaven bekannt, in dem der mangelnde Schutz kriminell ausgenutzt worden sein soll. Dazu ermittelt derzeit die Staatsanwaltschaft. "Dass Kundendaten der Deutschen Telekom vor allem mit Blick auf Kontonummern für Trickbetrügereien missbraucht worden sind, ist bisher nicht bekannt", so Blank weiter.

Ein früherer Callcenter-Beschäftigter aus Bremerhaven soll versucht haben, die Telekom um 10.000 Euro zu erpressen. Ihm sei es gelungen, Kundendaten aus Cosma zu stehlen. Die Bonner Staatsanwaltschaft verhaftete Ende August 2008 den 49-jährigen Volker T., der behauptete, im Besitz von gestohlenen Kundendaten zu sein. T. soll der Telekom zuvor mit der Weitergabe von Kundenlisten an die Medien und der Aufdeckung neuer Datenlecks gedroht haben. Bereits am 19. August 2008 hatte das Magazin "Kriminalreport" von NDR und WDR berichtet, dass Daten aus einem Callcenter in Bremerhaven, das für den Konzern tätig war, offenbar unrechtmäßig genutzt und weiterverkauft wurden. (asa)


Aus: "Telekom-Kundendaten offenbar schlecht gesichert" (Networld / 01.10.2008)
Quelle: http://www.golem.de/0810/62714.html (http://www.golem.de/0810/62714.html)


Title: [17 Millionen Telekom-Nummern entwendet... (Telekom, BRD)]
Post by: Textaris(txt*bot) on Oktober 04, 2008, 12:46:01 nachm.
Quote
[...] Herr Huch, vor zwei Jahren wurden bei T-Mobile 17 Millionen Kundendaten illegal kopiert. Sie sollen im Besitz dieser Daten sein. Stimmt das?

  Tobias Huch: Die Daten sind derzeit an einer sicheren Stelle gespeichert, auf die ich Zugriff habe.

Seit wann?

  Tobias Huch: Seit zwei Jahren.

 Wie kamen Sie an diese Daten?

  Tobias Huch: Ein Mann aus Österreich hat sich bei mir gemeldet, er wolle seine Kundendatenbank versilbern. Er gab mir ein Kennwort, so dass ich mir die Daten, die auf einer Webseite gespeichert waren, anschauen und herunterladen konnte. Mir wurde aber schnell klar, dass das keine normale Kundendatenbank war.

Warum?

  Tobias Huch: Weil es einfach zu viele Daten waren. Welches Unternehmen hat schon 17 Millionen Kunden? Außerdem hatten alle eine Telefonnummer von T-Mobile. Da dachte ich mir, das müssen die geklauten T-Mobile-Daten sein.

  Woher wussten Sie zu diesem Zeitpunkt, dass bei T-Mobile Daten illegal kopiert wurden?

  Tobias Huch: Das hatte ich schon einige Wochen vorher erfahren, von einem Branchen-Insider.

Was haben Sie dann mit den T-Mobile-Daten gemacht?

  Tobias Huch: Ich habe schon zwei Stunden später über meinen Anwalt einen Aktenvermerk über den Vorgang anfertigen lassen. Dann habe ich T-Mobile kontaktiert. 

 Und wie war dort die Reaktion?

  Tobias Huch: Dort wusste man schon, dass die Daten auf dem Markt sind. Es hieß, dass meine Informationen an die Polizei weitergegeben werden. Außerdem hat mich T-Mobile aufgefordert, die Daten auf meinem Computer zu sichern.

Und das haben Sie gemacht?

  Tobias Huch: Natürlich. Ich dachte ja, die Polizei kommt bald, um sich die Daten anzuschauen. Aber dann ist nichts mehr passiert. Von T-Mobile habe ich nichts mehr gehört und auch die Polizei hat sich nicht gemeldet.

Haben Sie T-Mobile auch auf den Österreicher hingewiesen, der ihnen die Daten verkaufen wollte?

  Tobias Huch: Ja. Ich habe sogar Daten zu seiner möglichen Identität mitgeteilt. Aber soweit ich weiß, hat damals keine Durchsuchung oder ähnliches stattgefunden.

Die 17 Millionen Datensätze lagerten also zwei Jahre lang auf ihrem Computer?

  Tobias Huch: Ja. Das hat etwa 2 bis 3 Gigabyte Speicherplatz blockiert. Außerdem musste ich die Sicherheitsvorkehrungen meines Computers heraufschrauben, damit nicht Unbefugte an die Daten herankommen.

T-Mobile hat 2006 also gewusst, dass bei Tobias Huch noch ein Satz der illegal kopierten Daten liegt. Warum hat das Unternehmen nicht versucht, die Daten zurückzubekommen?

  Tobias Huch: Das habe ich mich auch gefragt.

 War ihnen klar, dass unter den Kundendaten auch geheime Handynummern von Prominenten und Politikern waren?

  Tobias Huch: Ich habe einen meiner Programmierer ein kleines Programm schreiben lassen, so dass ich mir die Daten mal näher ansehen konnte. Da stieß ich auf viele bekannte Namen. Dass zum Beispiel die Nummer von Charlotte Knobloch [Präsidentin des Zentralrats der Juden, d.Red.] nicht in die Öffentlichkeit gehört, war mir sofort klar.

Sie gelten ja als geschäftstüchtig. Haben Sie nie daran gedacht, die Daten zu Geld zu machen?

  Tobias Huch: Natürlich sah ich, was für einen Wert ich da in der Hand hielt. Ein Missbrauch der Daten kam aber für mich selbstverständlich nicht in Frage. Es gibt Wichtigeres als Geld.

Die Telekom deutet an, Sie hätten sich 2006 deshalb gemeldet, weil Ihnen der Besitz der T-Mobile-Daten zu heiß geworden sein könnten...

  Tobias Huch: Das ist eine dreiste Behauptung. Mein Anwalt kann bestätigen, dass ich mich damals aus Verantwortungsbewusstsein unverzüglich bei T-Mobile gemeldet habe. Auch habe ich nie versucht, Geschäfte mit den Daten zu machen. Vielmehr habe ich auf die angekündigten polizeilichen Ermittlungen gewartet. Aber nichts geschah.

Was wäre das Datenpaket auf dem Markt wert gewesen?

  Tobias Huch: Wenn sich jemand geschickt anstellt, kann er daraus binnen eines Jahres 50 Millionen Euro Gewinn ziehen.

Zwei Jahre später haben Sie sich dann an Justiministerin Zypries gewandt. Wie kam das?

  Tobias Huch: Wir saßen zufällig im gleichen Flugzeug, ich erkannte sie und sprach sie dann beim Aussteigen an.

Und wie hat sie reagiert?


  Tobias Huch: Sie war sehr interessiert. Das war ja die Zeit, als es mit den Datenskandalen gerade losging. Ich sagte, dass ich Ihr auch eine SMS schicken könne, schließlich hatte ich ihre Mobilnummer auch im Computer. Das fand sie, glaube ich, ganz witzig.

Und dann?

  Tobias Huch: Tatsächlich rief in meinem Büro drei Stunden später der Konzernsicherheits-Beauftragte der Telekom an, er nannte sich Herr Rupprecht und nahm direkten Bezug auf das Gespräch mit Frau Ministerin im Flugzeug. Ich war aber noch in Berlin. Mein Sekretariat hat mir die Kontaktdaten per SMS geschickt. Ich habe mindestens 20-mal binnen einer Woche versucht ihn zu erreichen. Auch ein Rückruf erfolgt nicht. Jedoch, die Schnelligkeit von Bundesministerin Zypries hat mich beeindruckt. Sie hat endlich Bewegung in die Sache gebracht.

Hat die Polizei Sie inzwischen kontaktiert?

  Tobias Huch: Nein. Ich bin aber jederzeit zu einer Zusammenarbeit mit Polizei und Staatsanwaltschaft bereit und ich verstehe nicht, warum ich überhaupt die 17 Mio. Daten aufheben soll. Das ist absolut unnötig und für mich ein Risiko. In den vergangenen zwei Jahren hätte mich jede ermittelnde Stelle ohne Weiteres kontaktieren können.



Aus: ""Ich habe die T-Mobile-Daten":Ein Erotikunternehmer hat über 17 Millionen Kundendaten"
INTERVIEW: CHRISTIAN RATH (06.10.2008)
Quelle: http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/ich-habe-die-t-mobile-daten/ (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/ich-habe-die-t-mobile-daten/)

-.-

Quote
[...] Bei der Deutschen Telekom hat sich ein Datenklau ungeheuren Ausmaßes ereignet: Mehr als 17 Millionen Kundendaten mit privaten Angaben wie Adressen, Geburtsdaten und Handy-Nummern wurden in der Mobilfunksparte T-Mobile gestohlen, wie Telekom-Sprecher Frank Domagala am Samstag der Nachrichtenagentur AFP in Bonn sagte. Davon seien auch Prominente betroffen. "Wir sind bestohlen worden mit einer extrem kriminellen Energie", sagte der Sprecher.

[...] Konzernsprecherin Marion Kessing bestätigte der Nachrichtenagentur AP, dass das Unternehmen nach Bekanntwerden der Spiegel-Recherchen in der zu Ende gehenden Woche auch das Bundesinnenministerium eingeschaltet hat. Nach Informationen des Hamburger Magazins hat dieses daraufhin das Bundeskriminalamt beauftragt, Gefährdungsanalysen für von dem Datendiebstahl betroffene Politiker und Wirtschaftsführer zu erstellen.

...


Aus: "Datenschutz-Skandal erschüttert die Telekom: Mehr als 17 Millionen Kundendaten geklaut" (04.10.2008)
Quelle: http://www.sueddeutsche.de/wirtschaft/835/312747/text/ (http://www.sueddeutsche.de/wirtschaft/835/312747/text/)

-.-

Quote
[...] Der Telekom-Mobilfunksparte T-Mobile wurden mehr als 17 Millionen Kundenstammdaten entwendet, teilte der Konzern in Bonn am heutigen Samstag mit und bestätigte einen Bericht des Nachrichtenmagazins Der Spiegel. Der Diebstahl, der auch die geschützten Daten vieler Prominenter betraf, habe sich bereits im Jahr 2006 ereignet, damals sei die Staatsanwaltschaft eingeschaltet worden. "Recherchen im Internet und in Datenbörsen ergaben über Monate keine Anhaltspunkte, dass die Daten im Schwarzmarkt weitergegeben oder angeboten wurden. Deshalb ging der Konzern davon aus, dass keine Weitergabe der Daten erfolgte", berichtete ein Telekom-Sprecher.

Offensichtlich habe sich aber Der Spiegel durch Dritte Zugang zu den Daten verschaffen können, hieß es bei der Telekom weiter. "Dass dieser Fall aus 2006 uns erneut beschäftigt, trifft uns sehr", sagte Philipp Humm, Geschäftsführer T-Mobile Deutschland laut einer Unternehmensmitteilung. "Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden." Die Telekom betonte, dass die Datensätze keine Bankverbindungen, Kreditkartennummern oder Verbindungsdaten enthalten. Jedoch seien neben Name und Anschrift die Mobilfunknummer, teils das Geburtsdatum und in einigen Fällen auch die E-Mail-Adresse in den Datensätzen zu finden, so die Telekom. Der laut Staatsanwaltschaft mit großer krimineller Energie vorgegangene Täter konnte bis heute nicht ermittelt werden.

Auf dem Datenträger finden sich laut Spiegel nicht nur viele Prominente aus Kultur und Gesellschaft, sondern auch eine große Anzahl geheimer Nummern und Privatadressen von bekannten Politikern, Ministern, Ex- Bundespräsidenten, Wirtschaftsführern, Milliardären und Glaubensvertretern, für die eine Verbreitung ihrer Kontaktdaten in kriminellen Kreisen eine Bedrohung ihrer Sicherheit darstellen würde. Das Bundesinnenministerium bestätigte am Samstag, es seien seinerzeit Gefährdungsanalysen für die Betroffenen in Auftrag gegeben und ausgearbeitet worden. Weitere Einzelheiten nannte die Sprecherin nicht.

Der Skandal kommt für die Telekom nicht allein: Die Staatsanwaltschaft ermittelt derzeit in der Spitzelaffäre, bei der Telefonverbindungsdaten von Aufsichtsräten und Journalisten ausgespäht wurden. dpa /  (cm/c't) 

Quote
4. Oktober 2008 12:04
Daten "Prominenter" vs. Daten von "Normalos"
scz (712 Beiträge seit 19.03.00)

Ist das nicht schön: Die Daten der "Prominenten" müssen dringend
geschützt werden, aber wehe jemand organisiert sich diese und
verkauft sie - das ist dann eine schwere Straftat, vermutlich schon
auf der Vorstufe zum Terrorismus!

Bei den Daten von "normalen" Bürgern ist es natürlich genau
andersrum: Die werden ganz im Einklang mit Recht und Gesetz
verscherbelt:

http://www.heise.de/newsticker/Saechsischer-Staedte-und-Gemeindetag-Verkauf-von-Meldedaten-ist-zulaessig--/meldung/116890 (http://www.heise.de/newsticker/Saechsischer-Staedte-und-Gemeindetag-Verkauf-von-Meldedaten-ist-zulaessig--/meldung/116890)

Zum Würgen!


Quote
4. Oktober 2008 12:02
ist das die vorratsdatenspeicherung für jedermann?
gläserner bürger (6 Beiträge seit 16.04.08)

so langsam sollte auch dem letzten befürwortenden politiker ein licht
aufgehen was das vertrauen in die tk-unternehmen angeht.
ich befürchte das dieses nur die spitze des eisberges ist.
mein vater bekam jetzt kurz vor seinem 70igsten geburtstag werbung
für viagra da er in seinem alter sowas ja jetzt benötigen würde.


Quote
4. Oktober 2008 11:31
Aha!
der welser (268 Beiträge seit 30.07.06)

"Der Diebstahl, der auch die geschützten Daten vieler Prominenter
betraf"
Die Daten der anderen sind Allgemeingut oder wie??
Arschlöcher!
LG
Usch

Quote
4. Oktober 2008 11:59
Allgemeingut? Nein, Wirtschaftsgut!
scz (711 Beiträge seit 19.03.00)

der welser schrieb am 4. Oktober 2008 11:31

> Die Daten der anderen sind Allgemeingut oder wie??

Nö, die werden doch stattdessen verkauft:

http://www.heise.de/newsticker/Saechsischer-Staedte-und-Gemeindetag-Verkauf-von-Meldedaten-ist-zulaessig--/meldung/116890



Quote
4. Oktober 2008 12:18
Wie naiv kann man sein?
2007Twister2007, Bettina Winsemann, (mehr als 1000 Beiträge seit 02.09.07)

Wir gehen davon aus, dass die Daten im vollen Umfang sichergestellt
worden sind...
das lässt einen zu der Frage kommen inwiefern die Ts eigentlich
wissen, was Daten sind. Mag ja sein, dass man eine CD findet oder
einen USB-Stick, darüber, wer mittlerweile diese Daten hat (und sie
clevererweise eben nicht sofort verwendet) sagt dies doch nichts aus.
Und dass Recherchen im Internet und in Datenbörsen ebenso wenig
darüber aussagen ob Dieb D nicht einfach mal Kopien an seine Kumpanen
aus Russland, Amerika, England, Italien oder sonstwo weitergegeben
hat, dürfte doch auch logisch sein.
Man muss ja die Daten auch nicht sofort verwenden, das wäre unklug
(wurden eigentlich alle benachrichtigt?)

Interessant finde ich, dass jetzt plötzlich die Debatte darum
beginnt, inwiefern durch solches Entwenden Menschen gefährdet werden
- als wären diejenigen, deren Daten bisher verschlampt, entwendet
usw. worden sind, nicht so wichtig.
Solange man weder Promi noch Politiker noch Glaubensvertreter ist
scheint man "dort oben" der Ansicht zu sein, dass es
Sicherheitsprobleme gar nicht geben kann bzw. niemand gefährdet wird.
Ehemänner, die endlich die Adressen und Telefonnummern der
weggelaufenen Ehefrau finden; Stalker, die sich freuen, dass das
Objekt der Begierde wieder auffindbar ist; Leute, die xy aus
politischen Gründen ans Leder wollen; andere, die schon immer mal
wissen wollten, wo Kritiker X wohnt - völlig egal, da muss man kein
Sicherheitsfass aufmachen.

Aber wenn es um die Promis geht, dann beginnt eine Debatte.
Das empfinde ich schon als äusserst vielsagend.




Aus: "Alter Raub, neuer Skandal: 17 Millionen Telekom-Nummern entwendet" (04.10.2008)
Quelle: http://www.heise.de/newsticker/Alter-Raub-neuer-Skandal-17-Millionen-Telekom-Nummern-entwendet--/meldung/116913 (http://www.heise.de/newsticker/Alter-Raub-neuer-Skandal-17-Millionen-Telekom-Nummern-entwendet--/meldung/116913)

-.-

Quote
[...] Nachdem der Mainzer Erotik-Unternehmer Tobias Huch sich wegen des jahrelangen Besitzes von über 17 Millionen Kundendaten von T-Mobile an die Presse gewandt hatte, erhielt der in dem wieder aufgenommenen Fall als "unverdächtiger Zeuge" Geführte am heutigen Montag unerwarteten Besuch von der Bonner Staatsanwaltschaft. "Gegen zehn Uhr kamen die Ermittler mit rund 20 Leuten und Beamten der Polizei", erklärte Huch gegenüber heise online. Im Rahmen der mehrstündigen Durchsuchung seiner Geschäfts- und Privaträume sei nicht nur eine Kopie der passwortgeschützten Datenbank auf seinem beruflich genutzten PC gezogen worden. Vielmehr hätten die Fahnder auch seinen privaten Heimcomputer, seinen Laptop sowie seinen E-Mail-Verkehr beschlagnahmt. Gefolgt sei der Durchsuchung eine dreieinhalbstündige Vernehmung auf dem Polizeipräsidium Mainz, die in Begleitung seiner vier Anwälte über die Bühne gegangen sei.

Huch hatte bereits 2006 gegenüber der Deutschen Telekom und Anfang des Monats gegenüber dem Nachrichtenmagazin "Der Spiegel" angegeben, sich im Besitz der im Internet gehandelten Datensätze zu befinden. Diese seien ihm von einer bislang unbekannten Person aus Österreich übergeben worden. Seitdem habe er die Adressdaten und Telefonnummern nebst Geburtsdaten und E-Mail-Adressen in einigen Fällen nach Absprache mit der Telekom "sicher" auf seinem Rechner verwahrt. Weitere Folgen hatte die Aufbewahrung der Daten rund zwei Jahre lang nicht.

Über die plötzlich Kehrtwende und das Ausmaß der Durchsuchung wundert sich der Geschäftsmann nun. Abgesprochen gewesen sei, dass die Ermittler gemeinsam mit einem technischen Mitarbeiter des Landesdatenschutzbeauftragten Rheinland-Pfalz die Datenbank sichten und anschließend sicher löschen sollten. "Ich habe das Ding ins Rollen gebracht, da hätte ich etwas mehr Respekt erwartet", moniert Huch. Sollte jetzt ausgerechnet gegen ihn etwas unternommen werden, um Versäumnisse unter den Teppich zu kehren, werde er dagegen die erforderlichen rechtlichen Schritte einleiten. Er hoffe zudem, dass die Datendiebe bald bestraft würden und das Vertrauen in den Schutz der Privatsphäre bei der Telekom wieder herzustellen sei.

Im Beschluss des Amtsgerichts Bonn zur Durchsuchung heißt es dagegen, dass Tatsachen für die Annahme vorlägen, dass außer den Datensätzen von T-Mobile auch weitere Indizien für Rückschlüsse auf die Herkunft der Kundenstammdaten sowie auf die Hinterleute des in dem Fall ursprünglich Beschuldigten Georg W. aus Pulheim gefunden werden könnten.

Der später einbezogene Technikexperte der Datenschutzaufsichtsbehörde erläuterte gegenüber heise online, dass sich die Datenbank in dem in den Medien genannten Umfang auf dem Geschäftsrechner Huchs befunden habe und derzeit in knapp 30 Durchgängen siebenfach überschrieben werde. Danach sei davon auszugehen, dass die Informationen unter einem verhältnismäßigen Aufwand nicht mehr hergestellt werden und als "verlässlich gelöscht" gelten könnten. In die vorherige Durchsuchung sei man nicht eingebunden gewesen. Ob sich für die Firma aus Sicht der Aufsichtsbehörde noch weitere Fragen zu einem späteren Zeitpunkt ergeben könnten, sei derzeit offen.

Die Forderungen aus der Politik nach Konsequenzen an der Spitze der Telekom nach dem erneuten Datenleck dauern derweil an. Eine derartige Panne müsse personelle Folgen haben, sagte Hans-Peter Uhl, Vorsitzender der Arbeitsgruppe Innenpolitik der CDU/CSU-Fraktion im Bundestag. "Derjenige im Vorstand, der dafür Verantwortung trägt, hat den Hut zu nehmen." Ein neues Datenschutzgesetz müsse "dafür Sorge tragen, dass Firmen wie die Telekom stärker überwacht werden". Silke Stokar, Innenexpertin der Grünen im Bundestag, forderte in der Frankfurter Rundschau zudem den Stopp aller weiteren staatlichen Großaufträge wie die Entwicklung der elektronischen Gesundheitskarte, "solange der Datenschutz nicht gewährleistet ist". "Hochsensible Projekte kann man der Telekom im Moment nicht anvertrauen", meint die Politikerin. "Datenschutz war offenbar bislang kein Bestandteil der Unternehmensziele." Im Datenschutzgesetz müsste neben Informationspflichten bei Datenpannen auch die Möglichkeit des Schadensersatzanspruchs für geschädigte Kunden verankert werden.

Quote
13. Oktober 2008 23:12
Abgestraft für Zivilcourage
Jotun (mehr als 1000 Beiträge seit 04.10.01)

[...] Naja, wer nichts zu verbergen hat hat auch nichts zu befürchten...
bis auf einen Besuch vom Staatsanwalt, eine Hausdurchsuchung und
Beschlagnahmung der pers. Rechner.


Quote
14. Oktober 2008 08:33
Ein Blick zurück in die Geschichte
Michael Kistinger, Michael Kistinger (mehr als 1000 Beiträge seit 01.07.00)

> "Datenschutz war offenbar bislang kein Bestandteil der Unternehmensziele."

Am Anfang der Industrialisierung waren Arbeitssicherheit und
Gesundheitsschutz kein Thema. Der Weg bis zu den heuten
Sicherheitsvorschriften war lang und steinig, hat viele Opfer
gefordert.

Umweltschutz war lange Zeit auch kein Thema. Erst als die Folgen der
Industrialisierung immer bedrohlicher wurden und einfach nicht mehr
zu übersehen waren, bekam Umweltschutz langsam eine gesellschaftliche
Bedeutung.

Der Datenschutz macht gerade eine ähnliche Entwicklung durch. Hoffen
wir, daß die zu einem vergleichbaren Ergebnis führen wird.

M.


Quote
14. Oktober 2008 09:49
Der Piratenpartei erging es ähnlich. Nicht die Kriminellen werden verfolgt,
OpaKnack (668 Beiträge seit 22.11.03)

sondern couragierte Bürger die auf kriminelle Machenschaften
aufmerksam machen:

http://piratenpartei.de/node/515
und
http://piratenpartei.de/node/516

Andreas Popp, Vorsitzender der Piratenpartei Bayern dazu: "Da hat
sich ein mutiger Mensch hingestellt und der Piratenpartei Dokumente
zukommen lassen, um ein verfassungsrechtlich höchst bedenkliches
Vorgehen der bayrischen Landesregierung an die Öffentlichkeit zu
bringen. Nun wird dieser gejagt wie ein Verbrecher. Wohnungen von
Parteimitgliedern werden durchsucht, Server beschlagnahmt."





Aus: "Erotikfirma wegen T-Mobile-Kundendatenbank durchsucht" (Stefan Krempl) / (pmz/c't)   (13.10.2008)
Quelle: http://www.heise.de/newsticker/Erotikfirma-wegen-T-Mobile-Kundendatenbank-durchsucht--/meldung/117324 (http://www.heise.de/newsticker/Erotikfirma-wegen-T-Mobile-Kundendatenbank-durchsucht--/meldung/117324)

Title: [Gewerkschaft der Polizei räumt Datenpanne ein...]
Post by: Textaris(txt*bot) on Oktober 07, 2008, 09:23:21 vorm.
Quote
[...] Während halb Deutschland bangt, welche Konsequenzen der Diebstahl von 17 Millionen Kundendaten bei der Telekom-Tochter T-Mobile für jeden Einzelnen haben könnte, muss der Berliner Landesbezirk der Gewerkschaft der Polizei (GdP) einen eigenen GAU beim Umgang mit sensiblen Informationen einräumen. Anfang September hatte die Polizeigewerkschaft – wie zuvor in Sachsen-Anhalt, Thüringen und Sachsen auch – damit begonnen, ihren 14.000 Berliner Mitgliedern kostenlos Handys zur Verfügung zu stellen, damit diese im Dienst nicht mehr ihre privaten Geräte nutzen müssen. Mit dem sogenannten GdP-Phone können die Nutzer im E-Plus-Netz untereinander und mit allen Berliner Dienststellen der Polizei, der Feuerwehr, des Landesamtes für Bürger- und Ordnungsangelegenheiten (LABO) und der Bezirksämter kostenfrei telefonieren.

Da aber nun nicht jeder Polizist die Nummern sämtlicher Berliner GdP-Kollegen kennen kann, stellte der Landesbezirk kurzerhand eine Liste mit allen Telefonnummern, Namen und Dienststellen in den geschlossenen Mitgliederbereich der Gewerkschafts-Webseite. Allerdings kursierte diese interne Liste bereits kurze Zeit später frei im Internet – wer dafür verantwortlich ist, konnte bislang nicht nachvollzogen werden. Da in der Liste auch Beamte aufgeführt sind, die im Bereich der Organisierten Kriminalität oder bei Spezialeinsatzkommandos tätig sind, stehen nun Befürchtungen im Raum, Kriminelle könnten diese Informationen nutzen, um einzelne Personen zu bedrohen oder bestimmte Handys orten zu lassen. Aus der "erheblichen Arbeitserleichterung" durch das GdP-Phone ist womöglich ein ernstes Problem geworden.

"Datenpanne bei Polizeihandys. Jedes Schwein ruft mich an", titelte bereits die taz und zitiert den Grünen-Abgeordneten im Berliner Abgeordnetenhaus, Benedikt Lux, mit den Worten, dass so etwas "gerade einer Gewerkschaft aus Polizisten nicht passieren darf". Die GdP weist Kritik an dem Daten-Skandal unterdessen von sich. "Wir haben die Telefonliste nicht ins Netz gestellt. Sie war ursprünglich nur in einem geschützten Bereich lediglich Mitgliedern zugänglich", erklärte GdP-Landeschef Eberhard Schönberg gegenüber dem Tagesspiegel. Er könne nichts dafür, wenn "irgendjemand die Liste dann ins Internet stellt". Reagieren musste die GdP aber dennoch: Wer sich bedroht fühlt, weil die Liste nun schon kursierte, soll laut Schönberg eine neue Nummer bekommen, die nicht veröffentlicht wird. (pmz/c't)

Quote
7. Oktober 2008 08:19
Wer nichts zu verbergen hat...
Largor (mehr als 1000 Beiträge seit 14.02.03)

Und gerade Polizisten sollten doch einen tadellosen Lebenslauf
vorweisen können, nicht wahr?

Oder um den Telekomchef zu zitieren: "Große Datensammlungen ziehen
immer das Interessen von Kriminellen auf sich". VDS wir kommen!



Aus: "Berlin: Gewerkschaft der Polizei räumt Datenpanne ein" (06.10.2008)
Quelle: http://www.heise.de/newsticker/Berlin-Gewerkschaft-der-Polizei-raeumt-Datenpanne-ein--/meldung/116990 (http://www.heise.de/newsticker/Berlin-Gewerkschaft-der-Polizei-raeumt-Datenpanne-ein--/meldung/116990)


Title: [Datenleck bei Springer-Konzern...]
Post by: Textaris(txt*bot) on Oktober 20, 2008, 12:56:53 nachm.
Quote
[...] Nach der Deutschen Telekom und der Call-Center-Branche sind einem "Spiegel"-Bericht zufolge nun auch Datenschutz-Probleme beim Medienkonzern Axel Springer aufgetreten. Über dessen Hamburger Anzeigenblatt-Tochter WBV Wochenblatt seien vom 1. September an wochenlang sensible persönliche Daten von Anzeigenkunden über das Internet abrufbar gewesen.

Per einfacher Google-Suche ließen sich sogar von Kunden, die anonyme Chiffre-Anzeigen etwa in der Rubrik "Heiraten und Bekanntschaften" geschaltet hätten, komplette Datensätze mit Namen, Anschrift, Handynummer und den Kontodaten einsehen.

Es seien zunächst "einige Tausend" derartiger Datensätze im Internet sichtbar gewesen, sagte WBV-Geschäftsführer Peter Prawdzik dem "Spiegel". Auf den im Netz auffindbaren Formularen waren sogar mehr als 18.000 Einträge vermerkt. Die Differenz erklärte Prawdzik mit Dauerkunden, die mehrfach erfasst worden seien. Sein Unternehmen habe das Datenleck nach einem ersten Hinweis Ende September sofort behoben, betonte der Geschäftsführer.

Dennoch waren laut Magazin über die Google-"Cache"-Funktion noch bis Freitagmittag mehrere Hundert Kunden-Informationen abrufbar. Es habe sich vor allem um Inserenten aus dem Hamburger und Berliner Raum gehandelt. Dort ist Springer jeweils mit rund zwei Dutzend lokalen Anzeigenblättern vertreten. Inzwischen seien auch die Cache-Daten gelöscht.

"Wir bedauern den Vorfall außerordentlich", sagte Springer-Sprecher Dirk Meyer-Bosse. Der Datenschutzbeauftragte des Konzerns hatte kurz nach dem ersten Hinweis auf das Leck die zuständige Hamburger Datenschutzaufsicht informiert. Es sei "bedauerlich, dass so ein Programmierfehler durch unsere Qualitätskontrolle gelaufen ist", hieß es in einem Schreiben an die Aufsicht vom 8. Oktober.

Beim Hamburgischen Datenschutzbeauftragten wird der Fall derzeit untersucht. "Die Prüfung läuft noch, aber wir gehen davon aus, dass es sich hier um einen klaren Verstoß gegen das Bundesdatenschutzgesetz handelt", sagte Evelyn Seiffert, Referentin beim Hamburgischen Datenschutzbeauftragten.


Aus: "Nach Telekom und Call-Centern - Auch Datenleck bei Springer-Konzern" (18.10.2008)
Quelle: http://www.tagesschau.de/datenschutz180.html (http://www.tagesschau.de/datenschutz180.html)

Title: [Patientenakten aus deutschen Krankenhäusern... ]
Post by: Textaris(txt*bot) on Oktober 22, 2008, 09:59:03 vorm.
Quote
[...] Nachdem vertrauliche Patientenakten aus mehreren deutschen Krankenhäusern im Internet aufgetaucht waren, ermittelt die Staatsanwaltschaft. [...] Der Geschäftsführer des Klinikums in Karlsruhe, Dieter Daub, hatte nach Bekanntwerden der Vorfälle am Wochenende von einer "Katastrophe" gesprochen. Bevor der Auftrag zur Digitalisierung der Daten vergeben wurde, sei die Firma mit Sitz in Münster überprüft worden. Es sei aber nichts zu beanstanden gewesen.

...


Aus: "Patientenakten im Internet aufgetaucht" (21.10.2008)
Quelle: http://futurezone.orf.at/it/stories/316412/ (http://futurezone.orf.at/it/stories/316412/)
Title: [Der Verlustes eines USB-Sticks... (Atos Origin)]
Post by: Textaris(txt*bot) on November 03, 2008, 09:56:39 vorm.
Quote
[...] Ein Angestellter der Firma Atos Origin, die die Regierungswebseite Gateway betreibt, hat einen USB-Stick mit Benutzernamen und Passwörtern von Bürgern verloren. Über Gateway können Bürger und Geschäftsleute nach der Registrierung, bei der sie Namen, Adresse, Sozialversicherungsnummer und Bankverbindungen angeben müssen, zahlreiche Dokumente und Anträge online einreichen, beispielsweise die Steuererklärung, aber auch Auskünfte erhalten. Wiedergefunden wurde der Stick auf dem Parkplatz eines Pubs in der Nähe der Firma.

Neben den persönlichen Daten sollen auf dem Stick noch Sicherheitssoftware und Quellcode abgespeichert gewesen sein. Nach Experten könnten Hacker, die in Besitz des USB-Sticks gelangt sind, damit auf Benutzerkonten, Datenbanken und Zahlungssysteme zugreifen. Betroffen könnten möglicherweise bis zu 12 Millionen Bürger sein, so die Times. Sicherheitshalber war die Webseite gestern vom Ministerium vorübergehend gesperrt worden, um Sicherheitslücken zu überprüfen. Eine Sprecherin versicherte, dass man den Vorfall sehr ernst nehme. Da die Sicherheit aber nicht verletzt worden sei, ist die Webseite wieder online zugänglich. Der Angestellte hatte gegen Vorschriften verstoßen, wie Atos Origin mitteilt, weil die Daten nicht aus dem Firmengelände mitgenommen werden dürfen.

...


Aus: "Britische Regierungswebseite wegen des Verlustes eines USB-Sticks geschlossen" (02.11.2008)
Quelle: http://www.heise.de/newsticker/meldung/118290 (http://www.heise.de/newsticker/meldung/118290)

Title: [US-Gesundheitsdienstleister wird nach Datendiebstahl erpresst...]
Post by: Textaris(txt*bot) on November 10, 2008, 10:52:36 vorm.
Quote
[...] Das FBI ermittelt in einem Erpressungsfall in den USA, von dem Millionen Bürger betroffen sein könnten. Wie am gestrigen Donnerstag bekannt wurde, erhielt der in St. Louis ansässige Gesundheitsdienstleister Express Scripts bereits Mitte Oktober ein Schreiben, in dem Unbekannte Geld von dem Unternehmen fordern. Die Erpresser drohen damit, persönliche Daten von Kunden der auf Pharmacy Benefit Management spezialisierten Firma im Internet zu veröffentlichen. Um die Ernsthaftigkeit ihrer Forderungen zu unterstreichen, schickten die Erpresser 75 Datensätze mit, die Namen, Geburtsdaten, Sozialversicherungsnummern und teilweise auch Informationen über verschriebene Medikamente enthielten.

Express Scripts arbeitet im Auftrag von privaten Krankenversicherungen, Unternehmen sowie Gewerkschaften und vermittelt rund 50 Millionen Kunden in den USA und Kanada Medikamente und ärztliche Leistungen. Ein Unternehmenssprecher erklärte, dass inzwischen bekannt sei, wo im System die Daten abgezogen wurden, die Verantwortlichen seien aber noch nicht identifiziert. Unmittelbar nach Erhalt des Erpressungsschreibens habe das Unternehmen das FBI eingeschaltet und arbeite seither eng mit den Behörden zusammen. Das Unternehmen hat eine Website eingerichtet, auf der Kunden über den Verlauf der Ermittlungen und eventuell erforderliche Schutzmaßnahmen informiert werden. (pmz/c't) 

Quote
7. November 2008 14:49
Was solls - die Daten sind sicher
PIC_Frickler (144 Beiträge seit 11.10.05)

Das kann in Deutschland nicht passieren, da sind die Daten der eGK,
bei der Telekom und wo auch immer zu 100% sicher.

Alles nur Panikmache.


Quote
7. November 2008 15:08
Die Kunden werden doch nicht etwa was zu verbergen haben?
FrogmasterL (mehr als 1000 Beiträge seit 02.11.05)

...



Aus: "US-Gesundheitsdienstleister wird nach Datendiebstahl erpresst" (07.11.2008)
Quelle: http://www.heise.de/newsticker/US-Gesundheitsdienstleister-wird-nach-Datendiebstahl-erpresst--/meldung/118553 (http://www.heise.de/newsticker/US-Gesundheitsdienstleister-wird-nach-Datendiebstahl-erpresst--/meldung/118553)

Title: [Mithilfe dieser Daten... (Kontobetrug)]
Post by: Textaris(txt*bot) on November 19, 2008, 11:36:53 vorm.
Quote
[...] In Rahmen einer groß angelegten Aktion von Polizei und Staatsanwaltschaft gegen eine Bande von Kontobetrügern sind unter anderem zwei Polizeibeamte festgenommen worden. Den beiden 44 und 33 Jahre alten Männern, gegen die Haftbefehle erlassen wurden, wird Beihilfe zum Betrug, Bestechlichkeit und Verrat von Dienstgeheimnissen vorgeworfen. Wie Justizsprecher Michael Grunwald sagte, sollen die beiden Polizisten einer seit etwa eineinhalb Jahren in Berlin und Brandenburg agierenden Betrügerbande die für ihre Betrugsmasche notwendigen Personendaten verschafft haben.

Mithilfe dieser Daten wurden nach Angaben Grunwalds ohne Wissen der Betroffenen auf deren Namen Konten eröffnet, über die dann die betrügerischen Geschäfte der Bande abgewickelt wurden. Wie ein Ermittler erklärte, nutzten die Täter vor allem Schwachstellen beim Lastschriftverfahren. Dabei wurden Beträge von fremden Konten abgebucht und anschließend in bar abgehoben, bevor die Beträge von den betroffenen Banken per Rücklastschrift zurückgeholt werden konnten.
Bereits im Dezember 2007 wurden vier Haupttäter zu Freiheitsstrafen zwischen zwei und fünf Jahren verurteilt. Sie hatten rund 50 Konten auf fiktive Namen eröffnet, auf die mehrere hundert Überweisungen mit jeweils 500 bis 3000 Euro eingingen. Bei den weiteren Ermittlungen erhärtete sich der Verdacht, dass zu den noch nicht identifizierten Bandenmitgliedern auch Polizeibeamte gehören. Am Dienstag schlugen die Beamten der eigens gegründeten Ermittlungsgruppe (EG) „Postbank“ der Polizeidirektion 6 dann zu. Insgesamt neun Wohnungen und Geschäftsräume in Berlin und Brandenburg wurden durchsucht, dabei konnte umfangreiches Beweismaterial sichergestellt werden. Neben den beiden Beamten, von denen einer bereits im OKtober 2006 vom Dienst suspendiert wurde, nahmen die Ermittler auch einen 32-jährigen Ex-Kollegen und einen weiteres mutmaßliches Mitglied der Betrügerbande fest.


Aus: "Kontobetrug - Polizei enttarnt Verräter in den eigenen Reihen" (Dienstag, 18. November 2008)
Quelle: http://www.morgenpost.de/berlin/article980987/Polizei_enttarnt_Verraeter_in_den_eigenen_Reihen.html (http://www.morgenpost.de/berlin/article980987/Polizei_enttarnt_Verraeter_in_den_eigenen_Reihen.html)

Title: [Telekom-Kundendaten mit Konto-Informationen im Umlauf...]
Post by: Textaris(txt*bot) on November 27, 2008, 12:06:42 nachm.
Quote
[...] Die Deutsche Telekom hat erneut mit einem Datenskandal in erheblichem Ausmaß zu kämpfen: Dubiose Adresshändler und Callcenter verschaffen sich offensichtlich Zugriff auf Namen, Adressen, Vertragsdaten und Bankverbindungen von mehreren tausend Festnetzkunden. Insider berichten, es würden derzeit viele zehntausend streng vertrauliche Kundenprofile auf dem Schwarzmarkt angeboten. Anders als bei früheren Datenmissbrauchsfällen bei der Telekom beinhalten die Datensätze diesmal alle Bank- und Geburtsdaten. Einige Kunden beschweren sich bereits über illegale Abbuchungen von ihren Konten.

Der "Stern" hat mehrere tausende Datensätze eingesehen, die in der Branche kursieren. Betroffen sind ausschließlich Kunden, die ihren Festnetz- und Internetanschluss bei der Deutschen Telekom haben. Im Zuge der Recherche wurden der Telekom Datensätze übergeben. Der Konzern kann sich die Herkunft nicht erklären und will Anzeige erstatten. Sicherheitschef Volker Wagner meint aber, es handle sich nicht um Original-Listen aus einem Telekom-System: "Zum einen stimmt die Form nicht; zum anderen sind Angaben zu Bankverbindungen und Geburtsdaten teilweise unterschiedlich zu unseren Kundendaten." Die Vermutung ist, dass Adresshändler oder Callcenter Telekom-Listen mit Informationen aus anderen Quellen angereichert haben.

Die Datensätze werden illegal von Vertriebsfirmen genutzt. Dutzende Telekomkunden, deren Namen auf den Listen stehen, berichteten dem "Stern" von unangenehmen Erfahrungen: Sie waren penetranter Werbung ausgesetzt oder erhielten gefälschte Auftragspost von Internet-Firmen, Versicherungen und Glücksspiel-Anbietern. Das geschah gelegentlich auch zu Lasten der Telekom: Vor allem das Internet-Unternehmen Freenet trat zeitweise massiv auf. Betroffene berichteten von unerklärlichen Abbuchungen von ihrem Konto zugunsten von Freenet. Auf Anfrage teilte Freenet mit: "Wir hatten über eine geraume Zeit mit unseriösen Praktiken von Vertriebspartnern zu kämpfen."

Das neue Datendebakel ist ein weiterer Vorfall in einer Kette von Verfehlungen, Pannen und Skandalen bei der Telekom. Sieben Anzeigen erstattete der teilstaatliche Konzern bislang; in 18 Fällen wird wegen Datenmissbrauchs ermittelt.

Im jüngsten Fall muss sich die Konzernspitze eine Mitverantwortung ankreiden lassen. Denn die Datensätze sind wohl zu einer Zeit abhanden gekommen, zu der die Telekom selbst vehement auf Kundenfang ging: zwischen Jahresbeginn und Spätsommer 2007. Damals warb das Unternehmen massiv für seine neuen Internet-Tarife. Allerdings lag der im November 2006 ins Amt gehobene Vorstandschef René Obermann gleichzeitig im Clinch mit der eigenen Belegschaft; es ging um Auslagerungen und Lohnkürzungen. Im Mai 2007 kam es sogar zum Streik.

In dieser Konfliktsituation setzte die Deutsche Telekom verstärkt externe Vertriebsfirmen ein, sie verlor über die Aktion jedoch offenbar die Kontrolle. Nur mit der Spitze der Drücker-Unternehmen unterhielt der Konzern damals direkte Geschäftskontakte: Sie bekamen Kundenlisten - ohne Bankkontakte - zum Abtelefonieren. Diese wurden an ein Heer von tausenden Callcenter-Agenten weitergereicht, die zunächst unkontrolliert im Namen der Telekom auftraten und im Zuge der Auftragswerbung bei den Kunden weitere Angaben wie Bankkontakte abfragten. Ab August 2007 konnten diese Daten von Vertriebsfirmen zudem in einem Telekom-System abgeglichen werden. Erst zu Anfang Oktober 2007 beendete die Telekom die Zusammenarbeit mit vielen kleinen Drückerfirmen, nachdem intern aufgefallen war, dass einige unseriös arbeiteten.




Aus: "Deutsche Telekom: Betrüger missbrauchen brisante Daten" (26.11.2008)
Quelle: http://www.ftd.de/technik/it_telekommunikation/:Deutsche-Telekom-Betr%FCger-missbrauchen-brisante-Daten/443930.html (http://www.ftd.de/technik/it_telekommunikation/:Deutsche-Telekom-Betr%FCger-missbrauchen-brisante-Daten/443930.html)

-.-

Quote
[...] Der Stern berichtet am heutigen Mittwoch von einem neuen Datenskandal, der die Deutsche Telekom betrifft. Danach liegen dem Magazin Listen mit tausenden Datensätzen vor, die nicht nur Namen und Adressen sondern auch Bank- und Geburtsdaten von Telekom-Kunden enthalten. Nach Angaben des Stern werden derzeit "viele zehntausend streng vertrauliche Kundenprofile auf dem Schwarzmarkt angeboten". Es soll bereits zu illegalen Konto-Abbuchungen gekommen sein.

Betroffen seien ausschließlich Kunden, die ihren Festnetz- und Internetanschluss bei der Deutschen Telekom hätten, heißt es beim Stern. Im Zuge der Recherche seien der Telekom bereits Datensätze übergeben worden. Der Konzern könne sich die Herkunft aber nicht erklären und wolle Anzeige erstatten. Sicherheitschef Volker Wagner meinte gegenüber dem Stern, es handle sich "nicht um Original-Listen aus einem Telekom-System". So würde etwa "die Form nicht stimmen", auch seien Angaben zu Bankverbindungen und Geburtsdaten "teilweise unterschiedlich zu unseren Kundendaten". Die Vermutung sei, dass Adresshändler oder Callcenter Telekom-Listen mit Informationen aus anderen Quellen angereichert hätten.

Für die Telekom-Kunden hatte der Datendiebstahl dem Stern zufolge bereits unangenehme Folgen. Einige hätten über illegale Abbuchungen von ihren Konten berichtet, andere erhielten Werbung oder gefälschte Post von verschiedenen Firmen. Dabei sei auch der Internetanbieter Freenet AG unangenehm aufgefallen. So seien unaufgeforderte Abbuchungen von Bankkonten zugunsten von Freenet vorgekommen. Das Unternehmen räumte gegenüber dem Magazin ein, dass es mit unseriösen Praktiken von Vertriebspartnern zu kämpfen gehabt habe. (pmz/c't) 


Quote
26. November 2008 17:03
Trendy outsourcing
zzyrc (179 Beiträge seit 13.06.00)

Unternehmen lagern mehr und mehr Dienstleistungen an den
allerallerbilligsten externen Anbieter aus. Und weil das Callcenter
zur Kundenbelästigung (=Aufdrücken von neuen Verträgen) interne
Informationen braucht, schaltet man eben günstigst dafür
zusammengehäkelte Webseiten.

Und Überraschung, der Subsubsubunternehmer in Elbonien ist nicht
loyal und vertickert die Daten. Wie konnte das nur passieren?


Quote
26. November 2008 22:21
Der Konzern könne sich die Herkunft aber nicht erklären.....
wallman2, (301 Beiträge seit 14.12.05)

Jede andere Aussage hätte mich jetzt aber auch wirklich irritiert.


Quote
27. November 2008 10:43
Es ist nur eine Frage der Zeit
Ilea (mehr als 1000 Beiträge seit 06.12.05)

Es ist nur eine Frage der Zeit, bis auch die ersten Fälle von illegal
gehandelten Vorratsdaten aus der Vorratsdatenspeicherung in Umlauf
sind. Natürlich ist es für geneigte "Kunden" durchaus auch
interessant, wer mit wem telefoniert etc.. Etwas verwunderlich, dass
das Bundesverfassungsgericht trotz der Fülle an bekannten Fällen des
Datenmissbrauch den Wahnsinn noch nicht gestoppt hat.





Aus: "Bericht: Telekom-Kundendaten mit Konto-Informationen im Umlauf" (26.11.2008)
Quelle: http://www.heise.de/newsticker/Bericht-Telekom-Kundendaten-mit-Konto-Informationen-im-Umlauf--/meldung/119487 (http://www.heise.de/newsticker/Bericht-Telekom-Kundendaten-mit-Konto-Informationen-im-Umlauf--/meldung/119487)

Title: [Daten von 21 Millionen Bundesbürgern befinden sich...]
Post by: Textaris(txt*bot) on Dezember 07, 2008, 02:08:00 nachm.
Quote
[...] Daten von 21 Millionen Bundesbürgern befinden sich laut einem Bericht der Wirtschaftswoche auf dem Schwarzmarkt im Umlauf. Die Daten wurden dem Magazin nach eigenen Angaben für knapp 12 Millionen Euro angeboten. Die Wirtschaftswoche habe eine CD mit 1,2 Millionen Kundendaten als Muster erhalten. Neben den Angaben zur Person wie Geburtsdaten sollen die Datensätze die Bankverbindung mit Kontonummer und Bankleitzahl enthalten sowie in einigen Fällen auch detaillierte Angaben zur Vermögenslage.

Die Datensätze wurden demnach am Donnerstag der Düsseldorfer Staatsanwaltschaft übergeben. Diese hat nun zu ermitteln, wie die Daten in Umlauf geraten konnten. Erste Spuren führen laut dem Magazin zu kleinen Callcenter-Betreibern. Vermutlich bessern schlecht bezahlte Mitarbeiter ihr Gehalt auf, indem sie Adressdaten kopieren und an Hintermänner weiterverkaufen. Diese führen die Bank- und Adressdaten aus verschiedenen Quellen zusammen, bereinigen sie um Doppelungen und bieten sie im großen Stil zum Kauf an, erläutert der Bericht. Im Extremfall müssen die betroffenen Bürger damit rechnen, dass Geld unaufgefordert von ihrem Girokonto abgebucht wird.

Quote
7. Dezember 2008 11:02
Es besteht kein Handlungsbedarf
Der Inquisitor (518 Beiträge seit 03.06.08)

Schließlich sind keine Nummernkonten führender Persönlichkeiten
dabei. Es ist nur der allgemeine Pöbel betroffen. Und die haben
genügend Zeit sich im Schadensfalle individuell mit Ihrer Bank zu
streiten. </Ironie>


Quote
7. Dezember 2008 11:12
Na, wo bleibt jetzt die "wer nichts zu verbergen hat"-Fraktion?
Nordstern67 (mehr als 1000 Beiträge seit 07.04.06)

Wenn der Staat immer mehr Daten ausspitzelt, dann habt ihr kein
Problem damit, denn ihr vertraut ihm ja so sehr.

Dumm nur, wenn auch noch andere immer mehr eurer Daten ausspitzeln
und missbrauchen, weil ihnen der Staat mit seiner illegalen Haltung
ganz offensichtlich Tür und Tor dazu geöffnet hat.

Der Nordstern.


Quote
Leser-Feedback zum Beitrag
7. Dezember 2008 12:08
Im Westen nichts Neues k.T.
Beschützer der Demokratie (53 Beiträge seit 02.04.07)




Aus: "Kontonummern von 21 Millionen Bürgern auf dem Schwarzmarkt" (07.12.2008)
Quelle: http://www.heise.de/newsticker/Kontonummern-von-21-Millionen-Buergern-auf-dem-Schwarzmarkt--/meldung/120042 (http://www.heise.de/newsticker/Kontonummern-von-21-Millionen-Buergern-auf-dem-Schwarzmarkt--/meldung/120042)


http://www.wiwo.de/unternehmer-maerkte/kontonummern-von-21-millionen-buergern-illegal-im-umlauf-380382/ (http://www.wiwo.de/unternehmer-maerkte/kontonummern-von-21-millionen-buergern-illegal-im-umlauf-380382/)

Title: [Das überrascht mich, wir prüfen, was passiert ist....]
Post by: Textaris(txt*bot) on Dezember 13, 2008, 12:02:27 nachm.
Quote
[...] Es war ein brisantes Paket: Am Freitag erreichte ein brauner schwerer Karton die Poststelle der Frankfurter Rundschau. Absender unbekannt. Inhalt: Stapelweise Mikrofiches mit hoch sensiblen Daten von Tausenden Kreditkartenkunden in ganz Deutschland. Dazu Geheimnummern, Listen von Zahlungsströmen, Auslandsabbuchungen und Rücküberweisungen.

Beiliegend fand sich eine Rechnung über 71 400 Euro. Den Betrag wollte offenbar die Finanzdienstleistungsfirma Atos Worldline ihrer Auftraggeberin in Rechnung stellen: der Berliner Landesbank LBB. Für die Landesbank wickelt Atos die technische Seite des Zahlungsverkehrdes ab. Atos ist einer der ganz großen Anbieter von Bank- und Finanzdienstleistungen. Das Unternehmen hat einen Jahresumsatz von 654 Millionen Euro und beschäftigt mehr als 4 000 Mitarbeiter. Als europaweit agierender Dienstleister im Bereich großvolumiger Datenmengen ist das Unternehmen auf elektronische Zahlungsdienstleistungen spezialisiert.

Besonders im Fall der Berliner Landesbank ist das eine hoch verantwortungsvolle Aufgabe, denn die Landesbank ist der größte Vergeber von Kreditkarten in Deutschland. Hunderttausende Kreditkartenrechnungen von Banken in der ganzen Republik laufen über die LBB zu Atos - und wieder zurück. Doch diesmal ging etwas gewaltig schief. Der gigantischer Dateverlust traf das Unternehmen völlig unvorbereitet. Komplett überrascht zeigte sich Atos-Prokuristin Ulrike Rahnama am Freitagabend über das riesige Datenleck. "Der Geschäftsführer sitzt im Flieger", sagte Rahnama. "Wir prüfen mit Hochdruck, was passiert ist".


Auch bei der Berliner Landesbank schrillten am Freitagabend die Alarmglocken. "Wir nehmen das sehr ernst", sagte LBB-Sprecher Marcus Recher und bestätigte, dass die Landesbank mit Atos zusammen arbeite. "Die Firma arbeitet für uns die Zahlungsverkehrsströme auf", so der Sprecher. Dabei sei es "nicht unüblich, mit Mikrofiches zu arbeiten", so der Sprecher. Doch genau dies können Datenschützer am wenigsten verstehen. In ersten Reaktionen auf den Super-Gau im Datentransfer äußerten der Berliner- und auch der Bundesdatenschutzbeauftragte ihr völliges Unverständnis über die Nutzung einer solch unsicheren Speichertechnologie.

Bei der Landesbank und dem Unternehmen Atos brach am späten Freitagabend Hektik aus. LBB-Sprecher Recher kündigte an, die Bank wolle Strafanzeige erstatten "sofern es sich um eine Sendung handelt, die an uns gerichtet war". Das klärt nun die Polizei. Ermittler holten die brisante Kiste am Abend ab, nachdem die FR die Beamten informiert hatte.


Aus: "Brisantes Paket - Mikrofiches im Pappkarton" VON MATTHIAS THIEME (12.12.2008)
Quelle: http://www.fr-online.de/in_und_ausland/politik/aktuell/1645173_Mikrofiches-im-Pappkarton.html (http://www.fr-online.de/in_und_ausland/politik/aktuell/1645173_Mikrofiches-im-Pappkarton.html)

-.-

Quote
[...] Nach Informationen der Frankfurter Rundschau ist die Landesbank Berlin (LBB) von einem gigantischen Datenverlust betroffen. Weil es sich bei der LBB um den größten Kreditkarten-Vergeber Deutschlands handelt, sind auch viele Kunden anderer Banken in Mitleidenschaft gezogen. So liegen der FR detaillierte Kreditkartenabrechnungen Zehntausender Kunden verschiedener Geldinstitute quer durch die Republik vor. Lesbar sind Vor- und Nachname der Kunden, Adresse, Kreditkartennummer, Kontonummer und jede einzelne Bezahl-Aktion mit dazugehörigem Betrag. Auch Auslandsbuchungen, Rücküberweisungen und die kompletten Zahlungsabwicklungen zwischen Firmen und Banken sind nachvollziehbar. Die Daten stammen aus diesem Jahr, viele Auflistungen bilden die Einkäufe der Kunden im August 2008 ab. Die LBB gibt auch Kreditkarten für andere Banken aus. Die Bankleitzahlen der Institute liegen der FR ebenfalls vor. Da es sich um eine Art Hyper-Datensatz der Landesbank handelt, sind verschiedenste Kreditkartentypen betroffen.

Unter anderem die Karten ADAC Gold-Mobil-Doppel, Amazon Visa, White Lable Premium, ADAC Classic Mobile Master, ADAC Classic mobile Visa, Schmetterling Premium, Visa Geschenkkarte, ADAC Gold Mobile Master ADAC Gold Doppel, LBB Classic Eurocard, LBB WBI Classic Card, Xbox Classic Card, ADAC Einstieg Visa.

Aufgezeichnet sind die Daten, die der FR anonym per Post zugespielt wurden, auf Mikrofiches - durchsichtigen Folien, die je Tausende Daten speichern können. Hunderte dieser Mikrofilme liegen der FR vor, ebenso Geheimnummern (Pin) für Kreditkarten von Kunden. "Das ist ein Skandal erheblichen Ausmaßes", sagte der Berliner Datenschutzbeauftragte Alexander Dix der FR. "Die Ermittlungsbehörden müssen tätig werden." Dass Mikrofiches durch die Gegend geschickt würden, halte er für "äußerst ungewöhnlich", sagte Dix. "Das ist eine Speichertechnologie des vergangenen Jahrhunderts." Ob Sicherheitsvorschriften verletzt wurden, müsse jetzt geklärt werden. "Sollte sich hier strafbares Verhalten herausstellen, werden wir die Landesbank einer Prüfung unterziehen", so Dix. "Wir werden alles in unserer Macht Stehende tun, um das aufzuklären."

Auch der Bundesbeauftragte für Datenschutz, Peter Schaar, ist alarmiert. "Die Vielfältigkeit und Aktualität der Datensätze ist unvorstellbar", sagte sein Sprecher am Freitag. "So etwas hätte ich nicht für möglich gehalten." Jetzt stelle sich die Frage, wo die Daten noch gelandet sein könnten. "Denkbar ist, dass das gleiche Paket jemandem zum Verkauf angeboten wurde", so der Sprecher. Schaar sei überrascht, dass die Landesbank solche Datenmengen auf Mikrofiches speichere. "Das ist ein starkes Stück", so der Sprecher. "Das entspricht nicht den aktuellen Sicherheitsvorschriften."

Nach FR-Informationen stammen die Mikrofiches von der Firma AtosWorldline, die für die Landesbank die Abrechnungen erstellt und eine Filiale in Frankfurt hat. "Wir arbeiten mit diesem Unternehmen zusammen", bestätigte ein LBB-Sprecher. "Von dem Datenverlust ist bislang nichts bekannt. Wir nehmen das aber sehr ernst." Eine Atos-Sprecherin sagte: "Das überrascht mich, wir prüfen, was passiert ist."


Aus: "Skandal bei der LBB - Gigantisches Datenleck" VON MATTHIAS THIEME (12.12.2008)
Quelle: http://www.fr-online.de/top_news/1645133_Gigantisches-Datenleck.html (http://www.fr-online.de/top_news/1645133_Gigantisches-Datenleck.html)

Title: [Kundendaten... (WestLB)]
Post by: Textaris(txt*bot) on Dezember 20, 2008, 08:39:16 nachm.
Quote
[...] Datenpanne bei der WestLB: Eine Mitarbeiterin der drittgrößten deutschen Landesbank hat versehentlich eine Datei mit Daten von mehr als 800 Geschäftskunden per E-Mail an einen völlig unbeteiligten Privatmann verschickt. Ein WestLB-Sprecher bestätigte heute einen Bericht des WDR.

Die Mitarbeiterin wollte demnach das Datenmaterial über das Internet an sich selbst schicken, um zu Hause daran zu arbeiten. "Aufgrund eines Buchstabendrehers in der Adresse" landete die Datei dann in den falschen Händen, hieß es. Laut WDR fand ein Privatmann aus dem Kölner Umland die Daten in seiner elektronischen Post.

Update: Der WestLB-Sprecher betonte, dass die Panne ein klarer Verstoß gegen interne Vorschriften sei. "Die Datensicherheit in der Bank ist durch klare Vorgaben geregelt." Kein noch so gutes Sicherheitssystem könne einen Verstoß ausschließen. Zudem gehe es nicht um brisante Daten wie etwa Kontonummern, sondern um Firmenadressen und Ansprechpartner. Personenbezogene Daten seien nicht dabei. "Für Dritte ist diese Datei nicht zu verwerten", sagte der Banksprecher.

In Gegenwart eines Datenschützers wurde die Datei bei dem versehentlich angeschriebenen Empfänger inzwischen gelöscht. Die Bank prüfe rechtliche Schritte gegen die Mitarbeiterin, hieß es. (dpa) / (anw/c't)

Quote
18. Dezember 2008 13:24
Im Grunde zeigt das doch zumindest eines mal wieder:
Das vorletzte Einhorn (396 Beiträge seit 26.11.03)

Die meisten "normalen Menschen" sind inzwischen mit den Anforderungen
der aktuellen IT-Technologie und insbesondere den möglichen Problemen
und Gefahren dezent überfordert. Wir haben im EDV-Bereich eine
technologische Entwicklung, der nur die allerwenigsten, meistens
Spezialisten auf ihrem Gebiet, überhaupt noch wirklich auf Augenhöhe
folgen können. Viele andere kapitulieren früher oder später ganz
einfach. Ich habe die letzten 2 Jahre 2nd Level in einer großen
Versicherung gemacht, da erlebe ich täglich aufs Neue genau diese
Kapitulation der Anwender vor der Rasanz und Unüberschaubarkeit der
Technik. In meinem sonstigen  Kunden- oder Bekanntenkreis ist es im
Grunde genauso - kaum einer traut sich zu, auch nur den groben
Überblick zu behalten, solange er nicht explizit selber als IT-ler in
die Materie eingebunden ist, und selbst dort...

Natürlich gab es 1 Mio. Dinge, die die Frau hätte tun können (oder
besser bleiben gelassen hätte). Hat sie aber nicht. Weil sie entweder
nicht wusste, warum sie es tun sollte, dass die es tun sollte oder
wie sie es tun sollte. Sie war wahrscheinlich wie die meisten
Nicht-EDVler schlecht bis mittelmäßig ausgebildet in IT-Thematiken,
wenig sensibilisiert für Sicherheitsproblematiken und zudem
wahrscheinlich mit der leider immer noch üblichen grottenschlechten,
benutzerunfreundlichen und fehleranfälligen Software konfrontiert,
mit der wir uns alle auf 99% aller Systeme in 99% aller Use-Cases
rumschlagen müssen.

Soll heißen: Die Technik ist uns mittlerweile im Durchschnitt
meilenweit über, die meisten kommen einfach nicht mehr hinterher, wir
ersticken in einem Wust von Daten und Möglichkeiten - dann passieren
eben solche Fehler. Wir sind nicht nur Affen mit Atombomben sondern
eben auch Affen mit Emailservern - wir sind gezwungen, täglich
Technik bzw. eine generelle zivilisatorische Infrastruktur zu
benutzen, die wir zunehmend weniger auch nur in Ansätzen verstehen.
Das macht uns bzw. das gesamte System natürlich umso
fehleranfälliger. q.e.d.



Aus: "WestLB-Mitarbeiterin schickt Kundendaten versehentlich an Privatmann [Update]" (18.12.2008)
Quelle: http://www.heise.de/newsticker/WestLB-Mitarbeiterin-schickt-Kundendaten-versehentlich-an-Privatmann-Update--/meldung/120651 (http://www.heise.de/newsticker/WestLB-Mitarbeiterin-schickt-Kundendaten-versehentlich-an-Privatmann-Update--/meldung/120651)

Title: [Spionagesoftware im Netzwerk von Heartland...]
Post by: Textaris(txt*bot) on Januar 22, 2009, 01:13:20 nachm.
Quote
[...] Bereits 2008 sollen Hacker eine Spionagesoftware ins Netzwerk von Heartland installiert haben, einem der grössten Dienstleister für Kreditkartenabrechnungen in den USA. Bei Cornèrcard, Anbieter von Mastercard und Visa, hat man Kenntnis vom Fall. Schweizer Besitzer dieser Kreditkarten seien nicht betroffen, sagt Mediensprecherin Daniela Gampp.

Heartland wurde erst vergangene Woche auf den Diebstahl aufmerksam, als Mastercard und Visa Unstimmigkeiten beim Datenverkehr meldeten, berichtet «Computerworld». Durch die eingeleitete Untersuchung sei man dem Diebstahl schliesslich auf die Spur gekommen, sagt Heartland-Präsident Robert Baldwin Jr. Das Unternehmen bestreitet aber, dass die Kriminellen verwertbare Informationen erbeutet hätten. Es seien weder PIN-Codes noch andere persönliche Daten gestohlen worden. Weitere Details zum Einbruch wollte Heartland aber nicht nennen. Damit bleibt unklar, wie viele Kreditkartendaten die Kriminellen tatsächlich einsehen konnten.

Heartland wickelt Kartenzahlungen für 250'000 Dienstleister ab und ist deshalb für Angreifer attraktiv. «Einen solchen Dienstleister anzugreifen ist deutlich ernster als ein Angriff auf den Aussteller der Kreditkarten», sagt Avivah Litan, Chef-Analystin beim Beratungsunternehmen Gartner gegenüber «Computerworld». Die Abrechner sässen im «Nervenzentrum des Bezahlprozesses», sie verfügten über mehr Kreditkartendaten als jedes andere Unternehmen. Der Datenklau sehe aus «wie der grösste Diebstahl aller Zeiten».

Angesichts des riesigen Datenvolumens sei es sehr wahrscheinlich, dass mindestens 100 Millionen Kreditkartendaten gestohlen wurden, sagt Avivah Litan. Die Aktion mache den Eindruck, dass die Cyber-Kriminellen auch so genannte Track-2-Daten stehlen konnten: Informationen in den Magnetstreifen der Karten. Damit lassen sich Kopien einer Kreditkarte anfertigen.

Die Angreifer haben offenbar einen grossen Coup gelandet, sagt Dan Clements, Präsident des Sicherheitsdienstleisters Cardops. In Untergrundforen, wo Daten gehandelt werden, deute alles darauf hin. (ah)




Aus: "100 Millionen Kreditkartendaten gestohlen" (21.01.2009)
Quelle: http://bazonline.ch/digital/computer/100-Millionen-Kreditkartendaten-gestohlen/story/27662320 (http://bazonline.ch/digital/computer/100-Millionen-Kreditkartendaten-gestohlen/story/27662320)

Title: [Egon H. aus dem brandenburgischen Seelow... (Telekom)]
Post by: Textaris(txt*bot) on Januar 28, 2009, 10:42:44 vorm.
Quote
[...] Wer sich nicht telefonisch, sondern auf der Homepage der Telekom als neuer Kunde anmelden wollte, musste die Angaben zur Person in eine Maske eingeben. Unter anderem Name, Anschrift, bisheriger Anbieter, dazu öffentliche Telefonnummern und solche, die nicht im Telefonbuch stehen. Diese Daten wurden, war der Anmeldeprozess abgeschlossen, als PDF-Datei angezeigt. Im Internetbrowser war dabei eine Adresszeile sichtbar. Sie enthielt die Auftragsnummer. Der Kunde kennt sie, denn sie steht auch im Anmeldebogen deutlich sichtbar in der oberen rechten Ecke.

Wer nun in der Adresszeile eine höhere oder niedrigere Auftragsnummer eintippte, kam wieder auf einen Anmeldebogen - nur mit den Daten anderer Kunden. Mit einem einfachen Programm konnten innerhalb weniger Sekunden hunderte Datensätze ohne mühsames Eintippen heruntergeladen werden. stern.de liegen knapp 500 Datensätze vor, der älteste vom 8. Dezember 2008. Sie stammen von Kunden aus ganz Deutschland. Wie viele Datensätze insgesamt online waren, lässt sich schwer abschätzen, weil alte Dateien abgearbeitet und dann gelöscht wurden.

[...] stern.de meldete sich unter dem Pseudonym Mandy Muster selber auf der Telekomhomepage an. Die zugeteilte Auftragsnummer endete auf 181. Ein paar Minuten später, so lässt es sich anhand dieser Nummer verfolgen, meldet sich auch Egon H. aus dem brandenburgischen Seelow an. Er ist überrascht, hatte er die Telekom doch "in Bezug auf Datensicherheit als das sicherste Unternehmen" eingeschätzt. Kurz danach ist auch der Anmeldebogen von Stefan M. aus dem Kreis Segeberg in Schleswig-Holstein zu sehen.


Aus: "Kundendaten: Neues Datenleck bei der Telekom" Von Axel Hildebrand (27. Januar 2009)
Quelle: http://www.stern.de/wirtschaft/unternehmen/unternehmen/:Kundendaten-Neues-Datenleck-Telekom/652786.html (http://www.stern.de/wirtschaft/unternehmen/unternehmen/:Kundendaten-Neues-Datenleck-Telekom/652786.html)


-.-

Quote
[...] Bei der Telekom sind erneut Kundendaten offengelegt worden, berichtet das Magazin Stern. Schuld sei ein "Arbeitsfehler", zitiert das Magazin einen Unternehmenssprecher, der den Bericht bestätigt haben soll.

Nachdem sie auf das Datenleck hingewiesen wurde, habe die Telekom die Lücke am vergangenen Freitag (23. Januar 2009) geschlossen. Das Unternehmen kündigte eine Entschuldigung bei allen Betroffenen an. Diesmal waren Neukunden, die sich auf der Homepage der Telekom registriert hatten, die Opfer. Sichtbar seien Name, Anschrift, bisheriger Telekom-Anbieter sowie öffentliche und nichtöffentliche Telefonnummern. Neuanmeldungen ließen sich im Minutentakt verfolgen.

[...] Das neue Datenleck ist ein weiterer Vorfall in einer Kette von Pannen und Bespitzelungsskandalen bei der Telekom. Der teilstaatliche Konzern hatte in der ersten Jahreshälfte 2007 mit Widerstand der Konzernbelegschaft in den Callcentern gegen Auslagerungen und Lohnkürzungen zu kämpfen. Um dies zu unterlaufen, setze die Telekom verstärkt externe Vertriebsfirmen ein, von denen einige offenbar unseriös arbeiteten und Daten missbrauchten.

Im November 2008 wurde bereits berichtet, dass sich zwielichtige Adresshändler und Callcenter-Betreiber Zugriff auf Namen, Adressen, Geburtsdaten, Vertragsdaten und Bankverbindungen von mehreren tausend Menschen verschafften, die zugleich Festnetz- und Internetkunden der Telekom waren. Die Kundenprofile wurden auf dem Schwarzmarkt angeboten. Einige Opfer beschwerten sich bereits über illegale Abbuchungen von ihrem Bankkonto. (asa)




Aus: "Und wieder ein Datenleck bei der Deutschen Telekom - Diesmal Gefahr für online registrierte Neukunden" (golem.de / Networld / 27.01.2009)
Quelle: http://www.golem.de/0901/64862.html (http://www.golem.de/0901/64862.html)

Title: [Bei der Kolping Berufshilfe GmbH im oberpfälzischen Tirschenreuth...]
Post by: Textaris(txt*bot) on Februar 08, 2009, 12:45:08 nachm.
Quote
[...] Claudia M. lebt von Hartz IV, und sie hat eine kleine Tochter, die morgens ab neun Uhr in den Kindergarten kommt. Anfang September vergangenen Jahres meldet sie diese krank - das Mädchen hat Zahnschmerzen. Claudia M. kann an dem Tag nicht zu ihrer Fortbildung bei der Kolping Berufshilfe GmbH im oberpfälzischen Tirschenreuth kommen. Sie ist sehr schüchtern, oft auch nervös.

Zumindest sieht das eine Fachkraft bei dem Bildungsträger so. Sie hat diese Notizen über Claudia M. in eine Tabelle eingetragen. Üblicherweise bekommt die örtliche Arbeitsagentur die Angaben, sobald die Fortbildung abgeschlossen ist. Doch diese Daten waren nach stern.de-Informationen tagelang im Internet frei verfügbar. Jeder, der auf der Homepage der Bundesagentur für Arbeit surfte, konnte über die Informationen zu über 1700 Empfängern von ALG I und ALG II stolpern. Ohne Passwort oder IT-Kenntnisse. Unbefugte konnten die Daten sogar verändern und neue Profile erstellen und alte löschen. Es war ganz einfach.

Ordentlich notiert stand dort beispielsweise, dass Ursula R. keine feste Stelle suche, denn sie sei "psychisch nur mäßig belastbar". Martina A. könne freitags immer schlecht - da müsse sie zur Lymphdrainage. Auch Bettina T. könne nicht immer arbeiten. Wegen einer "psychischen Erkrankung" sei nur Teilzeit möglich, am besten am Nachmittag. Und bei Joachim S. sei die "Bewerbung von Rechtsschreibfehlern überhäuft". Bei Vorstellungsgesprächen mache er außerdem "einen sehr ungepflegten Eindruck", notierte der Bildungsträger.

stern.de hat diese Namen für die Berichterstattung verändert. In der frei zugänglichen Datenbank im Internet waren sie jedoch vollständig ausgeschrieben. Der Status (Bezieher von Arbeitslosengeld I oder II) und der Zielberuf (zum Beispiel: "alle frauenüblichen Helfertätigkeiten - keine Tätigkeiten mit Belastung für die Haut") waren ebenfalls zu lesen. Dazu war die Kundennummer notiert, die von den Jobcentern oder Arbeitsagenturen vergeben wird und deutschlandweit gilt.

Von stern.de konfrontiert, reagierte die Bundesagentur für Arbeit schnell und nahm den Link von ihrer Homepage. "Es kann nicht sein, dass diese sensiblen Personendaten zugänglich sind", sagte die Agentur-Sprecherin Anja Huth. Das sei ein "unglücklicher Umstand".

Die persönlichen Daten waren einfach zu bekommen. Wer in der Jobbörse auf der Homepage der Bundesbehörde nach einer Stelle für Handelsfachwirte suchte, stieß bis Donnerstagabend auf eine Stellenausschreibung der Kolping Berufshilfe. Dort war die Homepage des Bildungsträgers verlinkt. Wer klickte, gelangte direkt auf die Datenbank. Nachdem Kolping mit den Recherchen konfrontiert wurde, wurden die Daten aus dem Netz genommen. Grund für das Leck sei ein "hausinterner Programmierfehler" gewesen, sagt Geschäftsführer Johannes Saalfrank. "Die Daten sollten keineswegs öffentlich dargestellt werden."

Sie stammen von Empfängern von Sozialleistungen aus der Oberpfalz, die von der Arbeitsagentur der Kreisstadt Tirschenreuth und dem örtlichen Jobcenter zu Fortbildungen geschickt wurden. Die staatlichen Vermittler erwarten von dem Bildungsträger - in diesem Fall der Kolping Berufshilfe - eine Dokumentation über die Fähigkeiten und Probleme des "Kunden". Dass die Datenbank jedoch derart detailliert geführt wurde ("nur Teilzeit, da Frau in ärztlicher Behandlung"), verwundert auch Sprecherin Huth. "Solche Daten verlangen unsere Vermittler nicht." Die Arbeitsagenturen würden nur eine "Erfolgsbeobachtung über die Teilnehmer" haben wollen.

Die veröffentlichten Daten haben intime Informationen an die Oberfläche gespült, die keinen Unbeteiligten etwas angehen. Es trifft Menschen, deren Lebenslauf "wegen Haftzeiten" neu geschrieben werden muss oder die mit "mit eigenartigen Verhaltensweisen" auffallen. Peter B. sucht eine Stelle in der Nähe, denn die Mutter sei demenzkrank. Pavel N. leide unter einer chronischen Entzündung der Bauchspeicheldrüse. Martina F. habe ein "Herzproblem". Und bei Johannes T. gibt es eine "Familienproblematik".

Paulina D. hatte ihrem Betreuer bei Kolping anscheinend eine Bitte mit auf den Weg gegeben. Als "Bemerkung" ist notiert: "Bitte Datenschutz beachten".


Quote
acitapple (6.2.2009, 14:51 Uhr)
ach...
wer nichts zu befürchten hat, kann ja nichts gegend sammlung persönlicher daten haben, gell ? ok, ab und zu wird mal was veröffentlich, aber dafür gibts keine terroranschläge... und man erwischt steuersünder, die man dann schön laufen lassen kann. ist doch super !!!



Quote
norberto (6.2.2009, 15:13 Uhr)
Stasi Schweine am Werk
Das Verhalten des Bildungsträgers erinnert fatal an die IM-Berichte der Stasi. ...


Quote
Daneel (6.2.2009, 15:43 Uhr)
übertrieben Angst in Deutschland
Was in Deutschland unter Datenschutz
fallen sollte, ist in anderen
Ländern offiziell verfügber, und
die Leute dort haben kein Problem
damit. Die Transparenz fördert
eine gerechtere Gesellschaft. Wer
Angst hat, hat etwas zu verbergen.

Beispiel:
http://skatt.na24.no/Search.asp
http://skatt.na24.no/Search.asp
Namen eingeben und sehen, wieviel
a) Einkommen b) Vermögen und c)
Steuern. Ist auch in Schweden und
Dänemark möglich. Eben diese
Länder schneiden immer gut ab
bei Pisa, bei UN-Untersuchungen
über Lebensqualität oder
Lebensstandard, bei Transparency
International usw.


Quote
Lou123 (6.2.2009, 17:04 Uhr)
@Daneel
Mich würde mal interessieren, wie du den Bogen von der Veröffentlichung von, zum Teil auch psychichen Erkrankungen, zu einer gerechteren Gesellschaft für alle schlägst. Ich bin mir sicher, das es in Schweden, oder sonst wo, auch eine ärztliche Schweigepflicht gibt. Solche Daten haben in der Öffentlichkeit nichts zu suchen. Arbeitgeber hätten bestimmt ein brennendes Interesse herauszufinden, ob z.B. ein chronisches Krankheitsrisiko besteht. Da schmeisst du schön mehrere Sachen in einen Topf.


Quote
Lou123 (6.2.2009, 17:09 Uhr)
Liebe
ich-hab-doch-nix-zu-verbergen-Leute:
Könnt Ihr mich mal kurz an euren PC lassen? Ich wollte mir nur mal eure Urlaubsfotos ansehen. Ich habe da mal ein paar Fahndungsfotos gesehen; möglicherweise findet sich auf diesen Fotos ja ein Terrorist. Das wäre toll. Eure Handyrechnungen interessiert mich auch. Vielleicht kennst Ihr ja jemanden den ich auch kenne. Eventuell telefoniert Ihr ja sogar mit meiner Frau. Das will ich nur mal kurz kontrollieren, dann gehe ich wieder. Ihr hast ja schliesslich nichts zu verbergen, also kann ich mir das ja auch mal ansehen. Euren Vorgesetzten habe ich den Vorschlag unterbreitet, das komplette Untenehmen zu durchleuchten. Falls kein Korruptionsfall dabei rumkommt finden wir bestimmt noch was anderes. Möglicherweise einen kleinen Diebstahl bei dem einen oder anderen? Privatgespräche auf Firmenkosten? Nee, besser wir installieren in jedem Büro eine Kamera, damit auch garantiert keiner auf dumme Gedanken kommt. Die Bänder werden dann ein halbes Jahr zwischengelagert, damit wir auch im nachhinein festellen können, ob nicht ein Mitarbeiter zuviele Raucherpausen gemacht hat oder mehr als ein paar Minuten sich mit den Kollegen unterhalten hat.


...


Aus: "Arbeitsagentur: Sensible Daten im Internet verfügbar" Von Axel Hildebrand (06.02.2009)
Quelle: http://www.stern.de/wirtschaft/arbeit-karriere/:Arbeitsagentur-Sensible-Daten-Internet/654023.html (http://www.stern.de/wirtschaft/arbeit-karriere/:Arbeitsagentur-Sensible-Daten-Internet/654023.html)

Title: [Fortgeschrittene Kategorie von "Cyber-Crime"... ]
Post by: Textaris(txt*bot) on Februar 10, 2009, 11:12:28 vorm.
Quote
[...] Meldungen, wie sie routinemäßig seit Jahren direkt nach jedem bekanntgewordenen Datenleck von den betroffenen Firmen verbreitet werden - "Bisher keine Geschädigten im Datenskandal" -, dürften bald nicht mehr so vollmundig vorab verbreitet werden.

Wie der Fall der RBS WorldPay exemplarisch zeigt, kann es Monate dauern, bis zwischen dem Verlust eines Laptops oder einem Angriff auf eine Online-Applikation Verbindungen zu einem aktuellen Betrugsfall hergestellt werden. Besonders gilt das dann, wenn das betroffene Unternehmen eine eigenwillige Informationspolitik zutage legt.

Im Laufe der vergangenen Woche wurden Zug um Zug die Einzelheiten eines Falls bekannt, der als bisher bestorganisierter bekanntgewordener Angriff auf ein Online-Datenbanksystem einer Bank samt erfolgreicher analoger Verwertung der erbeuteten Informationen in die Geschichte der "Cyber-Crimes" eingehen wird.

Die US-Tochterfirma der Royal Bank of Scotland, RBS WorldPay, die Bankomatkarten ausgibt und andere Zahlungsservices anbietet, hatte Mitte Dezember bekanntmachen müssen, dass 1,5 Millionen Datensätze ihrer Kunden möglicherweise in falsche Hände geraten seien.

Sodann wurde seitens der Bank gewarnt, die Kunden wurden aufgefordert, die PIN-Codes ihrer Karten ändern zu lassen, und die Verantwortung für Schäden wurde übernommen.

Auffälligerweise hatte diesmal der Verweis darauf gefehlt, dass ohnehin noch keine Geschädigten bekanntgeworden seien, denn seitens der Bank wusste man da bereits genau, dass es sehr wohl finanziellen Schaden geben würde.

Der war bereits am 8. November 2008 passiert, als Unbekannte binnen einer Stunde in insgesamt 49 Städten weltweit neun Millionen Dollar von Bankomaten behoben hatten. Erstaunlicherweise verfügten sie neben geklonten Karten auch über die passenden PIN-Codes, das übliche Abhebelimit griff nicht.

Die Gang brauchte gerade einmal 100 Karten, um diese gewaltige Summe in bar zu kassieren, insgesamt waren nach Angaben der Bank aber 1,5 Millionen Karten kompromittiert gewesen.

Wenn man nun rechnet, dass es erstens eine gewisse Zeit dauert, 100 Karten zu klonen und sie dann quer durch die USA, aber auch bis nach Moskau an die Abheber zu verteilen, dann muss der Einbruch ins System von RBS WorldPay bereits Tage vor dem 8. November vonstatten gegangen sein.

Dass es ein schweres Sicherheitsproblem gibt, war der Bank aber erst am 10. November erstmals aufgefallen.

Das war ein Montag. Zu diesem Zeitpunkt dürfte der erste Kunde bemerkt haben, dass der Kreditrahmen seines Kontos x-fach überzogen war, der Coup selbst hatte in der Nacht auf Samstag stattgefunden, kurz nach Mitternacht, Ortszeit Ostküste USA.

Damit war man sowohl in Moskau wie an der US-Westküste beim Abheben auf der sicheren Seite, denn in beiden Fällen hatte bereits das Wochende eingesetzt.

2007 hatten bereits zwei strukturell sehr ähnliche Coups CitiBank-Konten betreffend stattgefunden, die erbeuteten Summen waren jedoch wesentlich geringer gewesen.

Die Vorgehensweise aber war ähnlich: Jemand dringt in das System der betreffenden Bank oder eines Dienstleisters derselben ein, erbeutet nicht nur Kontodaten bis hin zu Sozialversicherungsnummern der Inhaber, sondern auch die zugehörigen PIN-Codes.

Dann wird ein Bruchteil dieser Daten verwendet, um "Debit Cards" (in der Funktion etwa vergleichbar mit den Bankomatkarten) zu klonen und diese samt PINs an die Abhebertruppe zu verteilen.

Das setzt schon einmal professionelle Datendiebe voraus, die in Systeme von Zahlungsdienstleistern eindringen können, dazu kommt etwas Know-how über das Klonen von Karten.

Das ist allerdings gegenüber der Organisation einer so großen Truppe von Strohmännern, die das Geld einsammeln, nachgerade trivial.

Hier liegt eine der Schwachstellen dieses Betrugssystems, die einerseits die "Rendite" vermindert. Der Schwachpunkt sind logischerweise die "Kassiere", die entweder selbst mit der Beute durchgehen oder gefasst werden können.

Das Geldautomatensystem der RBS WorldPay war zum Zeitpunkt des Abhebens nicht gegen eine derartige Aktion gesichert, entweder weil die Maschinen in 49 Städten unzureichend vernetzt waren oder kein zentraler Mechanismus überprüfte, wie viel Geld da pro Konto in einer Stunde abgehoben wurde.

Angesichts der seit Jahren gewohnten und in Kontinentaleuropa wenig erfolgreichen, primitiven Phishing-Angriffe, die auf "Recruiting" mittels Spam setzen, repräsentiert die vorliegende Kombination eine absolut fortgeschrittene Kategorie von "Cyber-Crime".

"Normalerweise" wären die Daten nämlich sauber nach Beruf der Inhaber und/oder regional sortiert von Spammern angeboten worden.

Was die Kosten angeht, so musste das betroffene Unternehmen die PIN-Codes von 1,5 Millionen Karten deaktivieren bzw. neue Karten ausgeben.

Das wird den Schaden in Cash von neun Millionen Dollar weit übersteigen. Dazu läuft eine Sammelklage gegen RBS WorldPay.




Aus: "Bankomatcoup in Rififi-Manier" (futurezone/Erich Moechel, 09.02.2009)
Quelle: http://futurezone.orf.at/stories/1502405/ (http://futurezone.orf.at/stories/1502405/)

Title: [In Großbritannien häufen sich Datenverluste...]
Post by: Textaris(txt*bot) on Februar 10, 2009, 12:31:42 nachm.
Quote
[...]  Großbritannien ist nicht nur führend im Sammeln von Daten, sondern vermutlich auch beim Datenverlust. Allein in den letzten drei Monaten wurden dem für Datenschutz zuständigen Information Commissioner’s Office (ICO) 100 Vorfälle gemeldet, bei denen persönliche Daten wie Namen, Adressen, Bankdaten, Informationen über Gehälter oder medizinische Daten verloren gegangen sind oder gestohlen wurden. Das wäre ein Vorfall jeden Tag.

Insgesamt waren es 2008 und bis Ende Januar 2009 insgesamt 376 Vorfälle, 36 Prozent mehr als im Jahr zuvor. Meist kamen Behörden die Daten abhanden, mit 112 Vorfällen traten aber auch fast ein Drittel der Vorfälle in der Privatwirtschaft auf – mit steigender Tendenz. Das ICO fordert die Unternehmen auf, den Datenschutz zu stärken, da sie ansonsten Vertrauen verspielen würden.

Der Datenschutzbeauftragte Richard Thomas sagte, es sei nicht akzeptabel, dass seine Behörde keine Überprüfungen ohne Zustimmung der betreffenden Organisation machen dürfe: "Man würde auch nicht erwarten, dass ein Lebensmittelprüfer erst einmal die Erlaubnis des Restaurants erhalten muss, um eine Inspektion durchzuführen." Während bereits eine gesetzliche Grundlage für Inspektionen ohne Ankündigung bei Behörden vorbereitet wird, schreibt die Times, ist bislang für Privatunternehmen derartiges nicht vorgesehen. (fr/Telepolis)


Quote
9. Februar 2009 15:47
++ FT: Datenbank über krimineller Datendiebe gestohlen ++
koboldmaki23 (166 Beiträge seit 31.12.07)

Das britische Innenministerium gab heute in einer Pressekonferenz den
Diebstahl einer geheimen Datenbank für Datendiebe bekannt. Der
Pressesprecher zeigte sich  betroffen über die erschreckende
Rekursivität.
"This recursivity is quite incomprehensible to us. We have hired
security consultants to work on this problem. Astonishingly those
criminals have taken the approach of adding themselves to the
database. We are struggling with self-proclaimed terrorist nicknames
like ""0r1=1--"". This is a disturbing development. If we do not
succeed in containing this, we will have to consider mass
bombardement with 500lb fluffy pidgeons."


Quote
9. Februar 2009 16:19
Wirklich erstaunlich
Herr_Mal-Ware (153 Beiträge seit 25.04.08)

Wer hätte damit gerechnet, dass mit den gigantischen Datenbergen,
Kameras an jeder Ecke und beinahe schon einer Komplettüberwachung der
Bürger auch Datenverlust, Datenmissbrauch und Datendiebstähle
ansteigen? Das kommt ja extrem überraschend...



Aus: "In Großbritannien häufen sich Datenverluste und -diebstähle" (09.02.2009)
Quelle: http://www.heise.de/newsticker/In-Grossbritannien-haeufen-sich-Datenverluste-und-diebstaehle--/meldung/127140 (http://www.heise.de/newsticker/In-Grossbritannien-haeufen-sich-Datenverluste-und-diebstaehle--/meldung/127140)

Title: [Daten von zehntausenden US-Patienten im Internet gefunden...]
Post by: Textaris(txt*bot) on M?RZ 01, 2009, 12:38:35 nachm.
Quote
[...] Der US-Forscher Eric Johnson stieß bei Recherchen im Auftrag des Department of Homeland Security (DHS) in gängigen Peer-to-Peer-Netzwerken (P2P) wie Limewire auf Zehntausende digitale Akten aus US-Krankenhäusern mit sensiblen Informationen, darunter auch aus einer AIDS-Klinik. Dies berichtet der Fachdienst Nextgov. Die Patientendaten, die über gängige Filesharing-Software abrufbar gewesen seien und es offenbar nach wie vor sind, enthielten demnach detaillierte persönliche Angaben über physische oder mentale Krankheitsdiagnosen. Mit den Informationen könnte man nicht nur die betroffenen Patienten bloßstellen, heißt es in der Meldung, sondern auch medizinische Betrügereien begehen.

Der Leiter des Center for Digital Strategies am Dartmouth College in Hanover im US-Bundesstaat New Hampshire hat für den größten bei seiner zweiwöchigen Untersuchung entdeckten Datenverlust ein nicht näher bezeichnetes US-Hospital ausgemacht, dem eine gesamte Datenbank abhanden gekommen sein soll. Darin allein seien Vermerke über 20.000 Patienten einschließlich Namen, Krankenversicherungsnummern, Versicherungspartnern und Codeangaben über Krankengeschichten enthalten gewesen. Aus den Dateien sei etwa hervorgegangen, dass vier der Betroffenen HIV positiv seien. Über 200 weiteren seien Geistesstörungen oder Depressionen, 326 Krebserkrankungen diagnostiziert worden.

Weitere Einzelheiten hat Johnson in einem Papier (PDF-Datei) über "Daten-Hämorrhoiden" im Gesundheitssektor veröffentlicht. So entdeckte der Wissenschaftler etwa auch Datentabellen aus einem auf die Behandlung von AIDS-Kranken spezialisierten Hospital mit personenbezogenen Informationen über 242 Patienten, ein 1718 Seiten umfassendes Dokument aus einem medizinischen Testlabor mit Namen von Probanden sowie psychiatrische Einschätzungen aus einer Klinik für Geisteskranke. Teilweise habe er die Dateien auf Rechnern abgelegt gefunden, die er Auskunfteien zuschrieb, was nahelege, dass mit den Informationen bereits kommerziell gehandelt wird.

Als Ursache für die prekären Datenabflüsse hat Johnson den Umstand ausgemacht, dass viele Angestellte öffentlicher Einrichtungen entgegen anders lautender Auflagen P2P-Software auf ihren Rechnern installieren und dann gemäß den Voreinstellungen mancher Programme alle lokalen Dateien zum Tausch freigeben würden. Für die Suche nach kostenlosen Songs oder Filmen müssten sie so einen hohen Preis zahlen.

US-Regierungsstellen haben bereits wiederholt Datenpannen erlitten, für die Filesharing verantwortlich gemacht wird. Außer dem Gesundheitswesen war unter anderem auch schon das Militär betroffen. US-Präsident Barack Obama will mit seinem Konjunkturprogramm auch die Auflagen für die IT-Sicherheit im Verwaltungsbereich allgemein und im Gesundheitssektor im Besonderen verbessern. Beobachter sind aber skeptisch, ob diese Bemühungen Erfolg haben und prognostizieren weitere große Datenverluste. (Stefan Krempl) / (ad/c't)

Quote
28. Februar 2009 18:44
+++Patientenakte von Dr. Schäuble aufgetaucht+++ (Editiert vom Verfasser am 28.02.09 um 18:47)
Stringtheoretiker 3 (689 Beiträge seit 31.08.08)

Berlin

In einem Tauschbörsenring wurde die Patientenakte von Dr. Schäuble
gefunden. Die Word-Datei enthielt detallierte Angaben zum Patienten
Dr. Schäuble. CDU-Politker sind empört und forden härte Strafen gegen
Datenmißbrauch. Dr. Schäuble war zu keiner Aussage zu bewegen.

:-D




Aus: "Daten von zehntausenden US-Patienten im Internet gefunden" (28.02.2009)
Quelle: http://www.heise.de/newsticker/Daten-von-zehntausenden-US-Patienten-im-Internet-gefunden--/meldung/133730 (http://www.heise.de/newsticker/Daten-von-zehntausenden-US-Patienten-im-Internet-gefunden--/meldung/133730)

Title: [Sensitive Data from NYPD Warehouse...]
Post by: Textaris(txt*bot) on M?RZ 07, 2009, 02:57:02 nachm.
Quote
[...] Personal information on more than 80,000 current and retired New York police officers was stolen from a supposedly secure data warehouse that stored NYPD pension fund data.

The stolen data, stored on computer bakup tapes in a facility managed by the Port Authority, included names, addresses, Social Security numbers names, bank account numbers and medical records of officers.

The thief, who worked at a different location as a communications director for the pension fund, entered the guarded warehouse on Staten Island on a Saturday morning using an expired ID badge and and disabled a surveillance camera before making off with eight tapes of data.

Authorities discovered that data had been stolen only after the employee made suspicious comments at work.

One point worthy of note in this breach -- the Port Authority facility where the police backup records were stolen also houses backup servers for Google and Yahoo.


From: "Thief Steals Sensitive Data from NYPD Warehouse"
By Kim Zetter Email (March 05, 2009)
Source: http://blog.wired.com/27bstroke6/2009/03/thief-steals-se.html (http://blog.wired.com/27bstroke6/2009/03/thief-steals-se.html)

Title: [Kabel Deutschland hatte die Daten...]
Post by: Textaris(txt*bot) on M?RZ 30, 2009, 09:50:23 vorm.
Quote
[...] Deutschlands größter Netzbetreiber Kabel Deutschland hat nach Informationen der "Wirtschaftswoche" hunderttausende Kundendaten an dubiose Callcenter weitergegeben. Ein erheblicher Teil der 9,1 Millionen Kundendaten, über die Kabel Deutschland verfügt, kursieren nun offenbar im In- und Ausland.

Kabel Deutschland hatte die Daten an externe Callcenter-Betreiber weitergegeben, um den eigenen TV-Kunden auch einen Telefon- und Internetanschluss schmackhaft zu machen. Offenbar nahmen die externen Unternehmen es teilweise mit dem Datenschutz nicht so genau: Die Informationen gingen an Subunternehmer und sind mittlerweile auf dem illegalen Markt für Kundendaten verfügbar.

Kabel Deutschland hat mittlerweile reagiert und die Verträge mit "auffälligen Callcentern" nach eigenen Angaben gekündigt. Nach Angaben der "Wirtschaftswoche" häufen sich aber die Beschwerden von Kabel-Deutschland-Kunden, die vermehrt Opfer von Werbeanrufen werden: Offenbar haben die Datensätze bereits einen oder mehrere Abnehmer gefunden.


Aus: "Datenskandal bei Kabel Deutschland" (29.03.2009)
Quelle: http://www.inside-digital.de/news/12123.html (http://www.inside-digital.de/news/12123.html)

Title: [Versehentlich per E-Mail...]
Post by: Textaris(txt*bot) on April 01, 2009, 11:23:20 vorm.
Quote
[...] Bei den Online-Anträgen zur Abwrackprämie ist es Medienberichten zufolge auch zu einer Datenschutzpanne gekommen. Zahlreiche Antragsdaten wurden von den Computern des Bundesamtes in Eschborn versehentlich per E-Mail an andere Antragsteller gesendet, berichteten mehrere Online-Medien unter Berufung auf Leserangaben.

Wohnadresse, Fahrzeugtyp des Neuwagens oder auch die Schadstoffklasse seien damit völlig fremden Personen zugänglich geworden. Das Online-Portal "bild.de" berichtete unter Berufung auf das Amt, Ursache der fehlerhaften E-Mails seien nicht synchronisierte Großrechner gewesen.

...


Aus: "Probleme mit der Abwrackprämie - Auf Computerchaos folgt Datenschutzpanne" (31.03.2009)
Quelle: http://www.tagesschau.de/inland/abwrackpraemie164.html (http://www.tagesschau.de/inland/abwrackpraemie164.html)

Title: [Datenklau bei US-Kampfjet-Projekt...]
Post by: Textaris(txt*bot) on April 22, 2009, 10:23:23 vorm.
Quote
[...] Unbefugten ist es gelungen, sich Zugang zu Plänen eines amerikanischen Kampfflugzeug-Projekts zu verschaffen. Nach Informationen des Wall Street Journals sollen die Computer-Spione "einige Terabytes" an Daten kopiert, bzw. entwendet haben. Da sie mit der Konstruktion und mit dem elektronischen System zu tun haben, vermuten Regierungsmitarbeiter, dass die gestohlenen Daten möglicherweise militärisch relevant sein können, da sie Verteidigungsmaßnahmen gegen den Kampfjet verbessern könnten.

Das Joint Strike Fighter-Projekt ist das bislang teuerste Waffenprogramm des Pentagon, die Kosten zur Entwicklung des Kampfjets F-35 Lightning II belaufen sich auf etwa 300 Milliarden Dollar. Wie groß der Schaden ist, den die Zugriffe der Unbefugten in finanzieller und sicherheitstechnischer Hinsicht angerichtet haben, dazu lieferten die Quellen der Zeitung, "Regierungsmitarbeiter, die mit der Angelegenheit vertraut sind", keine Details. Da die Eindringlinge ihre Spuren gut verwischen konnten, können Ermittler laut dem Zeitungsbericht nicht genau angeben, welche Daten gestohlen wurden. Auch zur Identität der Cyber-Angreifer gibt es nur Vermutungen.

Die Pläne zum F-35 Lightning II-Jet, der federführend von Lockheed Martin entwickelt wird, basieren laut WSJ auf 7,5 Millionen Zeilen Programmcode, die sensibelsten Daten, etwa zur Flugsteuerung, würden allerdings auf Computern gespeichert, die nicht mit dem Internet verbunden sind. Die Cyber-Spione haben sich über undichte Stellen im Netzwerk der am Projekt beteiligten privaten Unternehmen Zugang zu den Daten verschafft. Doch weder Lockheed Martin, noch Northrop Grunman Corp. Oder BAE-Systems, die an der Entwicklung des Kampfjets beteiligt sind, wollten zu Datendiebstahl Aussagen machen.

Versuche, in die Computersysteme einzudringen, die am Joint Strike Fighter-Programm beteiligt sind, werden schon seit zwei Jahren beobachtet. Ermittler gehen "mit großer Wahrscheinlichkeit" davon aus, das die Zugriffsversuche aus China stammen, als Indiz werden chinesische IPs genannt und digitale Fingerabdrücke, die schon bei früheren Angriffen benutzt wurden.

(tpa/Telepolis) 

Quote
21. April 2009 12:44
Warum haben sie den Chinesen ...
Achim (mehr als 1000 Beiträge seit 07.01.00)

... nicht einfach ein rotes VdL-Stoppschild eingeblendet? Das löst
doch alle Probleme.


Quote
21. April 2009 13:04
In Deutschland wär' das nicht passiert...
Anday (174 Beiträge seit 06.10.04)

...denn hier sind ja zum Glück die bei dem Angriff verwendeten
Hackertools VERRBOTTEN!


Quote
21. April 2009 13:40
Absolut Krank
dremolo (mehr als 1000 Beiträge seit 19.06.01)

>Das Joint Strike Fighter-Projekt ist das bislang teuerste
Waffenprogramm des >Pentagon, die Kosten zur Entwicklung des
Kampfjets F-35 Lightning II belaufen >sich auf etwa 300 Milliarden
Dollar.

Was könnte man mit dem Geld nicht alles anfangen, von Hilfs- und
Wissenschaftsprojekte aller Art bis hin zu einer Mondbasis bzw. einen
bemannten Flug zum Mars. Das Ding hat doch nur den Zweck zu töten, und das alles hinter dem
Argument Arbeitsplatz und Sicherheit versteckt. In anderen Industrieländer ist
es auch nicht besser, leider .

dremolo



Aus: "Datenklau bei US-Kampfjet-Projekt" (21.04.2009)
Quelle: http://www.heise.de/newsticker/Datenklau-bei-US-Kampfjet-Projekt--/meldung/136463 (http://www.heise.de/newsticker/Datenklau-bei-US-Kampfjet-Projekt--/meldung/136463)

Title: [Keine Verschlüsselungsmechanismen... ]
Post by: Textaris(txt*bot) on Mai 04, 2009, 01:32:20 nachm.
Quote
[...] Der britische Geheimdienst MI6 musste einem Bericht des Fachmagazins Secure Computing nach im Jahr 2006 eine Millionen Pfund teure, verdeckte Anti-Drogenermittlung einstellen, nachdem eine Agentin einen USB-Stick, auf dem streng geheime Daten gespeichert waren, verloren hatte. Die Serious Organised Crime Agency (Soca) bestätigte den Fall nun Ende April.

Die Agentin "T" hatte den besagten USB-Stick in ihrer Handtasche aufbewahrt, als sie sich auf dem Weg nach Kolumbien befand. Den Stick ließ sie dann im Reisebus liegen. Der Verlust bedrohte dutzende Agentenleben und die Leben von Informanten, weshalb alle beteiligten Personen in Sicherheit gebracht und neu stationiert werden mussten.

2006 erhielt die Soca Staatsgelder in der Höhe von 416 Millionen Pfund. Wie viel von diesem Kapital durch die gescheiterte Mission aus dem Fenster geworfen wurde, wollte man aber nicht erläutern.

Das Prekäre an dem Vorfall: Die Ermittlung der Agenten musste nur deshalb eingestellt werden, weil sie keine Verschlüsselungsmechanismen einsetzten. Die Behörde betont, aufgrund des Vorfalls hätte man begonnen Handhabungsstandards für mobile Datenträger einzuführen und die Daten würden seit 2006 immer verschlüsselt. (zw)


Aus: "USB-Stick verloren - MI6 musste millionen-schwere Undercover-Operation platzen lassen" (03. Mai 2009)
Quelle: http://derstandard.at/?url=/?id=1240550379811 (http://derstandard.at/?url=/?id=1240550379811)

Title: [I have your shit!...]
Post by: Textaris(txt*bot) on Mai 05, 2009, 12:49:58 nachm.
Quote
[...] Kriminelle sollen US-Medienberichten zufolge die Daten von 8 Millionen amerikanischen Schmerzpatienten vom Server des Virginia Prescription Monitoring Program gestohlen haben und nun 10 Millionen US-Dollar Lösegeld fordern. Der Server dient Ärzten zur Überwachung der Herausgabe von Rezepten für Schmerzmittel wie Opiate und soll den Drogenmissbrauch verhindern.

Nach Angaben von Brian Krebs von der Washington Post drangen die Kriminellen auf unbekanntem Weg in den Server ein, verschlüsselten die Daten, löschten die Originale anschließend auf dem Server und hinterließen den Erpresserbrief. Dieser wurde auch auf Wikileaks veröffentlicht:

Quote
"I have your shit! In *my* possession, right now, are 8,257,378 patient records and a total of 35,548,087 prescriptions. Also, I made an encrypted backup and deleted the original. Unfortunately for Virginia, their backups seem to have gone missing, too. Uhoh :(For $10 million, I will gladly send along the password."

Der Server ist derzeit nicht mehr erreichbar. Nach Angaben des Virginia's Department of Health Professions sind die Ermittlungsbehörden bereits eingeschaltet. (dab/c't)




Aus: "Cracker fordern 10 Millionen US-Dollar für Patientendatenbank" (05.05.2009)
Quelle: http://www.heise.de/security/Cracker-fordern-10-Millionen-US-Dollar-fuer-Patientendatenbank--/news/meldung/137281 (http://www.heise.de/security/Cracker-fordern-10-Millionen-US-Dollar-fuer-Patientendatenbank--/news/meldung/137281)

#2 http://voices.washingtonpost.com/securityfix/2009/05/hackers_break_into_virginia_he.html (http://voices.washingtonpost.com/securityfix/2009/05/hackers_break_into_virginia_he.html)

Title: [Personenbezogene Daten von knapp 160'000 Studenten...]
Post by: Textaris(txt*bot) on Mai 12, 2009, 12:27:07 nachm.
Quote
[...] Cyber-Kriminelle klauten vom 9. Oktober bis 9. April personenbezogene Daten von knapp 160'000 Studenten und Eltern, die in den letzten zehn Jahren bei der Universität registriert wurden. Die Sprecherin der University of California at Berkeley bestätigt den Hackerangriff, der sogar auf der offiziellen Uni-Website vermeldet wird.

Den Hackern fielen Sozialversicherungs-Nummern und weitere gesundheitsbezogene Daten in die Hände: Krankenkassenbelege, Blutgruppen sowie Adressen der entsprechenden Hausärzte. Der Systemadministrator entdeckte den Datenklau per Zufall. «Wie es aussieht haben die Hacker Nachrichten für den Systemadministrator hinterlassen, um ihn mit ihrem Einbruch aufzuziehen», sagte Shelton Waggener, Vizerektor für Informations-Technologie. Die Spur der Diebe habe man auf Computer im Ausland zurückverfolgen können – unter anderem nach China. Nun ermittelt das FBI. (ah)

Quote
Lorenz Amstutz
11.05.2009, 20:36 Uhr
Kommentar melden

Zum Glück sind ja dann unsere biometrischen Daten ganz sicher gespeichert. Jedenfalls so, dass nur clevere Hacker dahinter kommen. Oder allenfalls korrupte Beamte sie verkaufen können. Tja, so sieht Datensicherheit aus im realen Leben. Aufwachen liebe SchweizerInnen.

...


Quote
Beat Hartmann
11.05.2009, 13:30 Uhr
Kommentar melden

Nicht erklärt ist, welches System die Uni verwendet hat, MS Windows, Free BSD, Linux ... und wie der Datendiebstahl konkret zustande kommen konnte.


Quote
Thomas Schmid
11.05.2009, 12:58 Uhr
Kommentar melden

Womit wieder mal offensichtlich wird, dass man die zentrale Datenbank für unsere biometrischen Personen-Passdaten und die entsprechende Abstimmungsvorlage ablehnen sollte. Es gibt keine sichere Datenbank....



Aus: "Daten-Gau an der Elite-Universität Berkeley" (11.05.2009)
Quelle: http://bazonline.ch/digital/internet/DatenGau-an-der-EliteUniversitaet-Berkeley/story/19189624 (http://bazonline.ch/digital/internet/DatenGau-an-der-EliteUniversitaet-Berkeley/story/19189624)

Title: [Gestohlen wurden Datensätze...]
Post by: Textaris(txt*bot) on Mai 18, 2009, 08:57:20 vorm.
Quote
[...] Am Mittwoch musste [ ] der Chief Information Officer des Ministeriums für Heimatschutz gegenüber dem Branchendienst Federal Computer Week eingestehen, dass die Internet-Plattform, über die das Ministerium "sensible Daten" mit anderen Behörden austauscht, Ende März und Anfang April gleich zweimal von Unbekannten geknackt worden war.

Gestohlen wurden Datensätze, die Telefonnummern und E-Mail-Adressen von Angehörigen der angeschlossenen Behörden beinhalteten.

...


Aus: "Atomraketen gegen Datensaboteure" (18.05.2009)
Quelle: http://futurezone.orf.at/stories/1603331/ (http://futurezone.orf.at/stories/1603331/)

Title: [Datenskandal erschüttert Royal Air Force...]
Post by: Textaris(txt*bot) on Mai 26, 2009, 10:05:17 vorm.
Quote
[...] Im September 2008 wurden aus dem RAF-Stützpunkt in Innsworth, Gloucestershire, drei Festplatten mit, je nach Quelle, 50.000 bis 70.000 Personaldatensätzen gestohlen. Während Luftwaffe und Verteidigungsministerium diesen Diebstahl mitteilten, verschwiegen sie allerdings, dass sich auf den Festplatten rund 500 Datensätze aus Personalbefragungen für die Zulassung zu höheren Sicherheitsstufen befanden.

Das haben die BBC und die Tageszeitung "The Guardian" am Montag berichtet. Die Datensätze standen zum Transfer ins RAF-Hauptquartier in High Wycombe, Buckinghamshire, bereit.

Diese Dateien, die noch dazu nicht verschlüsselt worden waren, enthielten sehr sensible Details zu den befragten Personen, berichtet die BBC. Bei den Sicherheitschecks wurde nach Details in den Biografien der Kandidaten gefragt, die diese erpressbar machen könnten, etwa nach Vorstrafen, Drogenabhängigkeit, Gesundheitszustand, Schulden und Sexualleben.

Dieser Datenverlust wurde nun bekannt, nachdem sich ein ehemaliger RAF-Offizier auf Grundlage der britischen Transparenz- und Datenschutzgesetze (Freedom of Information Act bzw. Data Protection Act) vom Verteidigungsministerium eine interne Notiz hatte herausgeben lassen, in der die Datensätze und deren Verschwinden dokumentiert sind.

Aus der internen Notiz gehe auch hervor, dass die beteiligten Beamten des Verteidigungsministeriums beschlossen haben, "aufgrund der mangelnden medialen Aufmerksamkeit" den mutmaßlichen Diebstahl der Sicherheitscheck-Daten nicht dem Parlament mitzuteilen. Auch der damalige Verteidigungsminister Des Browne, der allerdings bereits am 3. Oktober von John Hutton abgelöst worden war, sei nicht über den Verlust der 500 Sicherheitsprüfungsdatensätze informiert worden, ebenso wenig die Datenschutzbehörde.

Der "Guardian" zitiert ein Antwortschreiben des Ministeriums, in dem dieses darauf hinweist, dass die betroffenen Personen aus den Sicherheitschecks in Gesprächen unter vier Augen auf den Datenverlust aufmerksam gemacht worden seien. Für die Betroffenen aus den restlichen Datenverlusten sei eine telefonische Hotline eingerichtet worden.

Das Ministerium bestätigte, dass vom Verlust der Sicherheitsprüfungsdaten auch höchste Offiziere betroffen seien. Bisher sei allerdings noch kein Versuch unternommen worden, besagte Personen mit den gestohlenen Daten zu erpressen.

Quote
Auch wenn es für die Betroffenen unangenehm ist

cyana, vor 16 Stunden, 12 Minuten

... was Besseres könnte gar nicht passieren, als wenn die RAF durch Erpressung (oder die Furcht davor) nahezu handlungsunfähig wird. Denn eins ist klar: würden diese Daten erst gar nicht gesammelt, könnten sie nicht gestohlen und missbraucht werden. Datenschutz schützt nicht nur die Betroffenen Individuen, sondern auch datenhungrige Institutionen. Vielleicht kommt durch as böse Erwachen jetzt wenigstens die Einsicht, dass die umfassende Paranoia, die unsere Politiker derzeit verbreiten, viel mehr zerstört als sie vermeintlich schützt.

Quote
#
da muss man einen Unterschied machen

fenris79, vor 16 Stunden, 4 Minuten

Daten in gewissen Bereichen wie bei der RAF müssen erhoben und gesammelt werden in genau definierten Bereichen ist sowas auch erwünscht und notwendig. Hier ist eher der Umgang mit den Daten das Erschreckende.

Die pauschale Datensammlung über die Bevölkerung ist aber zu 100% zu verurteilen.

Quote
worauf ich hinaus wollte

cyana, vor 15 Stunden, 36 Minuten

je mehr Institutionen unkontrolliert Daten sammeln, desto mehr sensible Daten werden entwendet werden. Die rechtlichen Implikationen sind ebenso mannigfaltig (bin ich als Betroffener gegenüber der Institution schadensersatzberechtigt ?) wie die gesellschaftlichen (eine Institution wie die RAF manöviert sich selbst ins Abseits und wird zum Sicherheitsrisiko für das eigene Land) ...




Quote
Eine kurze Frage

beart, vor 21 Stunden, 28 Minuten

für welche Sicherheitsüberprüfung der Welt werden die sexuellen Vorlieben abgefragt und gespeichert? Und wer lässt sich sowas gefallen?

Oh, und im übrigen würd ich es sehr begrüßen, wenn der Urheber der Notiz ("aufgrund mangelnden medialen Interesses") aufgrund des jetzt wohl massiven medialen Interesses seinen Schreibtisch ausräumen müsste. ...



Aus: "Datenskandal erschüttert Royal Air Force" (25.05.2009)
Quelle: http://futurezone.orf.at/stories/1603639/ (http://futurezone.orf.at/stories/1603639/)

Title: [Das Dokument beinhalte detaillierte Informationen...]
Post by: Textaris(txt*bot) on Juni 03, 2009, 09:56:09 vorm.
Quote
[...] Die US-Regierung hat versehentlich einen streng vertraulichen Report über Hunderte zivile Atomanlagen und Atomlabore sowie nukleare Programme veröffentlicht. Das berichten "New York Times" und "Washington Post". Das Dokument beinhalte auch detaillierte Informationen über die Lagerorte von Material für Atomwaffen. Darunter seien auch präzise Landkarten. Der Bericht sei aus zunächst ungeklärten Gründen auf die Website der US-Staatsdruckerei geraten und inzwischen von dort wieder verschwunden.

...


Aus: "USA stellen vertraulichen Atombericht ins Netz" (03.06.2009)
Quelle: http://www.spiegel.de/politik/ausland/0,1518,628221,00.html (http://www.spiegel.de/politik/ausland/0,1518,628221,00.html)
Title: [Das Etikett des Stollenpakets...]
Post by: Textaris(txt*bot) on Juni 03, 2009, 10:02:13 vorm.
Quote
[...] Zwei Kurierfahrer, die ein Päckchen mit einem Weihnachtsstollen vertauscht und damit in Deutschland im vergangenen Dezember einen bundesweiten Datenskandal ausgelöst hatten, sind vom Frankfurter Amtsgericht am Dienstag zu Geldstrafen verurteilt worden. Einer müsse 720 und der andere 960 Euro zahlen, berichtete ein Gerichtssprecher.

Die Kurierfahrer hatten vor Weihnachten das an die "Frankfurter Rundschau" gerichtete Paket mit dem Christstollen geöffnet. Zur Vertuschung ihres Diebstahls klebten sie dann das Etikett des Stollenpakets auf eine von sechs Sendungen, die für die Landesbank Berlin (LBB) bestimmt waren. Die Daten von über 130.000 Kreditkartenbesitzern landeten so bei der Zeitung. Die Männer hatten nach eigenen Angaben gedacht, es handle sich bei der Sendung um bedeutungslose Briefumschläge. Das Auftauchen der LBB-Daten bei der Zeitung hatte die Debatte über Datenschutz bei privaten Unternehmen angeheizt.


Aus: "Kuriere nach Datenskandal verurteilt" (02.06.2009)
Quelle: http://futurezone.orf.at/stories/1603910/ (http://futurezone.orf.at/stories/1603910/)

Title: [Datenleck bei T-Mobile USA...]
Post by: Textaris(txt*bot) on Juni 11, 2009, 10:53:25 vorm.
Quote
[...]  Ein Sprecher von T-Mobile USA hat zwar die Echtheit der am Wochenende auf der E-Mail-Liste Full Disclosure veröffentlichten Daten bestätigt. Er widersprach aber Behauptungen, wonach sie aus einem Einbruch in T-Mobiles Netzwerk stammen.

Ein unbekannter Hacker hatte erklärt, er sei im Besitz von Datenbanken, vertraulichen Dokumenten, Skripten und Programmen sowie Finanzunterlagen des Anbieters. Die Daten wolle er an den Meistbietenden verkaufen. Als Beweis für seinen Einbruch listete er in seiner Nachricht Programme, Betriebssysteme und IP-Adressen auf.

T-Mobile konnte nach eigenen Angaben inzwischen ein Dokument identifizieren, aus dem die veröffentlichten Daten stammen. Der Datenverlust stelle jedoch keine Gefahr für die Kunden dar. "Wir führen eine gründliche Untersuchung durch", heißt es in einer Erklärung des Unternehmens. "Derzeit haben wir keine Beweise dafür, dass Kundendaten oder andere Informationen aus unserem Netzwerk gestohlen wurden." T-Mobile machte keine Angaben dazu, wie der Hacker an die Daten gekommen ist.


Aus: "Datenleck bei T-Mobile USA" Lutz Poessneck (Mittwoch, 10. Juni 2009)
Quelle: http://www.silicon.de/mobile/wireless/0,39039018,41005195,00/datenleck+bei+t_mobile+usa.htm (http://www.silicon.de/mobile/wireless/0,39039018,41005195,00/datenleck+bei+t_mobile+usa.htm)

Title: [Kreditkartendaten (Network Solutions)... ]
Post by: Textaris(txt*bot) on Juli 28, 2009, 10:07:45 vorm.
Quote
[...] Unbekannte haben beim Registrar und Hosting-Provider Network Solutions über 500.000 Datensätze mit Kreditkartennummern gestohlen. Offenbar gelang es ihnen in 4,343 dort gehostete Shop-Systeme speziellen Code einzuschleusen, der die Transaktionsdaten klaute.

Der eingeschleuste Code wurde offenbar am 12. März aktiviert und erst am 8. Juni entdeckt. In dieser Zeit konnte er die Details von 573,928 Bezahlvorgängen in Webshops ausspionieren, die die von Network Solutions bereitgestellte Infrastruktur nutzten. Einzelheiten dazu, wie die Angreifer eindringen konnten, sind bislang nicht bekannt.

Da in vielen US-Staaten gesetzlich vorgeschrieben ist, dass betroffene Kunden von solchen Vorfällen benachrichtigt werden müssen, stehen jetzt viele kleine Shop-Betreiber vor beträchtlichen organisatorischen Problemen; nicht zuletzt weil sich die einschlägigen Gesetze von Staat zu Staat unterscheiden. Dabei will ihnen jedoch Network Solutions unter die Arme greifen und bietet an, dies kostenlos über eine darauf spezialisierte Firma namens Trans Union abwickeln zu lassen.

Endkunden, deren Kreditkartendaten gestohlen wurden, bietet Network Solutions an, Transaktionen zwölf Monate kostenlos auf Auffälligkeiten überwachen zu lassen, um Missbrauch rechtzeitig zu entdecken. Dieses Angebot gilt jedoch laut der eigens eingerichteten Info-Seite nur für Kunden in den Vereinigten Staaten. Ob auch Kunden aus anderen Ländern betroffen sind, war bislang nicht in Erfahrung zu bringen. In den Kunden-FAQs steht zwar, dass diese dann ebenfalls durch Trans Union benachrichtigt würden, in den Händler-Infos ist jedoch konsequent nur von "U.S.-based customers" die Rede. (ju/c't)

Quote
27. Juli 2009 23:05
Mich wundert die mangelnde Kritik am Beitrag. "Geklaut"?
Ron Jarzombek (mehr als 1000 Beiträge seit 29.01.04)

Die Daten wurden lediglich vervielfaeltigt, es ist (noch) nichts
abhanden gekommen, was soll also die Aufregung????

Quote
28. Juli 2009 08:18
Re: Mich wundert die mangelnde Kritik am Beitrag. "Geklaut"?
Ansgar Hellwig, Ansgar Hellwig (637 Beiträge seit 15.03.00)

Trollalarm! Trollalarm!




Aus: "Eine halbe Million Kreditkartendaten bei Network Solutions geklaut" (27.07.2009)
Quelle: http://www.heise.de/newsticker/Eine-halbe-Million-Kreditkartendaten-bei-Network-Solutions-geklaut--/meldung/142614 (http://www.heise.de/newsticker/Eine-halbe-Million-Kreditkartendaten-bei-Network-Solutions-geklaut--/meldung/142614)

Title: [Verschwörung, Betrug und Datendiebstahl...]
Post by: Textaris(txt*bot) on September 12, 2009, 12:22:40 nachm.
Quote
[...] Albert Gonzalez wird von Gerichten in Boston und New York Verschwörung, Betrug und Datendiebstahl vorgeworfen. In Boston soll sich Gonzales nun in 19 Fällen für schuldig erklärt und zugestimmt haben, dass die Anklagen in Boston und New York gemeinsam verhandelt werden. Auch in New Jersey läuft ein Verfahren gegen ihn, das davon allerdings nicht betroffen ist.

Gonzalez wird vorgeworfen, mit Komplizen im großen Stil Kreditkartendaten von US-Handelsketten gestohlen zu haben, die er dann weiterverkauft sowie zur persönlichen Bereicherung genutzt haben soll. In dem Fall in New Jersey werden über 130 Millionen Kreditkartendaten angeführt, in Boston rund 40 Millionen.


Aus: "US-Datendieb bekennt sich schuldig" (29.08.2009)
Quelle: http://futurezone.orf.at/stories/1625627/ (http://futurezone.orf.at/stories/1625627/)


-.-

Quote
[...] Der 28-jährige Mann, der hinter dem bisher größten aufgedeckten Datendiebstahl in den USA stecken soll, hat sich laut Gerichtspapieren der ihm angelasteten Taten für schuldig bekannt. Ihm drohen bis zu 25 Jahre Haft und fünf Jahre Internet- und Computerentzug nach der Entlassung.

Albert Gonzalez werden von Gerichten in Massachusetts und New York Verschwörung, Betrug und Datendiebstahl vorgeworfen. In Boston soll sich Gonzalez nun in 19 Fällen für schuldig erklärt und zugestimmt haben, dass die Anklagen in Boston und New York gemeinsam verhandelt werden. Auch in New Jersey läuft ein Verfahren gegen ihn, das davon allerdings nicht betroffen ist.

Gonzalez wird vorgeworfen, mit Komplizen im großen Stil Kreditkartendaten von US-Handelsketten wie TJX Cos Inc gestohlen zu haben, die er dann weiterverkauft sowie zur persönlichen Bereicherung genutzt haben soll. In dem Fall in New Jersey werden über 130 Millionen Kreditkartendaten angeführt, in Boston rund 40 Millionen.

Am Freitag fand eine Anhörung statt, bei der Gonzalez knappe Antworten gab. Gonzalez bestätigte, den Namen "Sevgvec" für seine Aktivitäten verwendet zu haben.

Richterin Patti Saris will das Urteil im Dezember verkünden. Davor müsse geklärt werden, wie die Opfer, darunter Banken, Privatpersonen und Einzelhändler, entschädigt werden sollen.

Die Behörden hatten Geld, Computer, eine Handfeuerwaffe und Gonzalez' Eigentumswohnung im Wert von 1,6 Millionen US-Dollar beschlagnahmt.

...


Aus: "US-Datendiebstahl: Verdächtiger erneut verhört" (11.09.2009)
Quelle: http://futurezone.orf.at/stories/1626876/ (http://futurezone.orf.at/stories/1626876/)

Title: [Finanzdienstleister AWD wurden Zehntausende Kundendaten entwendet...]
Post by: Textaris(txt*bot) on Oktober 16, 2009, 11:38:21 vorm.
Quote
[...] Wie der Hörfunksender NDR Info am Freitag berichtet, wurden ihm 27.000 Datensätze zugespielt. Diese enthielten Kundennummer, Adresse, Telefonnummer, Berufsbezeichnung, Geburtstag und die Vertragsabschlüsse der einzelnen Kunden.

Daraus sei auch ersichtlich, welche Kunden eine Lebensversicherung abgeschlossen und wie viel Geld sie angelegt haben. Zusätzlich gebe der Datensatz Auskunft über die Laufzeit der Verträge. Ein großer Teil der Verträge sei nach wie vor gültig. Wie die Informationen in Umlauf geraten konnten, sei unklar.

Ein AWD-Sprecher bestätigte dem Sender, dass es sich um Daten seines Unternehmens handelt. Zu weiteren Angaben sah sich das Unternehmen noch nicht in der Lage. Aus dem Umfeld des Finanzdienstleisters hieß es laut NDR Info jedoch, dass nur hochrangige Mitarbeiter Zugriff auf eine derart große Menge an Datensätzen hätten. AWD habe mittlerweile Strafanzeige gegen unbekannt gestellt.

Wie der Landesbeauftragte für den Datenschutz in Niedersachsen, Joachim Wahlbrink, mitteilte, hat ihn AWD bereits über den Vorfall informiert. Sollte es sich bestätigen, dass die Daten direkt aus der Firma kamen und nicht etwa durch ein Call-Center in Umlauf gebracht wurden, sei dieser Fall von besonderer Bedeutung.

...


Aus: "Finanzdienstleister AWD wurden Zehntausende Kundendaten entwendet" (16.10.2009)
Quelle: http://www.spiegel.de/wirtschaft/unternehmen/0,1518,655482,00.html (http://www.spiegel.de/wirtschaft/unternehmen/0,1518,655482,00.html)

http://de.wikipedia.org/wiki/AWD_Holding (http://de.wikipedia.org/wiki/AWD_Holding)


Title: [Über 1 Million Datensätze bei SchülerVZ abgesaugt...]
Post by: Textaris(txt*bot) on Oktober 19, 2009, 09:39:09 vorm.
Quote
[...] Aus anonymer Quelle wurden der Website Netzpolitik.org Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Satz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (einschließlich Link zum Bild) an.

Zwar enthalten die Datensätze keine direkten Kontaktdaten wie E-Mail-Adresse oder Postanschrift. Dies betonte auch SchülerVZ, das den Vorfall mittlerweile bestätigt hat. Markus Beckedahl von Netzpolitik.org betont, dass der Vorfall dennoch keine Bagatelle darstellt:

"Mit den Listen lassen sich einfache Datenabfragen erstellen wie 'alle Schüler aus Berlin', oder 'alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen."

SchülerVZ verlautbarte auch prompt: "Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."

Die gesammelten Daten sind zwar grundsätzlich allen Mitglieder der Community zugänglich und somit öffentlich. In dieser Größenordnung lassen sie sich in endlicher Zeit aber nur automatisch mit einem Crawler zusammentragen. SchülerVZ erklärt allerdings unter "Sicherheit " auf seiner Website: "Deine persönlichen Daten sind auf unseren Servern bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom SchülerVZ auf."

Folglich seien die Daten offenbar mittels einer automatisierten Abfrage über eine ungesicherte Schnittstelle bei SchülerVZ ausgelesen worden, argumentiert Beckedahl. Das weise auf ein großes Sicherheitsloch bei SchülerVZ hin – und dass man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt habe. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ sieht Beckedahl das Problem aber bedrohlicher: "Hier handelt es sich um Kinder und Jugendliche, die einen besonderen Schutzraum brauchen." (gr/c't)

Quote
17. Oktober 2009 15:00
*seufz* Jede Datensammlung wird irgendwann mal missbraucht
OS-9 (647 Beiträge seit 27.10.08)

Ist doch bekannt ebenso die einzige immer funktionierende Abwehr
dagegen:

Keine Daten sammeln


Quote
17. Oktober 2009 15:39
Äh, na und?
seniler alter Zirkusaffe (mehr als 1000 Beiträge seit 02.10.03)

Nette Profilierungsmöglichkeit für netzpolitik.org, aber so wie's
aussieht doch weder ein "Hack" noch ein Skandal.
Es wurden mit einem Crawler die Daten abgefischt, die ohnehin jedem
Mitglied zugänglich sind. Private Profildaten, die nur dem eigenen
Freundeskreis zugänglich sein sollen, waren nicht betroffen (lese ich
so aus dem Artikel, ich selbst habe dieses Portal noch nie von innen
gesehen).

Was soll *VZ bitte dagegen tun? Grundregel: Alles, was ein Benutzer
kann, kann auch ein Programm. Wenn also für registrierte Mitglieder
sämtliche Fotos und Schulzugehörigkeiten aller anderen Mitglieder
zugänglich sind, das ist das nunmal so. War aber vermutlich auch bei
der Anmeldung klar. Jetzt könnte SchülerVZ ihre Logs durchforsten,
gucken welches registrierte Mitglied die Daten gesammelt und damit
gegen die AGB verstoßen hat, und aufgrund dessen Anzeige erstatten.
Aber dann würden sie wohl sofort wieder einen auf den Deckel kriegen,
weil diese Logs in einer solchen Detailliertheit gar nicht vorhanden
sein dürften.

Verhindern können sie sowas nicht, die jetzige Gegenmaßnahme bremst
einen Crawler lediglich aus, ein Datenschutzgewinn ist das nicht.

Viel Lärm um ganz ganz wenig.


Quote
18. Oktober 2009 19:04
Ursel hilf uns!
Lochkartenstanzer (mehr als 1000 Beiträge seit 16.09.03)

Da hat sicher ein Pädophiler eine Datenbank aufgebaut, wo er seine
nächsten Opfer abgreifen kann.

Daher sollte Ursel ganz schnell ein Stoppschild vor SchülerVZ
stellen, damit da nichts mehr passieren kann.

lks


Quote
17. Oktober 2009 18:03
Die Ironie der Sache ist ja
tiefschwarz (476 Beiträge seit 02.07.09)

dass es hauptsächlich die Achso-Datenschutzinteressierten betrifft -
handelt es sich doch hier um das Hauptklientel der Piratenpartei.


Quote
17. Oktober 2009 15:40
Selber schuld!
Exxtreme2 (168 Beiträge seit 18.10.08)

Wer sich bei sowas anmeldet, der muss damit rechnen, daß die Daten
irgendwannmal geklaut werden.


Quote
18. Oktober 2009 13:02
Weltfremde Heise User hier!
oetzi_83 (203 Beiträge seit 03.12.07)

Hackt ihr wirklich auf Kindern und Jugendlichen rum, die ihre Daten
im Internet Preis geben??

Was glaubt ihr eigentlich hättet ihr gemacht, wenn es xyVZ schon
gegeben hätte, als ihr 10-18 Jahre alt gewesen ward?

Jeder der sich ein bischen mit der menschlichen Psyche und
Entwicklung im Allgmeinen auseinander gesetzt hat,sollte wissen, dass
vorallem Kinder und Jugendliche die Konsequenzen ihrer Handlungen
noch gar nicht einschätzen können.

Also hört doch mit diesem dummen Geschwätz hier auf.



Aus: "Über 1 Million Datensätze bei SchülerVZ abgesaugt" (17.10.2009)
Quelle: http://www.heise.de/newsticker/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.html (http://www.heise.de/newsticker/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.html)

Title: [Mehr als 200.000 Dokumente... (Lidl)]
Post by: Textaris(txt*bot) on Oktober 26, 2009, 09:41:31 vorm.
Quote
[...] DUBLIN taz | "Datenschutz ist wichtig für uns", heißt es auf der irischen Webseite der deutschen Supermarktkette Lidl. In der Praxis scheint das nicht zu funktionieren. Wie der Spiegel gestern berichtete, waren hochsensible Daten auf dem zentralen Server des Unternehmens für jedermann innerhalb des Konzerns vorübergehend zugänglich.

Nicht nur die Umsatzzahlen und Einkaufsplanungen waren einsehbar, sondern auch Abmahnungen, Krankmeldungen sowie die Korrespondenz zwischen dem Unternehmen und den behandelnden Ärzten. Insgesamt handelt es sich um mehr als 200.000 Dokumente.

[...] Ärger mit dem Datenschutz ist Lidl gewöhnt. Vor einem Jahr ist der Discounter in Deutschland wegen der Bespitzelung von Angestellten zur Zahlung eines Bußgeldes in Höhe von 1,5 Millionen Euro verurteilt worden. Und im April fand man die Krankheitsdaten der Lidl-Belegschaft in dem Mülleimer einer Autowaschanlage in Bochum.

...


Aus: "Ungeschützte Personalakten - Offene Datenbanken bei Lidl" VON RALF SOTSCHECK (26.10.2009)
Quelle: http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/offene-daten-bei-lidl/ (http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/offene-daten-bei-lidl/)


-.-

Quote
[...] Von dem jetzt betroffenen Server soll auch eine Kopie erstellt worden sein, die einem ehemaligen deutschen Lidl-Beschäftigten für das Irland-Geschäft zugespielt wurde. Die Festplatte enthalte mehr als 200.000 Dokumente. Der Mitarbeiter habe nach eigener Darstellung versucht, die Festplatte an Lidl auszuhändigen. Allerdings habe der Konzern kein Interesse bekundet, da die Daten angeblich nicht heikel seien.
 
Doch nun soll Lidl seinen ehemaligen Mitarbeiter aufgefordert haben, den Datenträger bei der Staatsanwaltschaft abzugeben. Um diesem Wunsch Nachdruck zu verleihen, wolle das Unternehmen möglicherweise auch rechtliche Schritte einleiten. (pen/c't)


Aus: "Datenmalheur bei Lidl" (24.10.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenmalheur-bei-Lidl-838404.html (http://www.heise.de/newsticker/meldung/Datenmalheur-bei-Lidl-838404.html)

Title: [Datenleck bei Libri zieht weitere Kreise...]
Post by: Textaris(txt*bot) on Oktober 31, 2009, 01:56:39 nachm.
Quote
[...] Laut Bericht waren im Unterschied zu den 500.000 Rechnungen in den einzelnen Shop aber mehr private und gewerbliche Daten einzusehen. Ursache des erneuten Problems ist, dass Libri nach dem Anlegen eines Kontos für einen Shopbetreiber das Passwort standardmäßig vorbelegt hat und die Kunden dies anschließend nicht änderten.

Laut Libri lässt sich aber nicht mehr feststellen, welcher Händler sein Passwort geändert hat, da diese verschlüsselt gespeichert werden. Aus Sicherheitsgründen hat Libri gestern abend daher alle Passwörter durch neu (und sicher) generierte ersetzt. Künftig wird der Anwender nach dem ersten Login dazu gezwungen, sein Passwort zu ändern.

Erneut stellt sich die Frage, wie das vorherige, unsichere Vergabesystem mit der Zertifizierung des Systems durch den TÜV Süd in Einklang steht.

Frank Rosengart von Chaos Computer Club meint gegenüber netzpolitik.org zu den Vorfällen: "Libri.de hat bewiesen, dass sie nicht einmal über Grundkenntnisse in IT-Sicherheit verfügen. Das Vergeben von solchen Initialpasswörtern darf einfach nicht passieren, und in Kombination mit dem PDF-URL-Dingens muss man leider davon ausgehen, dass personenbezogene Daten bei libri.de nicht gut aufgehoben sind. Das Unternehmen hielt es bisher auch nicht für notwendig, seine Kunden über das Problem zu informieren, was das Mindeste in einer solchen Situation gewesen wäre."

Quote
30. Oktober 2009 11:37
Dreiste Email an Partnerbuchhändler
Free Mind (87 Beiträge seit 28.05.09)

Das grenzt an Falschdarstellung, folgendes in Kommentaren zu
http://www.netzpolitik.org/2009/exklusiv-die-libri-shops-der-anderen/
#more-9400 gefunden:

"E-Mail von Libri.de an die Partnerbuchhändler

Liebe Partnerbuchhändler,

gestern hat der Internetblog Netzpolitik.org versucht sich illegal
Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen.
Dies ist ihm in drei Fällen, in denen Buchhändler das initiale
Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres
Passwort ausgetauscht haben, durch systematisches Raten gelungen.

Die drei Buchhändler wurden durch uns informiert. Alle anderen
Buchhändler waren nicht betroffen. Ebenso wurden keine Kundendaten
verbreitet.

Vor diesem Hintergrund haben wir den Partnermanager zentral gesperrt
und die Anmeldemethode so überarbeitet, dass Nutzer des
Partnermanagers technisch gezwungen werden, sich beim ersten Login
ein eigenes sicheres Passwort anzulegen. Zusätzlich wird jetzt
technisch sichergestellt, dass die Passwörter lang genug sind und
eine maschinelle Eingabe unmöglich wird.

In diesem Zusammenhang bitten wir Sie, uns ein Anfoderungsfax mit
Ihrem Firmenstempel und Ihrer Telefonnummer zu schicken, Wir rufen
Sie dann zurück und teilen Ihnen Ihre neuen Zugangsdaten nach
erfolgter Authentifizierung mit. Mit dieser umfassenden Maßnahme
wollen wir zukünftig illegale Zugangsversuche quasi unmöglich machen.

Wir bitten um Ihr Verständnis. Für Rückfragen stehen wir jederzeit
zur Verfügung.

Mit freundlichen Grüßen

Per Dalheimer Petra Gortzewitz

_______________________________________
Petra Gortzewitz I Sales Manager
Libri.de Internet GmbH
Friesenweg 1 I D-22763 Hamburg
Telefon: (040) 8 51 94 – 108 | Telefax: (040) 8 51 94 – 113
Email: pgortzewitz@libri.de
http://www.libri.de
__________________

Geschäftsführung: Per Dalheimer, Dr. Pascal Zimmer
AG Hamburg HRB 75623
Umsatzsteuer ID: DE 812809727
__________________

Kundenservice: service@libri.de

Schneller Versand – über 400.000 Titel innerhalb von 24h lieferbar
Flexible Lieferung – Postversand, Abholung in einer Buchhandlung oder
Download
Auswahl mit Format – über 3 Mio. Bücher, Hörbücher, Downloads & mehr

Libri.de – Bücher I Hörbücher I Downloads"

Quote
30. Oktober 2009 11:46
Re: Dreiste Email an Partnerbuchhändler
tervara (509 Beiträge seit 10.12.03)

> Dies ist ihm in drei Fällen, in denen Buchhändler das initiale
> Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres
> Passwort ausgetauscht haben, durch systematisches Raten gelungen.

Ein größeres Armutszeugnis kann man sich selber hinsichtlich der
eigenen IT-(In-)Kompetenz kaum ausstellen...



Quote
30. Oktober 2009 17:47
Gefunden bei "Libri"
WeirdKong (43 Beiträge seit 22.05.09)

"Libri.de wurde vom TÜV mit dem Safer-Shopping Zertifikat
ausgezeichnet!"

Verfolgt man den Link zum TÜV-Zertifikat:
"Mit geprüfter Qualität, Sicherheit und Transparenz ist www.libri.de
in hohem Maße vertrauenswürdig."

...



Aus: "Datenleck bei Libri zieht weitere Kreise" (30.10.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenleck-bei-Libri-zieht-weitere-Kreise-846052.html (http://www.heise.de/newsticker/meldung/Datenleck-bei-Libri-zieht-weitere-Kreise-846052.html)

Title: [Datenskandal bei T-Mobile UK...]
Post by: Textaris(txt*bot) on November 19, 2009, 09:19:07 vorm.
Quote
[...] Bei der britischen Telekom-Tochter T-Mobile ist ein Datenskandal aufgedeckt worden. Datensätze tausender Kunden seien von Angestellten an Zwischenhändler verkauft worden, teilte ein Sprecher des Unternehmens mit. Millionen von Einträge – Namen, Adressen, Telefonnummern und zentrale Vertragsinformationen – seien ohne Wissen von T-Mobile weitergegeben worden. Demnach handelte es sich um Kunden, deren Vertrag bald auslief und die die Konkurrenz abwerben wollte.

Die Telekom hatte in den vergangenen Wochen auch mit diversen Datenskandalen in Deutschland zu kämpfen, bei denen ebenfalls Kundendaten der Telekom über Vertriebspartner entwendet und missbraucht wurden.

T-Mobile habe die Telekommunikationsbehörde ICO über den Verstoß gegen das Datenschutzgesetz informiert, "als es offensichtlich wurde, dass Informationen über Vertragsverlängerungen an Dritte weitergegeben wurden", sagte der Sprecher. Die Tochter der Deutschen Telekom bedauere den Diebstahl der Daten "zutiefst". Mit dem Problem der illegalen Datenweitergabe hätten auch Konkurrenten zu kämpfen.

Nach Angaben der Behörde verkauften die Zwischenhändler die Daten an die Wettbewerber der Telekom-Tochter weiter. Es gehe um erhebliche Summen. Gegen die Verdächtigen solle rasch Anklage erhoben werden.

ICO und T-Mobile hatten erst vereinbart, den Datenskandal nicht öffentlich zu machen. ICO-Chef Christopher Graham beschwerte sich jedoch in einer Vorlage an die Regierung, dass das Strafmaß von 5000 Pfund (derzeit 5600 Euro) für Datenverstöße zu gering sei – und nannte in der BBC am Dienstag den Fall als Beispiel. Er wolle keine Namen nennen, um das Gerichtsverfahren nicht zu beeinträchtigen. Alle Mobilfunkanbieter außer T-Mobile bestritten, der Schuldige zu sein.

...

Quote
18. November 2009 14:18
Ich freu mich auf die PKW-Maut und Gesundheitskarte ...
lamilu (802 Beiträge seit 25.07.08)

Bankdaten sind, siehe Lichtenstein und jetzt Kreditkarten, schon
lange Allgemeingut. Dank der Vorratsdatenspeicherung und der
öffentlich zugänglichen Kundendaten, wie man heute gerade bei
T-MobileUK wieder sehen kann, ebenfalls öffentliches Gut. Daß die
Bahn Kundendaten und sogar deren Bankverbindungen abgleicht ist auch
nicht neu. Und dank der Arbeitsagentur kann man ebenfalls alle
arbeitslosen HartzIV-Empfänger lokalisieren, man muß sich nur als
personalsuchender Arbeitgeber einmelden.
Ja, momentan gibt es nur noch Wissenslücken bezüglich meiner
Gesundheit, man müßte sich bei meinem Hausarzt einloggen und meiner
PKW-Fahrten - wenn nicht gerade mal in Hessen mein Kennzeichen
gescannt wird, kann ich noch relativ unauffällig rumfahren. Sobald
eine OBU auch bei mir eingebaut ist, wird das Abrechnen der
Steuerpauschale bei der Einkommenssteuer auch viel einfacher. Vor
allem kann ich dann auch bald mit der ersten Personenbezogenen Mails
aufgrund meines Bewegungsprofiles rechnen, die mich gezielt auf am
Wegesrand liegende für mich interessante Zielpunkte hinweisen. Denn
Dank meiner Gesundheitsdaten kann die richtige Wellnesklinik genauso
genannt werden, wie auch der Elektronikmarkt mit den von mir
bevorzugten Geräten. Und dank meiner Spuren im Internet bekomme ich
sogar die Etablisemts genannt welche meine bevorzugten Praktiken
anbieten.

...



Aus: "Datenskandal bei T-Mobile UK" (18.11.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenskandal-bei-T-Mobile-UK-862340.html (http://www.heise.de/newsticker/meldung/Datenskandal-bei-T-Mobile-UK-862340.html)

Title: [Datenleck bei der Berliner Online-Gewerbeauskunft...]
Post by: Textaris(txt*bot) on Dezember 14, 2009, 09:54:34 vorm.
Quote
[...] das Gesetz zur eAuskunft schreibt vor, dass man nicht nach der Tätigkeit alleine suchen darf. Deshalb fehlt diese Funktion auch in der eAuskunft. Wir haben nach einzelnen Tätigkeiten gesucht, die uns etwas heikel vor kamen. Alleine aus den Suchbegriffen “Prostitution”, “Begleit-Service” (Davon sind manche auch nur Senioren-Begleitung, etc.) und “Erotik” haben wir knapp 1850 Datensätze heraus gefischt.

...

[...] Einzelne Personen, die z.B. legal ein Gewerbe auf Prostitution angemeldet haben, konnten wir auch in sozialen Netzwerken als Privatperson entdecken, wo nichts von ihrer Berufstätigkeit zu finden war. Mit der Liste hätten wir auch problemlos ein Google -Maps Mash-Up bauen können, wo auf einer Berliner Landkarte die Standorte aller legal angemeldeten Prostituierten angezeigt werden.

...

Quote
#  Simon
Dez 13th, 2009 @ 11:27

Was ist an Prostitution so schlimm? Das ist ein anerkannter Beruf und die Kundschaft ist hoch. Viele Manager und Politiker nehmen die Dienste von Prostituierten in Anspruch.



Quote
#  sm
Dez 13th, 2009 @ 23:05

... Dass Betriebe sich der Veröffentlichung entziehen können, wäre für mich eher der Skandal als diese Sache hier.



Quote
#  Marc
Dez 13th, 2009 @ 11:40

...

Transparenz heißt nicht, dass man seine Daten überall herumschleudern muss … Oder es zulassen muss.



Quote
#  Nimsa
Dez 13th, 2009 @ 12:40

@sm

Das Problem ist, daß die Tätigkeitsbeschreibung nicht im Wissen abgegeben wird, daß diese im Web erscheint, resp. dort durchsuchbar ist. Da stehen echt die kuriosesten Sachen drin. Ist ja nur für die Verwaltung gedacht.



Aus: "Datenleck bei der Berliner Online-Gewerbeauskunft"
von markus um 10:00 am Sonntag, 13. Dezember 2009
Quelle: http://www.netzpolitik.org/2009/datenleck-bei-der-berliner-online-gewerbeauskunft/ (http://www.netzpolitik.org/2009/datenleck-bei-der-berliner-online-gewerbeauskunft/)


-.-

Quote
[...] Bei der Berliner Online-Gewerbeauskunft gibt es laut einem Bericht des Online-Magazins Netzpolitik.org eine Datenpanne, von der rund 350.000 Unternehmen betroffen sind. Kritisiert wurde das "riesige Datenleck" am Sonntag auch von der Grünen-Fraktion im Berliner Abgeordnetenhaus. Die Senatsverwaltung für Wirtschaft hat unterdessen angekündigt, das Problem zu prüfen.

"Mit nur geringem Aufwand wurde jetzt die gesamte Gewerbeauskunft ausgelesen und die Daten Netzpolitik.org zugespielt", sagte der Grünen-Sprecher für Datenschutz, Benedikt Lux, am Sonntag in einer Pressemitteilung. So sei etwa die Datenbankrecherche nach Tätigkeitsfeld möglich, was laut Gewerbeordnung nicht erlaubt sei. In bestimmten Gewerbebereichen – etwa bei erotischen Dienstleistungen – sei das heikel. Zudem könnten die Angaben mit anderen Daten im Netz verknüpft werden. Lux zufolge wäre es "ein Leichtes gewesen, Sicherungen gegen das automatische Auslesen von Datenbanken einzubauen".

Das Magazin Netzpolitik.org hat die Senatsverwaltung für Wirtschaft auf das Problem hingewiesen. "Wir nehmen die Datensicherheit sehr ernst und werden den Fall genau prüfen", sagte Sprecher Stephan Schulz am Sonntag. Die Hinweise seien seit Freitag bekannt. Schulz hofft, in der kommenden Woche genauere Aussagen machen zu können. Die Datenbank werde aber vorerst nicht vom Netz genommen. (dpa) / (anw)




Aus: "Bericht: Datenpanne bei Berliner Gewerbeauskunft" (14.12.2009)
Quelle: http://www.heise.de/newsticker/meldung/Bericht-Datenpanne-bei-Berliner-Gewerbeauskunft-884550.html (http://www.heise.de/newsticker/meldung/Bericht-Datenpanne-bei-Berliner-Gewerbeauskunft-884550.html)
Title: [Mailing-Dienstleisters AWeber Communications... ]
Post by: Textaris(txt*bot) on Dezember 31, 2009, 09:30:06 vorm.
Quote
[...] Unbekannte Täter haben sich Zugriff auf die Datenbestände des Mailing-Dienstleisters AWeber Communications verschafft. Kurz vor Weihnachten gestand das Unternehmen aus dem US-Bundesstaat Pennsylvania den Lesern seines Blogs, dass vermutlich eine Bande aus Übersee Listen von E-Mail-Adressen abgegriffen habe, die AWeber-Kunden für deren Newsletter-Aussendungen hinterlegt hatten.

Wann und wie lange die nach eigenen Angaben inzwischen geschlossene Sicherheitslücke existierte, ließ AWeber offen. Das eigene Versandsystem sei nicht missbraucht worden. Man habe jedoch Hinweise darauf erhalten, dass bereits einige der ehemals intern vorgehaltenen Mailadressen zum Ziel von Spam-Aussendungen Dritter geworden seien. Laut AWeber sind ausschließlich Mailinglisten betroffen, also E-Mail-Adressen von Werbeempfängern, und keinerlei andere persönliche Daten wie Kreditkartennummern. Auch die Daten der Auftraggeber seien nicht in falsche Hände geraten, beruhigt das Unternehmen seine Kunden.

Dennoch dürfte denen nun eine unruhige Zeit bevorstehen. Sie müssen den Empfängern der eigenen Mailings erklären, warum sie eventuell plötzlich ganz andersartige und viel mehr Werbung erhalten. Wie viele Mail-Anwender letztlich betroffen sind, ist noch offen. Die Branchenbeobachter von Deliverability.com vermuten, dass es sich um den bisher schwerwiegendsten Fall dieser Art handelt. (un)

Quote
30. Dezember 2009 04:41
@Heise.de macht mal einen Einkauf bei www.conrad.de, dort schiebt
ma. (67 Beiträge seit 08.08.07)

man dem Kunden Vertragsklauseln unter, die das Abfließen der Daten
heimtückisch legalisieren.

Während beim Einloggen/Adresseingabe noch mit
"Ihre persönlichen Daten werden SSL-verschlüsselt übertragen und
nicht an Dritte weitergegeben." der Kunde beruhigt wird,
nickt der Kunde unfreiwillig in den AGB dann den Verkauf seiner Daten
ab:

"13.3
Wir behalten es uns vor, anderen Unternehmen in zulässiger Weise Ihre
Daten zur postalischen Versendung von Informationsmaterial zu
überlassen und behalten uns vor, diese postalisch auch zu eigenen
Werbezwecken zu nutzen. ..."

Verärgert habe ich conrad.de zum Löschung meiner Daten aufgefordert.
Das hat man dann angeblich auch gemacht.
Jedoch, ein Einkauf nach 2 Monaten in einem  Conrad-Geschäft vor Ort
zeigte dann, dass meine Daten sehr wohl noch in der Conrad-EDV sind.

Vielleicht haben Sie ja Lust das Kundenunfreundliche Verhalten von
Conrad öffentlich zu machen.

Quote
30. Dezember 2009 06:46
Re: @Heise.de macht mal einen Einkauf bei www.conrad.de, dort schiebt
Doronava (mehr als 1000 Beiträge seit 05.11.02)

Deine Kundendaten dürfen die nicht einfach
löschen. Auch wenn du das 100x verlangst.

Denn wie du vielleicht weisst, muss ein
Unternehmen(und nicht nur) alle geschäftlichen
Vorgänge und Unterlagen(und dazu gehören eben
auch alle Käufe die du bei Conrad getätigt
hast...inkl. deiner Kundendaten) bis zu
10 Jahre aufbewahren.
Das ist gesetzlich vorgeschrieben.
Damit der Fiskus überprüfen kann, ob Conrad
auch schön brav und korrekt seine Steuern zahlt.

Du kannst nur der Weitergabe deiner Daten an
Dritte widersprechen und dir unerwünschte Werbung
verbitten. Ansonsten hilft nur:  10 Jahre lang nix
mehr bei Conrad kaufen...dann verschwindest du von
ganz  alleine aus deren Datenbestand.

Und das ist nicht nur bei Conrad so, sondern bei *jeder*
Firma, bei der du mal irgend einen Geschäftsvorgang
ausgelöst hast.Und sei es auch nur der Supermarkt um
die Ecke, bei der du einen Einkauf mit deiner EC-Karte
bezahlt hast. Auch dort bist zu 10 Jahre lang gespeichert.


Quote
30. Dezember 2009 14:38
welche Weitergabe ist denn "zulässig"?
bgks (mehr als 1000 Beiträge seit 10.02.03)

> Ja, ist aber doch schon ein Ding, dass man da erst widersprechen
> muss, oder? Ich finde generell, da läuft was falsch.

findet der Gesetzgeber ganz generell auch, was das "in zulässiger
Weise" auf in etwa null reduziert. Genau deswegen mußt du da nicht
extra widersprechen. Ist in gewisser Weise technikermäßig
überkorrekt, daß sie überhaupt fragen.




Aus: "Marketing-Dienstleister ließ Daten abfließen" (29.12.2009)
Quelle: http://www.heise.de/newsticker/meldung/Marketing-Dienstleister-liess-Daten-abfliessen-893650.html (http://www.heise.de/newsticker/meldung/Marketing-Dienstleister-liess-Daten-abfliessen-893650.html)

Title: [Inzwischen gehen Experten davon aus... (Deutschen Telekom)]
Post by: Textaris(txt*bot) on Januar 13, 2010, 11:41:33 vorm.
Quote
[...] Es geht um einen der größten Datenskandale in der Geschichte Deutschlands. Als die WirtschaftsWoche im Dezember 2008 aufdeckte, dass auf dem Schwarzmarkt die Daten und Kontoverbindungen von 21 Millionen Deutschen vagabundieren, gab es erste Hinweise auf gravierende Lücken bei der Deutschen Telekom (WirtschaftsWoche 50/2008). Inzwischen gehen Experten davon aus, dass große Teile des Datenbestandes des Konzerns in Deutschland – 39 Millionen Mobilfunk-, 27 Millionen Festnetz- und 11 Millionen Internet-Kunden – in irgendeiner Form in dubiose Hände geraten sind. Der Diebstahl und Missbrauch von 20 Millionen Kundendaten ist bereits Gegenstand von Ermittlungen der Staatsanwaltschaft Bonn.

...



Aus: "Deutsche Telekom  Telekom-Skandale: Die Ermittlungsakten der Staatsanwälte" (11.01.2010)
Michael Kroker (Düsseldorf), Jürgen Berke (Düsseldorf)
Quelle: http://www.wiwo.de/unternehmen-maerkte/telekom-skandale-die-ermittlungsakten-der-staatsanwaelte-418662/ (http://www.wiwo.de/unternehmen-maerkte/telekom-skandale-die-ermittlungsakten-der-staatsanwaelte-418662/)

Title: [Die Hilfskräfte hätten...]
Post by: Textaris(txt*bot) on Februar 11, 2010, 04:36:47 nachm.
Quote
FRANKFURT/BERLIN (dpa) [...] Nach Recherchen des TV-Magazins hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefonhotline betraut. Diese habe ein Subunternehmen angeheuert, das ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten von privaten Computern oder Laptops unter anderem medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei beim Schutz personenbezogener Daten offensichtlich vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen.

Die BKK Gesundheitskasse hat nach eigenen Angaben die Staatsanwaltschaft eingeschaltet. Ein unbekannter Mann habe in der vergangenen Woche telefonisch Unterlagen zum Kauf angeboten, sagte der Sprecher der Kasse. Konkrete Angaben zu den Daten seien nicht gemacht worden. Der Mann habe damit gedroht, die Unterlagen zu veröffentlichen. Auf das Angebot sei man jedoch nicht eingegangen, so der Sprecher. Wie viel Geld der Unbekannte fordert, sei nicht bekannt.

Ob tatsächlich Daten in unbefugte Hände gelangt sind, sei derzeit nicht bewiesen. Allerdings habe die Krankenkasse der Firma, die mit der Betreuung der Telefonhotline beauftragt war, den Zugang zu ihrem Rechner am Dienstag entzogen. Das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte und das Bundesversicherungsamt seien informiert worden.


Aus: "Offenbar großes Datenleck bei BKK Gesundheitskasse" (Ärzte Zeitung, 11.02.2010)
Quelle: http://www.aerztezeitung.de/praxis_wirtschaft/recht/article/588250/offenbar-grosses-datenleck-bkk-gesundheitskasse.html (http://www.aerztezeitung.de/praxis_wirtschaft/recht/article/588250/offenbar-grosses-datenleck-bkk-gesundheitskasse.html)

Title: [Bei der staatlichen Steuerbehörde... (Lettland)]
Post by: Textaris(txt*bot) on Februar 17, 2010, 10:15:00 vorm.
Quote
[...] In Lettland ist eine gigantische Datensicherheitslücke bei der staatlichen Steuerbehörde aufgeflogen. Laut einem Fernsehbericht könnten Millionen sensibler Datensätze in die Hände von Internet-Kriminellen geraten sein.

Der lettische Wirtschaftsminister Einars Repse erklärte das Leck am Montag für gestopft und versprach Aufklärung. Am Mittwoch will sich das Nationale Sicherheitskomitee in Riga mit der Affäre beschäftigen.

...


Aus: "Datenleck bei lettischem Finanzamt - Freier Web-Zugriff auf Millionen Steuerdatensätze" (16.02.2010)
Quelle: http://futurezone.orf.at/stories/1639483/ (http://futurezone.orf.at/stories/1639483/)

Title: [Name, Adresse und Telefonnummer...]
Post by: Textaris(txt*bot) on M?RZ 16, 2010, 09:40:46 vorm.
Quote
[...] In Deutschland sollen rund 200.000 vertrauliche Kundendaten des Telekommunikationsanbieters Vodafone und weiterer Firmen über dubiose Callcenter-Betreiber auf dem Schwarzmarkt gelandet sein.

Die Daten stammten aus dem Jahr 2000 und umfassten Name, Adresse und Telefonnummer, berichtete das Wirtschaftsmagazin "Capital" unter Berufung auf Ermittlungen der Staatsanwaltschaft Bonn. Informationen über Kontodaten seien nicht in Umlauf gekommen. Datenlecks gab es "Capital" zufolge auch beim Kabelnetzbetreiber Unitymedia. Der Bonner Oberstaatsanwalt Fred Apostel bestätigte dem Magazin, dass "verschiedene Telekommunikations- und Kabelnetzanbieter betroffen" seien.

Vodafone Deutschland räumte dem Bericht zufolge ein, von den Behörden schon im November 2009 über den Datenklau informiert worden zu sein. Man habe aber bisher nichts unternommen, da die Datensätze bisher nicht übermittelt worden seien. Daher konnten betroffene Kunden nicht durch Vodafone informiert werden." Es handelt sich um Daten der Arcor AG, die 2008 von Vodafone übernommen wurde.

Dem Magazin zufolge sei zudem heikel, dass nicht die Strafverfolgungsbehörden, sondern die Deutsche Telekom den Datenmissbrauch entdeckte. Die Ermittler hatten dem Konzern Stichproben der sichergestellten Datensätze zur Prüfung zugeschickt. Erst dabei fiel auf, dass darunter auch Kunden der Wettbewerber waren. "Wir sind davon ausgegangen, dass es sich ausschließlich um Telekomdaten handelt", erklärte Staatsanwalt Apostel.

Im Oktober 2008 war der bisher größte Datenklau bei der Telekom bekanntgeworden. Dort waren im Jahr 2006 Datensätze von 17 Millionen Mobilfunkkunden entwendet worden. Der Konzern hatte damals zwar die Staatsanwaltschaft eingeschaltete, die Betroffenen aber nicht informiert.


Aus: "Datenlecks auch bei Vodafone" (15.03.2010)
Quelle: http://futurezone.orf.at/stories/1641798/ (http://futurezone.orf.at/stories/1641798/)

http://www.capital.de/unternehmen/100028948.html (http://www.capital.de/unternehmen/100028948.html)

Title: [Sensible Airbus-Daten...]
Post by: Textaris(txt*bot) on April 12, 2010, 09:20:53 vorm.
Quote
[...] Unbekannte sollen aus der Konzernzentrale des Flugzeugbauers Airbus tragbare Computer mit sensiblen Daten gestohlen haben. Die Diebe drangen nachts bei dem Unternehmen im französischen Toulouse ein und entwendeten zwei Laptops, berichtete die Zeitung Le Parisien. Auf ihnen sollen sich unter anderem Baupläne und Daten zu den Flugzeugmodellen A330, A340 und A350 befunden haben.

Nach Informationen der Zeitung ist der französische Inlandsgeheimdienst DCRI eingeschaltet. Industriespionage könne nicht ausgeschlossen werden, berichtet das Blatt. Airbus hat sich dazu bislang nicht geäußert. (dpa) / (anw)




Aus: "Bericht: Unbekannte stehlen sensible Airbus-Daten" (11.04.2010)
Quelle: http://www.heise.de/newsticker/meldung/Bericht-Unbekannte-stehlen-sensible-Airbus-Daten-974970.html (http://www.heise.de/newsticker/meldung/Bericht-Unbekannte-stehlen-sensible-Airbus-Daten-974970.html)

Title: [Die Zeit informierte Abonnenten...]
Post by: Textaris(txt*bot) on Oktober 13, 2010, 09:27:53 vorm.
Quote
[...] Hamburg - Die Hamburger Wochenzeitung "Die Zeit" informierte Abonnenten, dass ihre Kundendatenbank gehackt wurde. Namen, Adressen, Kontodaten von sogenannten Premium-Kunden wurden ausspioniert.

Der Verlag will die Daten nun "vor weiteren Zugriffen gesichert" haben. (red/DER STANDARD; Printausgabe, 11.10.2010)

...


Aus: "Abonnenten-Datenbank der "Zeit" gehackt" (10. Oktober 2010)
Quelle: http://derstandard.at/1285200488355/Spionage-Abonnenten-Datenbank-der-Zeit-gehackt (http://derstandard.at/1285200488355/Spionage-Abonnenten-Datenbank-der-Zeit-gehackt)

Title: [Insgesamt seien rund 35.000 Scannerbilder...]
Post by: Textaris(txt*bot) on November 17, 2010, 04:44:22 nachm.
Quote
[...] Die für Sicherheit im Luftverkehr zuständige US-Behörde TSA (Transportation Security Administration) verbürgt sich für die Datensicherheit ihrer Körperscanner. Bilder, welche von den Scannern an US-Flughäfen von Passagieren während der Sicherheitskontrollen aufgenommen werden, "werden automatisch vom System gelöscht, sobald sie von einem Sicherheitsbeamten freigegeben werden", so das TSA-Reglement. Der US-Tech-Blog Gizmodo hat nun aber herausgefunden, dass diese Regel wohl nicht überall praktiziert wird. Ausgerechnet die Sicherheitsbeamten eines Gerichtsgebäudes haben Tausende solcher Bilder archiviert.

Die für den Betrieb der Sicherheitsschleusen zuständigen U.S. Marshals hatten ihren Fauxpas bereits im August eingestanden. Insgesamt seien rund 35.000 Scannerbilder eines Nacktscanners an einem Gericht in Orlando in Florida gespeichert worden, hieß es in einer Erklärung. Warum, ist nach wie vor unklar - es könnte an einer Fehlbedienung oder aber an falschen Voreinstellungen des entsprechenden Scanners liegen. Dass diese Bilder nun auch öffentlich werden, war jedenfalls nicht vorgesehen. Laut dem Tech-Blog Gizmodo sind die Fotos über eine Anfrage nach dem Freedom of Information Act (FOIA) publik geworden. Der FOIA gesteht US-Bürgern das Recht zu, alle von öffentlichen Einrichtungen gesammelten Daten einzusehen.

...


Aus: "Streit um Körperscanner - Hundert nackte Amerikaner im Netz" (17.11.2010)
Quelle: http://www.spiegel.de/netzwelt/gadgets/0,1518,729591,00.html (http://www.spiegel.de/netzwelt/gadgets/0,1518,729591,00.html)

Title: [Die Datenbank eines US-Sheriffs war...]
Post by: Textaris(txt*bot) on Dezember 13, 2010, 10:37:16 vorm.
Quote
[...] Die Online-Datenbank eines Sheriffs aus Colorado war durch ein Versehen vom April bis zum 24. November ungeschützt im Netz erreichbar. Nach Behördenberichten sollen in dieser Zeit die Identitäten von geheimen Informanten aus dem Drogenmilieu sowie Telefonnummern und Adressen von Tatverdächtigen, Geschädigten und Zeugen frei zugänglich gewesen sein. Aufgefallen war das Datenleck erst, nachdem einige Betroffene zufällig ihre Namen im Internet gefunden hatten.

Von der Datenpanne sind möglicherweise rund 200 000 Personen betroffen. Nun soll eingehend überprüft werden, ob durch die Panne jemand in Gefahr gebracht worden ist. Das FBI will zusammen mit Google untersuchen, wer auf die Daten zugegriffen haben könnte.

...



Aus: "Datenbank eines US-Sheriffs war monatelang frei zugänglich" (11.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Datenbank-eines-US-Sheriffs-war-monatelang-frei-zugaenglich-1151580.html (http://www.heise.de/newsticker/meldung/Datenbank-eines-US-Sheriffs-war-monatelang-frei-zugaenglich-1151580.html)



Title: [Sicherheitsdienstleister sind offenbar...]
Post by: Textaris(txt*bot) on April 13, 2011, 10:27:59 vorm.
Quote
[...] Kriminelle haben vergangenen Samstag die Website der US-Sicherheitsfirma Barracuda Networks gehackt und dabei Kunden- und Mitarbeiterdaten entwendet, wie das Unternehmen berichtet. Die Eindringlinge haben die Datenbank als Beweis auszugsweise veröffentlicht. Barracuda hat sich auf Absicherung von Servern und Webapplikationen spezialisiert und ist nach eigenen Angaben "der weltweite Marktführer für E-Mail- und Web-Sicherheit".

Der Einbruch gelang durch eine SQL-Injection-Lücke in einem PHP-Script, das für die Darstellung der Kundenreferenzen verantwortlich ist. Unter den gestohlenen Daten befinden sich neben Namen und Mailadressen auch Passwort-Hashes, welche laut Barracuda jedoch gesalzen seien und somit nur mit erheblichem Aufwand zu knacken sind.

Das Unternehmen berichtet, dass der Webauftritt zwar von der firmeneigenen Web Application Firewall geschützt werde, diese jedoch für Wartungsarbeiten am Abend vor dem Angriff heruntergefahren wurde. Der Angreifer hat ein Script eingesetzt, das über die Dauer von zwei Stunden Anfragen an den Server schickte, ehe es schließlich die verwundbare Stelle entdeckte. Sicherheitsdienstleister sind offenbar ein besonders reizvolles Angriffsziel – auch HBGary, RSA und Comodo musste vor Kurzem dran glauben. (rei)


Aus: "Datendiebstahl bei Netzwerk-Sicherheitsfirma" (12.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datendiebstahl-bei-Netzwerk-Sicherheitsfirma-1226365.html (http://www.heise.de/newsticker/meldung/Datendiebstahl-bei-Netzwerk-Sicherheitsfirma-1226365.html)

Title: [Daten von Millionen Kunden...]
Post by: Textaris(txt*bot) on April 27, 2011, 09:23:34 vorm.
Quote
[...] Rund eine Woche, nachdem Sony sein Playstation Network und den Video- und Musikservice Qriocity abgeschaltet hat, gab der Elektronikkonzern am Dienstagabend in seinem offiziellen Playstation-Blog eine Erklärung zu dem Vorfall ab. Hatte Sony bislang zuvor lediglich von einem "externen Eingriff" gesprochen, teilte das Unternehmen nun mit, dass man davon ausgehe, dass sich zwischen dem 17. und 19. April 2011 eine "unbefugte Person" Zugriff auf die persönlichen Daten der Nutzer der genannten Netzwerke verschaffen konnte – darunter auf deren Namen, Anschrift und Geburtsdatum sowie Log-in und Passwort. Darüber hinaus könne es laut Sony möglich sein, dass auch die Profilangaben inklusive Kaufhistorie und Rechnungsanschrift sowie die Sicherheitsfragen zum Passwort widerrechtlich abgerufen wurden.

Damit nicht genug, schließt Sony auch nicht aus, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurde.

... Laut Sony nutzen 77 Millionen Kunden in 59 Ländern das PlayStation Network, davon rund 32 Millionen in Europa. Experten sprechen bei dem nun erfolgten Angriff bereits von einem der schwersten Datendiebstähle der vergangenen Jahre ...

(nij)


Aus: "PSN-Hack: Persönliche Daten von Millionen Kunden gestohlen" (27.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/PSN-Hack-Persoenliche-Daten-von-Millionen-Kunden-gestohlen-1233136.html (http://www.heise.de/newsticker/meldung/PSN-Hack-Persoenliche-Daten-von-Millionen-Kunden-gestohlen-1233136.html)

Title: [360.083 Kundendaten...]
Post by: Textaris(txt*bot) on Juni 27, 2011, 09:26:05 vorm.
Quote
[...] Nachdem unbekannte Hacker am 10. Mai 360.083 Kundendaten von den US-Servern der Citibank mittels eines simplen URL-Tricks erbeutet hatten, haben die Einbrecher nun damit begonnen, die Konten der Betroffenen zu plündern. Wie das Wall Street Journal meldet, seien inzwischen 3.400 Konten um insgesamt 2,7 Millionen US-Dollar erleichtert worden.

Bei dem Einbruch hätten die Angreifer laut Citigroup Namen, Kontonummern, Mailadressen und Kaufhistorien von fast 2 Prozent der rund 21 Millionen Kreditkartenkunden in Nordamerika erbeutet. Dazu nutzten sie eine Lücke im Webserver aus, der den Zugriff auf Kontodaten über eine simple Änderung der URL ermöglichte. Obwohl die Hacker angeblich weder auf die rückseitigen Sicherheitscodes der Kreditkarten, Sozialversicherungsnummern noch Geburtsdaten Zugriff gehabt hätten, konnten sie von den bis jetzt betroffenen Konnten durchschnittlich fast 800 US-Dollar abheben. Die Citigroup hatte den Einbruch bei einer Routine-Kontrolle bemerkt und erst am 8. Juni öffentlich bekannt gegeben. Sie kündigte an, für den Schaden aufkommen zu wollen. Insgesamt sollen mit 217.657 aber nur rund zwei Drittel der betroffenen Kreditkarten neu ausgestellt werden. (hag)

 


Aus: "Datendiebe erbeuten 2,7 Millionen US-Dollar von Citibank-Kunden" (26.06.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datendiebe-erbeuten-2-7-Millionen-US-Dollar-von-Citibank-Kunden-1268108.html (http://www.heise.de/newsticker/meldung/Datendiebe-erbeuten-2-7-Millionen-US-Dollar-von-Citibank-Kunden-1268108.html)
Title: [Das BSI äußerte gegenüber Focus Online...]
Post by: Textaris(txt*bot) on Juli 19, 2011, 09:38:37 vorm.
Quote
[...] Die "No Name Crew", die vor Kurzem vertrauliche Daten über das GPS-Ortungssystem "Patras" der Zollfahndung veröffentlicht hat, droht mit der Veröffentlichung eines weiteren Datenpakets. Das soll am 28. Juli um Mitternacht erfolgen, im Visier ist angeblich ein Ziel auf Bundesebene. Angeblich befinden sich unter den Daten vertrauliche wie Mails der Behörden. Nach eigenen Angaben haben die Hacker "seit einiger Zeit die volle Kontrolle über den zentralen Downloadserver der Bundespolizei" und konnten über den Zeitraum von einem Jahr den Netzwerkverkehr von Bundeskriminalamt, Bundespolizei und Zoll mitschneiden.

Um sich vor Verhaftungen zu schützen, haben die Hacker nach Wikileaks-Manier ein 717 MByte großes verschlüsseltes Archiv ins Netz gestellt. Die Kriminellen drohen, dass ein Automatismus das Passwort zu dem Archiv publik macht, sollte ein Mitglied der Gruppe verhaftet werden. Dies könnte jetzt der Fall sein, denn das Landeskriminalamt NRW meldet am heutigen Montag, dass ein 23 Jahre alter Deutscher wegen des Verdachts des Ausspähens von Daten, der Datenveränderung und der Computersabotage festgenommen wurde. In seiner Wohnung wurden Beweismittel sichergestellt. Laut Focus Online sind insgesamt die Identitäten dreier mutmaßlicher Mitglieder bekannt.

Derzeit ist das vom BSI betriebene Cyber-Abwehrzentrum mit der Analyse des Falls beschäftigt. Dass die Angreifer im Besitzer weiterer brisanter Daten sind, konnte auch Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber heise Security nicht ausschließen. Focus Online zitiert einen ranghohen Sicherheitsbeamten mit der Befürchtung, dass hunderte geheime Ermittlungsverfahren im Internet auftauchen könnten.

Laut der geheimen Ermittlungsakten, die dem Magazin vorliegen, gelang der Zugriff durch Versäumnisse bei der Bundespolizei-Kaserne in Swisttal-Heimerzheim (NRW). So nutzte die Behörde aus Kostengründen die Apache-Komplettinstallation XAMPP. Das Paket soll Anfängern und Fortgeschrittenen einen einfachen Einstieg in die Welt von Apache ohne große Konfigurationshürden bieten. Die XAMPP-Entwickler warnen jedoch ausdrücklich, dass die Standardeinstellungen nicht für den produktiven Einsatz geeignet sind: "XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. […] XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktionsbetrieb geeignet."

Darüber konnten die Angreifer mindestens 42 Trojaner auf den Systemen der Behörden deponieren. Das BSI äußerte gegenüber Focus Online, dass es bereits seit Herbst vergangenen Jahres Zugriffe auf die Infrastruktur von ZKA und Bundespolizei gibt, die man der No Name Crew zuordnen könne. (mit Material von dpa) (rei)

Quote
18. Juli 2011 14:39
Aus dem Tag der offenen Tür bei den Bullen ...
BasisDemokrat (mehr als 1000 Beiträge seit 29.10.00)

... ist inzwischen das Jahr der heruntergelassenen Hose geworden.

Schon aus diesem Grund darf es nie so etwas wie die
Vorratsdatenspeicherung geben. Denn es ist schlimm genug für die
Betroffenen, wenn die im Rahmen von Ermittlungsverfahren gesammelten
Daten irreversibel in die Öffentlichkeit gelangen. Was passiert, wenn
Arbeitgeber, Vermieter, politische Gegner etc. diese Daten in die
Finger bekommen?

Schönen Tag wünscht
BasisDemokrat


Quote
18. Juli 2011 14:47
Ach hätte man doch Stoppschilder …
dedlfix (54 Beiträge seit 31.08.02)

… vor die Server gestellt, dann wäre das alles nie und nimmer nicht
passiert.


Quote
18. Juli 2011 16:09
"Laut der geheimen Ermittlungsakten, die dem Magazin (Focus) vorliegen"
Exkanzler

Ich bin beeindruckt, wie dehnbar das Wort "geheim" wohl sein muss.



Aus: "Verhaftung und weitere Drohungen im Fall der Polizei-Hacker" (18.07.2011)
Quelle: http://www.heise.de/security/meldung/Verhaftung-und-weitere-Drohungen-im-Fall-der-Polizei-Hacker-1280743.html (http://www.heise.de/security/meldung/Verhaftung-und-weitere-Drohungen-im-Fall-der-Polizei-Hacker-1280743.html)

Title: [Nun lassen Sie uns sagen, was wir inakzeptabel finden...]
Post by: Textaris(txt*bot) on Juli 22, 2011, 11:44:47 vorm.
Quote
[...] Hamburg - Anonymous will in den nächsten Tagen geheime Nato-Dokumente veröffentlichen, wie die Hacker über Twitter wissen lassen: "Ja, wir haben die Nato geknackt. Freut euch auf interessante Daten in den nächsten Tagen", kündigen die Unbekannten an.

... Anfang der Woche nahmen Ermittler in den USA und Europa insgesamt 21 Tatverdächtige fest , 14 davon sollen Anonymous-Aktivisten sein, die im letzten Winter bei Protest-Aktionen aus Sympathie mit WikiLeaks Server vom Bezahldienst PayPal lahmgelegt hatten.

kad/ap/dpa


Aus: "Hacker wollen massenweise Nato-Daten geklaut haben" (21.07.2011)
Quelle:  http://www.spiegel.de/netzwelt/web/0,1518,775811,00.html (http://www.spiegel.de/netzwelt/web/0,1518,775811,00.html)

-.-

Quote
[...] Das Hacktivisten-Kollektiv Anonymous gab über Twitter bekannt, zahlreiche geheime Dokumente von einem Server der NATO kopiert zu haben. Als Beweis hat Anonymous zwei PDF-Dokumente der NATO aus den Jahren 2007 und 2008 veröffentlicht, die angeblich von der NATO stammen. Die Klassifizierung "Nato restricted" lässt darauf schließen, dass die Dokumente nur zur Weitergabe innerhalb der Organisation bestimmt sind, sofern sie echt sind. Insgesamt wollen die Hacktivisten Daten im Umfang von einem Gigabyte kopiert haben. Das meiste Material könne jedoch nicht veröffentlicht werden, weil dies "unverantwortlich" wäre, erklärte Anonymous.

Ein weiteres veröffentlichtes Dokument trägt den Titel "Sicherheit innerhalb der NATO" und ist auf das Jahr 2002 datiert, jedoch nicht als geheim eingestuft. "Es scheint, als hätte das niemals jemand gelesen", spottet die Gruppe. Der Servereinbruch soll durch eine simple SQL-Injection gelungen sein. Weitere "interessante Daten" will Anonymous im Laufe der nächsten Tage ins Netz stellen.

Die NATO bestätigte die Echtheit der Dokumente bislang nicht. Jedoch hat das Militärbündnis umgehend Sicherheitsexperten mit der Analyse des Falls beauftragt, wie ein NATO-Sprecher gegenüber der dpa bekanntgab. "Wir verurteilen aufs Schärfste die Veröffentlichung von Dokumenten, die als geheim eingestuft sind. Das ist eine potenzielle Gefahr für die Sicherheit der Nato-Verbündeten, der Streitkräfte und Bürger", erklärte der Sprecher.

Inzwischen haben die Hacktivisten auch auf die Festnahme von insgesamt 21 mutmaßlichen Anonymous-Mitgliedern in den USA, Großbritannien und den Niederlanden reagiert. Gemeinsam mit der verbündeten Gruppierung LulzSec veröffentlichten sie eine Antwort auf eine Stellungnahme des stellvertretenden FBI-Direktors Steve Chabinsky. Man nehme zur Kenntnis, dass dieser "Chaos im Internet als inakzeptabel" bezeichnet habe, heißt es in der Erklärung. "Nun lassen Sie uns sagen, was wir inakzeptabel finden: dass Regierungen ihre Bürger belügen, Angst und Schrecken verbreiten, um sie unter Kontrolle zu halten, indem ihre Freiheit Stück für Stück abgebaut wird." Diese Regierungen und die mit ihnen zusammenarbeitenden Konzerne seien der Feind der Hacktivisten. "Wir werden sie weiter bekämpfen, mit allen uns zur Verfügung stehenden Mitteln."

Bei den am Dienstag festgenommenen Verdächtigen soll es sich zum größten Teil um Personen handeln, die zur Unterstützung der Enthüllungsplattform Wikileaks an Denial-of-Service-Attacken gegen Finanzunternehmen wie PayPal, Mastercard und Visa mitgewirkt haben. (rei)

Quote
22. Juli 2011 06:52
Was ist mit den fremden Geheimdiensten, die VORHER drauf waren?
snopo (mehr als 1000 Beiträge seit 28.03.04)

Wenn das wirklich so einfach (SQL-Injection - ich bitte Euch!) und
das Material so brisant war, was haben dann andere Geheimdienste und
Kriminelle schon vorher ganz im Stillen abgezogen?

Allein dafür ist es schon richtig, dass es eine Gruppe wie Anonymous
gibt - mag man nun mit deren Argumenten übereinstimmen oder nicht.

Wenn solche Sicherheitslücken existieren, dann ist DAS "ist eine
potenzielle Gefahr für Verbündete und Bürger" und nicht der Hack!



Aus: "Anonymous-Hack gegen NATO-Server" (21.07.2011)
Quelle: http://www.heise.de/newsticker/meldung/Anonymous-Hack-gegen-NATO-Server-1283805.html (http://www.heise.de/newsticker/meldung/Anonymous-Hack-gegen-NATO-Server-1283805.html)

Title: [Vielmehr sind wir zufällig darüber gestolpert...]
Post by: Textaris(txt*bot) on September 29, 2011, 09:30:58 vorm.
Quote
[...] Der österreichische Zweig der Hackergruppe Anonymous, AnonAustria, ist nach eigenen Angaben im Besitz von 600.000 Datensätzen mit Angaben zu Versicherten der Tiroler Gebietskrankenkasse (TGKK). Auch Prominente wie der Schlagersänger Hansi Hinterseer, der Schauspieler Tobias Moretti und die Skirennfahrerin Nicole Hosp sollen darunter sein.

An die Daten der Innsbrucker Krankenkasse ist AnonAustria offenbar nicht durch einen Hackerangriff gekommen. "Um das gleich klarzustellen: Es fand von unserer Seite KEIN Hack oder ähnliches statt. Vielmehr sind wir zufällig darüber gestolpert", schrieb AnonAustria in ihrem Twitter-Account. Eine Veröffentlichung der gesamten Datenbank schließt AnonAustria aus: "Es wird von uns KEINEN Release geben."

Die TGKK erstattete Anzeige gegen Unbekannt. Es seien keine Daten zu Krankengeschichten betroffen, sagte ihr Obmann Michael Huber. Die doppelte Firewall sei nicht geknackt worden.

Die Homepage der TGKK war am Abend wegen "geplanter Wartungsarbeiten" nicht verfügbar.

AnonAustria hatte am Montag die Datensätze von etwa 25.000 Polizeiangehörigen veröffentlicht. Diese Daten sollen aber durch eine undichte Stelle in einem polizeinahen Verein an die Hacker weiter gereicht worden sein. Einen ähnlichen Weg sollen die Daten der TGKK genommen haben.




Aus: "Hackergruppe AnonAustria hat Hundertausende Versicherten-Datensätze" (28.9.2011)
Quelle: http://www.zeit.de/digital/datenschutz/2011-09/anonymous-anonaustria-datensatz (http://www.zeit.de/digital/datenschutz/2011-09/anonymous-anonaustria-datensatz)

Title: [Einwohnermelderegister mit Stand aus dem Jahr 2006...]
Post by: Textaris(txt*bot) on Oktober 25, 2011, 09:54:28 vorm.
Quote
[...] In Israel ist eine Datenbank des dortigen Einwohnermelderegister mit Stand aus dem Jahr 2006 im Internet veröffentlicht worden. In der Datenbank stehen Informationen zu rund neun Millionen israelische Bürger, einige davon sind aber mittlerweile verstorben. Zu den Datensätzen gehören u.a. Name, Familienstand, persönliche Identifikationsnummer und noch mehr personenbezogene Informationen. Haaretz berichtet über den Fall: Authorities find source that leaked every Israeli’s personal information online.

http://www.haaretz.com/news/national/authorities-find-source-that-leaked-every-israeli-s-personal-information-online-1.391714 (http://www.haaretz.com/news/national/authorities-find-source-that-leaked-every-israeli-s-personal-information-online-1.391714)

Ein früherer Mitarbeiter des Sozialhilfe-Ministeriums hatte Zugriff auf die Daten und hat diese an ein Unternehmen verkauft. Von dort sind sie dann irgendwie ins Netz gekommen. Die israelischen Sicherheitsbehörden versuchen jetzt wohl an jede einzelne Kopie zu kommen.

...


Aus: "Datenbank des israelischen Einwohnermeldeamt im Netz"
Von markus | Veröffentlicht am: 24.10.2011
Quelle: http://netzpolitik.org/2011/datenbank-des-israelischen-einwohnermeldeamt-im-netz/ (http://netzpolitik.org/2011/datenbank-des-israelischen-einwohnermeldeamt-im-netz/)

Title: [Rund 2500 hochsensible Patientendaten...]
Post by: Textaris(txt*bot) on November 04, 2011, 10:54:11 vorm.
Quote
[...] Rund 2500 hochsensible Patientendaten psychisch schwer kranker Menschen aus Schleswig-Holstein sind frei im Internet abrufbar gewesen. "Wir haben die Daten gesichert und die Firma kontaktiert", sagte der Kieler Landesdatenschutzbeauftragte Thilo Weichert am Donnerstag. Zuvor hatten die Lübecker Nachrichten berichtet, dass Behörden- und Klinikbriefe, medizinische Befunde und psychologische Dokumentationen sogar heruntergeladen werden konnten.


Auslöser sei eine Sicherheitslücke bei einem Internetdienstleister in Rendsburg gewesen, der Datenbanken für insgesamt fünf soziale Dienste und Behörden in ganz Deutschland betreibe. "Wir haben bislang keine Erklärung, wie das passieren konnte", sagte ein Firmensprecher der Zeitung.

Nach Recherchen des Blattes waren die Daten offenbar monatelang einsehbar. "Für uns waren die Daten abrufbar", sagte Weichert. "Wie lange dieses Loch bestanden hat, können wir aber noch nicht sagen." Es werde nun ermittelt. Einen vergleichbaren Fall habe es in Schleswig-Holstein noch nicht gegeben. Nach den Angaben der Zeitung hat der Betreiber den Server nach einem Hinweis der Zeitung aus Sicherheitsgründen vorübergehend komplett abschaltet. (dpa) / (anw)




Aus: "Datenpanne mit sensiblen Patientendaten" (04.11.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datenpanne-mit-sensiblen-Patientendaten-1371540.html (http://www.heise.de/newsticker/meldung/Datenpanne-mit-sensiblen-Patientendaten-1371540.html)

Title: [Woher die Zugangsdaten stammen, ist unklar...]
Post by: Textaris(txt*bot) on November 30, 2011, 09:05:46 vorm.
Quote
[...] Eine Hackergruppe mit dem Namen Teampoison hat Zugangsdaten und E-Mail-Adressen von mehreren hundert UN-Mitarbeitern im Internet veröffentlicht. Woher die Zugangsdaten stammen, ist unklar. Da viele der E-Mail-Adressen zum United Nations Development Program (UNDP) gehören, stammen sie möglicherweise aus einem Einbruch in einen Server dieses Programms.

Sofern die Daten aus einem Einbruch stammen, scheint es keine besonderen Passwortrichtlinien bei der UN zu geben: Weder wurden die Passwörter verschlüsselt gespeichert, noch müssen sie eine Mindestlänge aufweisen. Einige Konten haben offenbar überhaupt kein Passwort.

In ihrem Manifest auf Pastebin prangert die Hackergruppe die UN als "bürokratischen Kopf der NATO" und "Versammlung der globalen Korruption" an. (dab)


Quote
29. November 2011 14:45
Hacker und Cracker sind zwei ganz verschiedene Dinge.
language

Es gibt anscheinend immer noch Leute bei Heise, die das nicht
kapieren.  Wird aber Zeit.




Aus: "Hacker veröffentlichen Zugangsdaten von UN-Mitarbeitern" (29.11.2011)
Quelle: http://www.heise.de/newsticker/meldung/Hacker-veroeffentlichen-Zugangsdaten-von-UN-Mitarbeitern-1386875.html (http://www.heise.de/newsticker/meldung/Hacker-veroeffentlichen-Zugangsdaten-von-UN-Mitarbeitern-1386875.html)

Title: [Kredikartendaten...]
Post by: Textaris(txt*bot) on Januar 05, 2012, 01:14:26 nachm.
Quote
[...] Unbekannte haben verschiedenen Medienberichten zufolge am Montag Namen, Adressen und Kreditkarteninformationen von Tausenden Israelis veröffentlicht. Die meisten Daten sollen von der beliebten israelischen Sport-Webseite One.co.il stammen. Ein Unbekannter hat sich im Namen der saudischen Hacker-Gruppe "group-xp" zu der Tat bekannt.

Es soll um die Daten von etwa 14.000 Kreditkarten gehen. Die israelische Zentralbank teilte mit, dass die betroffenen Karten identifiziert und gesperrt wurden, um sie vor weiterem Missbrauch zu schützen. Die Karteninhaber sollen nicht für den Betrug haften. Der Kartendienstleister Isracard betonte in einer Mitteilung, dass die meisten der entwendeten Daten entweder falsch oder ungültig seien. Nur ein nicht genauer genannter Anteil der Kreditkarteninformationen sei tatsächlich gültig. (dta)


Aus: "Hacker veröffentlichen Kredikartendaten von israelischen Internetnutzern" (04.01.2012)
Quelle: http://www.heise.de/newsticker/meldung/Hacker-veroeffentlichen-Kredikartendaten-von-israelischen-Internetnutzern-1403584.html (http://www.heise.de/newsticker/meldung/Hacker-veroeffentlichen-Kredikartendaten-von-israelischen-Internetnutzern-1403584.html)

Title: [Bei einem Hackereinbruch bei der Amazon-Tochter...]
Post by: Textaris(txt*bot) on Januar 17, 2012, 11:47:41 vorm.
Quote
[...] Bei einem Hackereinbruch bei der Amazon-Tochter Zappos haben sich Unbekannte Zugriff auf die persönlichen Daten der rund 24 Millionen registrierten US-Kunden verschafft, warnt das Unternehmen. Die Eindringlinge konnten nach Unternehmensangaben auf Namen, Mailadressen, Rechnungs- und Lieferadressen, Telefonnummern sowie die letzten vier Ziffern der Kreditkartennummern zugreifen. Zudem hatten die Täter Zugriff auf die Passwort-Hashes.

Ob die Hashes "gesalzen" waren, was das Herausfinden der dazugehörigen Passwörter erheblich erschweren würde, gab Zappos nicht bekannt. Das Unternehmen hat sämtliche Kundenpasswörter gesperrt und fordert seine Kunden per Mail auf, über einen Link in der Mail ein neues Passwort zu setzen. Zudem sollen die Kunden ihre Passwörter bei allen Webdiensten ändern, für die sie das bei Zappos gespeicherte Passwort nutzen. Auf die Server, auf denen weitere Zahlungsinformationen und die vollständigen Kreditkartennummern hinterlegt sind, konnten die Täter nach Unternehmensangaben nicht zugreifen.

Das Unternehmen untersucht derzeit mit US-Ermittlungsbehörden die genaueren Umstände das Einbruchs. Amazon hat den Bekleidungsshop im Jahr 2009 für rund 850 Millionen Dollar übernommen. (rei)


Aus: "24 Millionen Datensätze bei Amazon-Tochter gestohlen" (16.01.2012)
Quelle: http://www.heise.de/newsticker/meldung/24-Millionen-Datensaetze-bei-Amazon-Tochter-gestohlen-1413662.html (http://www.heise.de/newsticker/meldung/24-Millionen-Datensaetze-bei-Amazon-Tochter-gestohlen-1413662.html)

Title: [Die intellektuelle Herausforderung...]
Post by: Textaris(txt*bot) on April 05, 2012, 12:44:57 nachm.
Quote
[...] Ein 23-jähriger aus dem englischen York soll sich mit Trojanern Zugriff auf 200.000 PayPal-Accounts verschafft haben, wie die Daily Mail berichtet. Zudem fanden die Ermittler nach seiner Festnahme auf seinen Computern 2.701 Kredit- und Debitkartendaten sowie die persönlichen Daten von 8.110.474 Briten.

Wie genau der Hacker mit dem Pseudonym G-Zero an die Daten gekommen ist, geht aus dem Bericht nicht klar hervor. Angeblich hat er einerseits fertige Bots wie SpyEye und ZeuS eingesetzt, andererseits aber auch selbst Python-Skripte programmiert. Darüber hinaus soll er die Unternehmensnetze von Nokia gehackt haben, wo er angeblich Zugriff auf die persönlichen Daten von über 8.000 Mitarbeitern hatte. Auch bei AOL soll er Mitarbeiterdaten entwendet haben.

Laut Schätzungen der Polizei hätte er mit den sichergestellten Daten über 800.000 Pfund erbeuten können, stattdessen war er aber genügsam: angeblich hat er lediglich 2.351 Pfund abgezockt. Es sei ihm laut Mail Online nur um die intellektuelle Herausforderung gegangen. Nach Informationen von York Press wurde der 23-jährige zu einer Haftstrafe von 26 Monaten verurteilt. (rei)


Aus: "23-jähriger hatte Zugriff auf 200.000 PayPal-Accounts" (05.04.2012)
Quelle: http://www.heise.de/newsticker/meldung/23-jaehriger-hatte-Zugriff-auf-200-000-PayPal-Accounts-1511809.html (http://www.heise.de/newsticker/meldung/23-jaehriger-hatte-Zugriff-auf-200-000-PayPal-Accounts-1511809.html)

Title: [Zugangsdaten von 55.000 Twitter-Accounts...]
Post by: Textaris(txt*bot) on Mai 09, 2012, 12:29:13 nachm.
Quote
[...] Angreifer haben die Zugangsdaten von 55.000 Twitter-Accounts erbeutet. Nutzernamen und Passwörter wurden in fünf Paketen bei Pastebin veröffentlicht.

Twitter-Sprecherin Carolyn Penner teilte der New York Times mit, dass die Betroffenen informiert und aufgefordert wurden, ihr Passwort zu ändern. Doch bei über 20.000 der Konten soll es sich nach einer Sichtung der Daten bei Pastebin um Dubletten gehandelt haben. Viele der Zugangsdaten sollen zu Spammern gehören, die mit Bots automatische Konten und Tweets erzeugt hätten. Ein großer Teil der Konten sei fast ungenutzt oder hätte nur ganz wenige Follower gehabt.

...


Aus: "55.000 Nutzerkonten gehackt, Staatsanwalt ausgeladen" Achim Sawall (9.5.2012)
Quelle: http://www.golem.de/news/twitter-55-000-nutzerkonten-gehackt-staatsanwalt-ausgeladen-1205-91669.html (http://www.golem.de/news/twitter-55-000-nutzerkonten-gehackt-staatsanwalt-ausgeladen-1205-91669.html)

Title: [Man gehe weiterhin davon aus...]
Post by: Textaris(txt*bot) on Juni 14, 2012, 09:01:07 vorm.
Quote
[...] Beim Einbruch in die Infrastruktur des Zahlungsabwicklers Global Payments seien nicht mehr als 1,5 Millionen Datensätze abgegriffen worden, versichert das Unternehmen in einer aktuellen Stellungnahme. Betroffen sind ausschließlich Visa- und MasterCard-Kunden aus Nordamerika.

Im April musste der US-amerikanische Zahlungsdienstleister öffentlich zugeben, dass Unbekannte in die Computersysteme des Unternehmens eingedrungen waren und sich Zugang zu einer großen Zahl an Kreditkartendaten verschafft hatten. Der Einbruch fand Anfang März statt.

Nach einer internen Analyse kommt Global Payments zu dem Schluss, es seien maximal 1,5 Millionen Kartennummern betroffen. Man gehe weiterhin davon aus, dass nur Track-2-Daten gestohlen wurden. Der "Track 2" des Magnetstreifens speichert ausschließlich numerische Daten wie die Kartennummer und das Ablaufdatum, aber keine weiterführenden Daten wie etwa der Name des Karteninhabers.

...


Aus: "Datenklau kompromittierte "nur" 1,5 Millionen Kreditkarten" (13.06.2012)
Quelle: http://www.heise.de/newsticker/meldung/Datenklau-kompromittierte-nur-1-5-Millionen-Kreditkarten-1617091.html (http://www.heise.de/newsticker/meldung/Datenklau-kompromittierte-nur-1-5-Millionen-Kreditkarten-1617091.html)

Title: [Großräumiger Identitätsdiebstahl... ]
Post by: Textaris(txt*bot) on Oktober 30, 2012, 11:09:36 vorm.
Quote
[...]  Bei einem Cyberangriff wurden im US-Bundesstaat South Carolina insgesamt 3,6 Millionen Sozialversicherungsnummern gestohlen. Da diese in den USA häufig zu Authentifizierungszwecken eingesetzt werden, ist dadurch ein großräumiger Identitätsdiebstahl möglich.

Unbekannte drangen im September in die Computersysteme der Staatsregierung vom US-Bundesstaat South Carolina ein und entwendeten 3,6 Millionen Sozialversicherungsnummern und 387.000 Kreditkartennummern. Das berichtet zdnet am Montag. Betroffen sei jeder Bürger, der seit 1998 eine Steuerrückerstattung beantragt hat, heißt es in einer Pressemitteilung.

Den Betroffenen steht nun für das nächste Jahr eine "Kreditüberwachung" zur Verfügung. Da in den USA Sozialversicherungsnummern benutzt werden, um Steuerzahler zu identifizieren und diese auch für andere Authentifizierungszwecke eingesetzt werden, können Betrüger damit auch die Identitäten stehlen.

Die Behörde wurde angeblich erst durch einen Erpressungsversuch auf den Verlust der Daten aufmerksam. Der Datendiebstahl fand bereits Anfang bis Mitte September statt, bemerkt hatte man sie Mitte Oktober. Erst acht Tage später wurde die Sicherheitslücke, die ausgenutzt wurde, tatsächlich geschlossen. Neben Sozialversicherungsnummern sind auch 387.000 Kreditkartennummern entwendet worden.


Aus: "3,6 Mio. Sozialversicherungsnummern gestohlen" (29.10.12)
Quelle: http://futurezone.at/digitallife/12181-3-6-mio-sozialversicherungsnummern-gestohlen.php (http://futurezone.at/digitallife/12181-3-6-mio-sozialversicherungsnummern-gestohlen.php)

Title: [White Fox...]
Post by: Textaris(txt*bot) on Dezember 12, 2012, 10:24:05 vorm.
Quote
[...] 1,6 Millionen Nutzerdatensätze von diversen US-Behörden, Unternehmen sowie weiteren Stellen hat das Kollektiv Ghostshell ins Netz gestellt. ...

Die Hacktivisten haben die Betroffenen nach eigenen Angaben über die Schwachstellen in ihren Systemen informiert - "als vorgezogenes Weihnachtsgeschenk von uns". Daneben haben sie 1,6 Millionen Datensätze ins Netz gestellt. Darunter sind auch persönliche Nutzerdaten wie Namen, Telefonnummern, Mailadressen oder Zugangsdaten.

Die Aktion, die die Bezeichnung Project White Fox trägt, sei die letzte für dieses Jahr, hat Ghostshell erklärt. Die Gruppe ist im Herbst dieses Jahres bereits in die Systeme einer Reihe namhafter US-Universitäten eingedrungen. Dort haben die Mitglieder die Daten von 100.000 Studenten kopiert und ins Netz gestellt.

Kurz darauf rief Ghostshell das Project Black Star aus, dessen Ziel die russische Regierung war. Von Behördencomputern entwendeten die Hacktivisten, die mit dem Kollektiv Anonymous in losem Zusammenhang stehen, über 2 Millionen Datensätze, die sie im Internet veröffentlichten.

...


Aus: "Project White Fox - Kollektiv Ghostshell veröffentlicht Daten von US-Behörden" Werner Pluta (11.12.2012)
Quelle: http://www.golem.de/news/project-white-fox-kollektiv-ghostshell-veroeffentlicht-daten-von-us-behoerden-1212-96285.html (http://www.golem.de/news/project-white-fox-kollektiv-ghostshell-veroeffentlicht-daten-von-us-behoerden-1212-96285.html)

Title: [Der deutsche Avast-Distibutor Avadas...]
Post by: Textaris(txt*bot) on M?RZ 11, 2013, 09:50:37 vorm.
Quote
[...] Der deutsche Avast-Distibutor Avadas, dessen Shop unter anderem über die Domain Avast.de erreichbar ist, wurde offenbar Opfer eines Hackerangriffs. Im Netz kursieren Datenbankauszüge mit den persönlichen Daten von über 16.000 Personen; darunter Bankverbindungen, Mailadressen, Geburtsdaten, Anschriften und Passwort-Hashes.

Die Daten stammen anscheinend aus dem Avadas-Shops und enthalten Daten von FIrmen- und Privatkunden, die sich zwischen 2006 und dem vergangenen Samstag angemeldet haben. Darüber hinaus kursiert eine Liste mit Daten von über 3000 Nutzern des Support-Forums sowie die Hashes einiger Betreiber-Accounts.

Laut einem Admin des Avadas-Forums sind die Hashes gesalzen. Das macht es zwar aufwendiger, die dazugehörigen Klartext-Passwörter zu ermitteln, aber längst nicht unmöglich. Welches Hash-Verfahren zum Einsatz kam, ist bislang nicht bekannt. Zu dem Servereinbruch hat sich eine türkische Hackergruppe bekannt.

Wer im Shop oder Forum von Avadas angemeldet ist, sollte dort unverzüglich sein Passwort ändern. Ferner sollte man überall, wo man das dort gesetzte Passwort ebenfalls nutzt, ein neues vergeben. Cyber-Ganoven probieren gestohlene Zugangsdaten nämlich auch bei anderen Diensten aus. Ferner darf man sich darauf einstellen, künftig vermehrt personalisierten Spam zu erhalten – und auch ein Missbrauch der veröffentlichten Zahlungsinformationen ist nicht ausgeschlossen. (rei)


Aus: "Kundendaten des deutschen Avast-Distributors im Netz" (10.03.2013)
Quelle: http://www.heise.de/newsticker/meldung/Kundendaten-des-deutschen-Avast-Distributors-im-Netz-1820007.html (http://www.heise.de/newsticker/meldung/Kundendaten-des-deutschen-Avast-Distributors-im-Netz-1820007.html)

Title: [In einer Mail an seine Kunden erklärte das Unternehmen...]
Post by: Textaris(txt*bot) on Juni 08, 2013, 12:44:56 nachm.
Quote
[...] Die Webhoster Hetzner wurde Opfer eines Hackerangriffs, bei dem Unbekannte auch Kundendaten kopiert haben. Die Eindringlinge hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Bei dem Angriff soll ein bislang unbekanntes Server-Rootkit zum Einsatz gekommen sein.

In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. Dabei fiel dem Hoster zunächst eine Backdoor in einem seiner Nagios-Überwachungsserver auf. Bei der anschließend eingeleiteten Untersuchung wurde klar, dass auch die Robot genannte Verwaltungsoberfläche für dedizierte Server kompromittiert wurde. Die Eindringlinge haben auf die dort gespeicherten Kundendaten zugegriffen.

Wie viele Kunden davon betroffen sind, könne man "technisch noch nicht bewerten", wie Martin Hetzner gegenüber heise Security sagte. In der Robot-Datenbank sind auch Zahlungsinformationen gespeichert, wie etwa Bankdaten von Kunden, die per Lastschrift bezahlen. Diese seien zwar asymmetrisch verschlüsselt, allerdings kann der Hoster derzeit nicht ausschließen, dass auch die zur Entschlüsselung notwendigen privaten Krypto-Schlüssel kopiert wurden. Darüber hinaus hatten die Angreifer Zugriff auf Kreditkartendaten (die letzten drei Ziffern der Kreditkartennummer, das Ablaufdatum sowie der Kartentyp) und gesalzene SHA256-Passwort-Hashes.

Hetzners Angaben zufolge handelt es sich um einen Angriff auf ungewöhnlich hohem technischen Niveau: Es soll sich um ein bislang unbekanntes Rootkit handeln, das keine Dateien auf der Festplatte berührt. "Stattdessen werden bereits auf dem System laufende Prozesse gepatcht und der Schadcode direkt in das Ziel-Prozessimage injiziert", erklärte Martin Hetzner. Das Rootkit soll den OpenSSH-Daemon und Apache im Arbeitsspeicher manipuliert haben. Dies geschah anscheinend nahtlos ohne Neustart der Dienste. Prinzipiell sei das Rootkit vermutlich auch dazu in der der Lage, ProFTPD zu manipulieren. Berichte über Angriffe, bei denen Daemons wichtiger Programme manipuliert werden, häufen sich derzeit. Dass die Manipulation jedoch nur im Arbeitsspeicher vorgenommen wird, scheint neu zu sein.

Laut Martin Hetzner wurden die manipulierten Apache-Instanzen nach derzeitigem Kenntnisstand nicht zur Verbreitung von Malware missbraucht. Wer hinter dem Angriff steckt, ist derzeit noch unklar. Auch wie die Hacker in die Server eingestiegen sind, muss noch geklärt werden. Die Hosting-Firma gibt an, bereits das BKA eingeschaltet zu haben.


Aus: "Hetzner gehackt, Kundendaten kopiert" (06.06.2013)
Quelle: http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kundendaten-kopiert-1884180.html (http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kundendaten-kopiert-1884180.html)

Title: [Eine Facebook-Sprecherin sagte...]
Post by: Textaris(txt*bot) on Juni 22, 2013, 08:38:34 vorm.
Quote
[...] Hamburg - Durch eine Panne sind private Informationen von rund sechs Millionen Facebook-Nutzern unbefugt weitergegeben worden. Eine Facebook-Sprecherin sagte SPIEGEL ONLINE, die Sicherheitslücke sei mittlerweile geschlossen. Sie fügte hinzu: "Wir haben die Aufsichtsbehörden in den USA, Kanada und Europa informiert. Wir sind dabei die betroffenen Nutzer per E-Mail zu informieren."

Die Datenpanne verriet einem Blogeintrag auf der Facebook-Security-Seite zufolge bei den Betroffenen "zusätzliche E-Mail-Adressen oder Telefonnummern für ihre Kontakte oder Leute, mit denen sie anderweitig in Verbindung stehen". Die Panne soll "weit unter einem Prozent" der weltweiten Facebook-Nutzerschaft betreffen, so die Sprecherin. Die absolute Zahl liegt aber im Bereich von etwa sechs Millionen. ...


Aus: "Datenpanne: Facebook verrät Millionen Telefonnummern" Von Christian Stöcker (21.06.2013)
Quelle: http://www.spiegel.de/netzwelt/web/datenpanne-facebook-verraet-millionen-telefonnummern-a-907242.html (http://www.spiegel.de/netzwelt/web/datenpanne-facebook-verraet-millionen-telefonnummern-a-907242.html)

Title: [Schwedische Behörden verkaufen...]
Post by: Textaris(txt*bot) on August 06, 2013, 09:52:23 vorm.
Quote
[...]  Schwedische Behörden verkaufen personenbezogene Daten in großem Stil unter anderem an Direktmarketingfirmen. Das berichtete die Stockholmer Tageszeitung „Dagens Nyheter" am Sonntag in einer Online-Vorausmeldung. So soll etwa die Verkehrsbehörde jährlich rund 3,5 Mio. Euro aus den Datenverkäufen lukrieren.

An Werbefirmen verkauft wurden etwa Informationen über von bestimmten Personengruppen bevorzugte Automarken. Die Datensätze enthielten zwar keine Namen und Adressen, wohl aber Informationen über die Eigentümer in Form von Alter, Geschlecht und Wohnbezirk. Als weitere Beispiele nannte die Zeitung das staatliche Adressregister, das Finanzamt, das Unternehmensregister und die Schulverwaltung.

Nach schwedischem Recht ist diese Praxis zwar nicht illegal, die liberale Zeitung stellt jedoch die ethische Qualität eines derartigen Verhaltens staatlicher Behörden infrage. Insbesondere, als von jenen Personen, welche die Daten zur Verfügung stellen, offenbar kein ausdrückliches Einverständnis zum Weiterverkauf eingeholt wird.


Aus: "Schwedische Behörden verkaufen Daten" (05.08.2013)
Quelle: http://futurezone.at/netzpolitik/17503-schwedische-behoerden-verkaufen-daten.php (http://futurezone.at/netzpolitik/17503-schwedische-behoerden-verkaufen-daten.php)

Title: [Vodafone selbst teilte mit...]
Post by: Textaris(txt*bot) on September 12, 2013, 01:03:45 nachm.
Quote
[...] Düsseldorf - Die Daten von zwei Millionen Kunden bei Vodafone Deutschland sollen von einem Insider gestohlen worden sein. Der mutmaßliche Angreifer arbeitete der Nachrichtenagentur dpa zufolge nicht bei Vodafone direkt, sondern war bei einem externen Dienstleister beschäftigt. Er hatte aber offenbar Informationen über den Administratoren-Bereich des Vodafone-Systems. Diese nutzte er, um an die Kundendaten zu gelangen. Vodafone sei demnach nicht zum Opfer einer Hacker-Attacke von außen geworden.

Vodafone selbst teilte mit, da der Angriff nur mit Insiderwissen möglich gewesen sei, habe das Unternehmen "sämtliche Passwörter und Zertifikate aller Administratoren geändert". Zudem würden "alle identifizierten Server aus Sicherheitsgründen komplett neu aufgesetzt".

Vodafone hatte den Angriff am Donnerstag öffentlich gemacht. Entdeckt wurde er dem Unternehmen zufolge aber bereits am 5. September. Die Strafverfolgungsbehörden hätten gebeten, damit nicht sofort an die Öffentlichkeit zu gehen, um den Hintergrund der Tat ungestört aufklären zu können. Der dpa zufolge ging es dabei auch um die Frage, ob der Verdächtige womöglich auch bei anderen Unternehmen zugeschlagen hat.

Zu den erbeuteten Daten gehören die Namen der betroffenen Vodafone-Kunden, außerdem die Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer, teilte das Unternehmen mit. "Dieser Angriff war nur mit hoher krimineller Energie sowie Insiderwissen möglich und fand tief versteckt in der IT-Infrastruktur des Unternehmens statt", erklärte Vodafone.

Die zuständige Staatsanwaltschaft Düsseldorf wollte keine weiteren Details nennen. "Wir geben gar keine Einzelheiten bekannt, weil wir unsere eigenen Ermittlungen nicht gefährden wollen", sagte ein Sprecher. Er bestätigte, dass eine Hausdurchsuchung bei einem Tatverdächtigen stattgefunden habe. "Die Firma Vodafone arbeitet sehr eng mit uns zusammen."

Carola Elbrecht vom Verbraucherzentrale Bundesverband empfiehlt allen Betroffenen, "ihre Kontobewegungen sehr genau im Auge zu behalten und bei Unregelmäßigkeiten sofort ihre Bank zu kontaktieren". ...


Aus: "Tätersuche: Vodafone-Datendieb soll externer Mitarbeiter sein" (12.09.2013)
Quelle: http://www.spiegel.de/netzwelt/netzpolitik/vodafone-datendieb-soll-externer-dienstleister-sein-a-921859.html (http://www.spiegel.de/netzwelt/netzpolitik/vodafone-datendieb-soll-externer-dienstleister-sein-a-921859.html)

Title: [Die Passwörter der betroffenen Nutzer...]
Post by: Textaris(txt*bot) on Oktober 05, 2013, 01:00:05 vorm.
Quote
[...] Der amerikanische Software-Konzern Adobe ist Opfer eines massiven Angriffs geworden. Hacker sind in das Netzwerk der Software-Schmiede eingedrungen und an die Nutzerdaten von knapp drei Millionen Kunden gekommen. Offenbar kopierten die Angreifer auch Quellcode "zahlreicher Adobe-Produkte", wie der Konzern am Donnerstag auf seinem Blog mitteilte. Adobe ist vor allem für seine Kreativ-Software wie beispielsweise das Videoschnittprogramm Premiere und das Bildbearbeitungsprogramm Photoshop bekannt.

Das Sicherheitsteam bei Adobe spricht von "ausgeklügelten Attacken" auf das Firmennetzwerk. Bei dem Angriff seien unter anderem die Namen und Passwörter von 2,9 Millionen Kunden ausgelesen worden, außerdem Kreditkartennummern inklusive Ablaufdatum. "Wir bedauern sehr, dass dieser Zwischenfall passiert ist", schreibt der Sicherheitschef Brad Arkin in dem Blog-Beitrag. Und versucht, die Kunden zu beruhigen: Er gehe davon aus, dass die Hacker nur verschlüsselte Kreditkarteninformationen bekommen haben.

Richtig überzeugt ist man davon bei Adobe aber offenbar nicht. In der Mitteilung an die Mitglieder schreibt Arkin, man arbeite daran, alle Nutzer ausfindig zu machen, deren Kreditkartendaten ausgelesen worden sind. Diese Mitglieder bekommen eine Nachricht mit Tipps, "um sich selbst gegen möglichen Missbrauch persönlicher Informationen zu schützen".

Die Passwörter der betroffenen Nutzer setzt Adobe automatisch zurück. Auf einer eigens dafür eingerichteten Website erklärt das Unternehmen den Kunden, wie sie ein neues Passwort anlegen können. Und rät Nutzern, die auf anderen Seiten die gleichen Zugangsdaten benutzen, auch dort das Passwort zu ändern.

Bereits vor einer Woche hatte der Journalist Brian Krebs die Mitarbeiter bei Adobe über den möglichen Angriff informiert. Krebs hatte ein 40 Gigabyte großes Datenpaket auf einem Server entdeckt, das er als Quellcode einiger Adobe-Programme identifizierte. Darunter waren zum Beispiel die Datenbankanwendung Cold Fusion und das PDF-Programm Acrobat. Brian Krebs ist misstrauisch geworden, weil auf dem Server schon häufiger die Daten von Hackerangriffen entdeckt wurden.

Nachdem Krebs sich mit seinem Datenfund an Adobe gewandt hatte, teilte der Konzern mit, man untersuche bereits seit Mitte September einen weitreichenden Einbruch in das Firmennetzwerk. Demnach konnten die Angreifer bereits Mitte August auf die Daten zugreifen.

jbr


Aus: "Software-Hersteller: Kriminelle erbeuten Daten von 2,9 Millionen Adobe-Kunden" (04.10.2013)
Quelle: http://www.spiegel.de/netzwelt/web/adobe-kriminelle-erlangen-kreditkartendaten-und-quellcode-a-926039.html (http://www.spiegel.de/netzwelt/web/adobe-kriminelle-erlangen-kreditkartendaten-und-quellcode-a-926039.html)

Title: [Das Unternehmen bestätigte...]
Post by: Textaris(txt*bot) on Februar 03, 2014, 12:37:53 nachm.
Quote
[...] Unbekannt haben Daten von rund 800.000 Kunden des französischen Telefonriesen Orange abgefischt. Das Unternehmen bestätigte am Montag der französischen Onlineseite PCinpact entsprechende Informationen. PCinpact hatte das Datenleck entdeckt.

Bei dem Hackerangriff am 16. Januar seien persönliche Informationen wie Namen, Adressen, E-Mail-Adressen, Mobil- und Festnetznummern gestohlen worden, erklärte Orange. Passwörter seien nicht betroffen. Orange ist der größte Telefonanbieter in Frankreich. Nach Berechnung von PCinpact waren knapp drei Prozent der Orange-Kunden Opfer der Attacke. Diese könnten jetzt von Phishing-Angriffen betroffen sein. (dpa) / (axk)


Aus: "Daten von 800.000 Telefonkunden in Frankreich gestohlen" (03.02.2014)
Quelle: http://www.heise.de/newsticker/meldung/Daten-von-800-000-Telefonkunden-in-Frankreich-gestohlen-2104331.html (http://www.heise.de/newsticker/meldung/Daten-von-800-000-Telefonkunden-in-Frankreich-gestohlen-2104331.html)

Title: [Die Informationen seien...]
Post by: Textaris(txt*bot) on Februar 10, 2014, 09:47:17 vorm.
Quote
[...] London - Bei der britischen Großbank Barclays sollen Daten von bis zu 27.000 Kunden gestohlen und an andere Börsenhändler weiterverkauft worden sein. Das schreibt die Zeitung "Mail on Sunday". Eine Sprecherin der Bank bestätigte am Sonntag, dass Untersuchungen in der Sache eingeleitet wurden. "Wir sind dem Blatt dankbar, dass es uns darauf aufmerksam gemacht hat", hieß es vom Institut.

Die Informationen seien an mehrere Regulierungsbehörden weitergeleitet worden. Die Bank werde alle notwendigen Schritte unternehmen, um die betroffenen Kunden zu unterrichten, damit diese ihre Datensicherheit wiederherstellen können. "Es sieht so aus, als wäre dies ein krimineller Akt. Wir kooperieren voll mit den Behörden, um den Täter zu finden", sagte die Sprecherin.

Konkret sollen Kundendaten - darunter Nummern von Reisepässen und medizinische Informationen - für 50 Pfund (rund 60 Euro) pro Datensatz weiterverkauft worden sein. Unter anderem sollen die Daten auch Informationen darüber enthalten haben, welches Risiko die Kunden bei Finanzgeschäften einzugehen bereit sind.

Die Zeitung erhielt nach eigenen Angaben Einblick in 2000 Kundendateien. Manche seien 20 Seiten lang gewesen und hätten unter anderem Angaben über die Risiko-Einstellung der Menschen enthalten. Dem Informanten zufolge seien auf einer Datenbank 25.000 weitere Dateien. Die gestohlenen Informationen würden auf dem Schwarzmarkt Millionen erzielen, weil mit ihrer Hilfe Betrüger Kunden mit Investmentgeschäften gezielt ansprechen könnten, berichtete die Zeitung weiter. (APA, 9.2.2014)


Aus: "Daten von Barclays-Kunden gestohlen" (9. Februar 2014)
Quelle: http://derstandard.at/1389859786425/Daten-von-Barclays-Kunden-illegal-weiterverkauft (http://derstandard.at/1389859786425/Daten-von-Barclays-Kunden-illegal-weiterverkauft)

Title: [Testergebnisse... ]
Post by: Textaris(txt*bot) on Februar 27, 2014, 08:49:48 vorm.
Quote
[...] Vertrauliche Testergebnisse von 400.000 Schülern und persönliche Daten von 37.000 Lehrern an österreichischen Schulen waren monatelang oder gar jahrelang frei im Internet verfügbar. Sie lagen ohne Passwortschutz auf einem rumänischen Server. Das hat die Tageszeitung Die Presse aufgedeckt. In Österreich gehen nun die Wogen hoch, weil sowohl das Unterrichtsministerium als auch dessen Bundesinstitut für Bildungsforschung (Bifie) seit Dezember informiert waren.

Immerhin sollen die Namen der Schüler verschlüsselt sein. Doch die Zugangsdaten der Schulen und Lehrer samt E-Mail-Adressen sind es nicht. So lässt sich aus den Daten genau ablesen, wie gut die Schüler welcher Lehrer abschneiden. Und manchmal ist es nur eine Handvoll Schüler aus einer Klasse, die einen bestimmten Test gemacht haben. Die Daten ermöglichen Vergleiche zwischen einzelnen Lehrern sowie auf Schulebene. Erst Dienstagabend ging der offene Server vom Netz.

In der dritten, sechsten und siebten Schulstufe wird an etwa der Hälfte der österreichischen Schulen eine "Informelle Kompetenzmessung" (IKM) durchgeführt. Die Schüler absolvieren Tests in Deutsch, Mathematik und/oder Englisch, wobei das Ergebnis nur für vier Augen bestimmt sein soll: ihre eigenen und die des Lehrers. Zweck ist eine Standortbestimmung, um "Bildungsstandards" überprüfen zu können. In Wien ist die IKM verpflichtend, anderswo hängt es von der einzelnen Schule ab.

Doch so vertraulich, wie viele Schüler glaubten, ist die IKM nicht. Die Ergebnisse werden zentral vom Bifie zusammengeführt. Diese Firma ist Staatseigentum und sammelt intensiv Daten über das österreichische Schulsystem und verschiedene Testergebnisse, darunter die PISA-Tests. Außerdem entwickelt das Bifie zentralisierte Tests wie IKM, Bildungsstandards und die "Zentralmatura": Ab kommendem Jahr sollen alle österreichischen Abiturienten gleichzeitig die selben Fragen beantworten.

Das Bifie wiederum lagert so manche Datenverarbeitung aus. Die IKM-Daten wurden bis 2012 von der Kärntner Zoe Solutions GmbH betreut, dann wurde die Zusammenarbeit beendet. Seither herrscht dicke Luft. Das Bifie schloss einen neuen Vertrag mit der Wiener Kapsch BusinessCom, die auch die Zoe-Tools neu programmieren sollte. Kapsch hatte kurz zuvor den rumänischen Dienstleister Squario IT Solutions übernommen, der nun an dem Projekt arbeitete.

Zoe Solutions erhebt in diesem Zusammenhang den Vorwurf der Verletzung von Immaterialgüterrechten. In einem Briefwechsel informierte Zoe Mitte Dezember das Bifie mit Kopie an die damalige Unterrichtsministerin über einen Verstoß gegen Datenschutzbestimmungen. Die Presse veröffentlichte die Passage: "Die vorgefundenen Daten enthalten die Benutzerdaten aller für IKM registrierten Schulen und Lehrpersonen sowie die Testergebnisse aller Schüler", und zwar ungeschützt. "Jeder Internet-Benutzer hat somit die Möglichkeit, sich die Daten vom Server des betreffenden IT-Unternehmens herunterzuladen."

Das Bifie hat laut Presse, den Hinweis nicht ernst genommen, sondern als "Drohgebärde" abgetan. Anstatt sich für den Hinweis zu bedanken und nach Details zu fragen, reagierte das Bifie verschnupft. Es mokierte sich über die "unnötige" Kopie an die Ministerin und drohte mit Klage für den Fall, dass Zoe Solutions keine genaueren Auskünfte liefere. Der Erfolg dieser Kommunikationsmethode war offenbar bescheiden. Aus dem Ministerium ist keine Reaktion bekannt.

In einer Stellungnahme sagt das Bifie, im Dezember "selbstverständlich sofort Prüfungsmaßnahmen" eingeleitet, aber nichts gefunden zu haben. Erst nachdem Die Presse öffentlich auf den Datenbestand von 1,8 GByte hingewiesen hatte, kam Bewegung in die Sache. Seit Dienstagabend ist der rumänische Server offline.

Dienstagabend bat heise online die Firma Kapsch BusinessCom um Stellungnahme. Zu diesem Zeitpunkt war die Website der Kapsch-Gruppe offline. Laut Kapsch steht das aber in keinerlei Zusammenhang mit der rumänischen Angelegenheit, sondern beruhte auf routinemäßigen Wartungsarbeiten.

Kapsch BusinessCom bestätigte gegenüber heise online, seit 2012 IT-Lieferant und Service Provider des Bifie zu sein; auch die rumänische Tochtergesellschaft arbeite da mit. Seit September 2013 sei Squario IT Solutions in die Kapsch BusinessCom integriert. Die Firmengruppe ist selbst noch dabei, sich schlau zu machen. Wann Kapsch erstmals auf das Problem hingewiesen wurde ist in der Firmenzentrale noch nicht bekannt.

Dass die Daten tatsächlich auf einem Kapsch-Server in Rumänien lagen, wird nicht bestätigt, aber auch nicht dementiert. "Wir prüfen selbstverständlich mit der größten Sorgfalt die Causa von unserer Seite, und wir bemühen uns intensiv um eine rasche und lückenlose Analyse und Klärung, ob und wo es zu einem Datenleck gekommen ist", sagte Kapsch-Sprecherin Katharina Riedl, "Zudem können wir den Behörden unsere volle Kooperationsbereitschaft versichern."

Die Berichte der Presse haben mannigfaltige politische Reaktionen hervorgerufen. Rücktrittsaufforderungen an die Ministerin, parlamentarische Anfragen, verunsicherte Eltern und Schüler, Spekulationen von Datenschützern, Zeitungskommentare mit dem Ruf nach Köpferollen beim Bifie und mehr. Das Institut steht seit Jahren im Kreuzfeuer der Kritik: Zu teuer, zu sinnfern, zu neugierig, zu verschlossen gegenüber wissenschaftlich Forschenden, und überhaupt viel zu politisch, sind oft gehörte Vorwürfe.

Die neue Unterrichtsministerin, Gabriele Heinisch-Hosek (SPÖ), hat die beiden Bifie-Geschäftsführer zum Rapport zitiert und vorerst alle zentralen Tests gestoppt. Nun soll erst einmal die Staatsanwaltschaft ermitteln. Diese ist gerade knapp besetzt, also wird das dauern. Damit wackelt die für Mai vorgesehene Erhebung der Bildungsstandards, und auch die an ausgewählten Schulen geplante Generalprobe für die Zentralmatura ist gefährdet. (Daniel AJ Sokolov) / (anw)


Aus: "Vertrauliche Daten tausender österreichischer Schüler und Lehrer waren frei zugänglich" (26.02.2014)
Quelle: http://www.heise.de/newsticker/meldung/Vertrauliche-Daten-tausender-oesterreichischer-Schueler-und-Lehrer-waren-frei-zugaenglich-2125470.html (http://www.heise.de/newsticker/meldung/Vertrauliche-Daten-tausender-oesterreichischer-Schueler-und-Lehrer-waren-frei-zugaenglich-2125470.html)
Title: [Dabei seien...]
Post by: Textaris(txt*bot) on Mai 22, 2014, 10:32:31 vorm.
Quote
[...] New York - Die Verkaufsplattform Ebay ist gehackt worden. Zwischen Ende Februar und Anfang März sei eine Datenbank geknackt worden, teilte das amerikanische Unternehmen am Mittwoch mit.

Dabei seien persönliche Kundendaten wie Namen, verschlüsselte Passwörter, Adressen, E-Mail-Adressen, Geburtstage und Telefonnummern erbeutet worden. Offenbar konnten die Angreifer Login-Daten von Mitarbeitern abgreifen und sich so Zugang zu den Kundendaten verschaffen. Es gebe allerdings keine Anzeichen, dass die Angreifer Zugriff auf Finanzinformationen wie Kreditkarten gehabt hätten.

Trotzdem werde das Unternehmen seine Kunden heute im Laufe des Tages per E-Mail bitten, ihre Passwörter zu ändern. Nutzer, die dasselbe Passwort für mehrere Dienste verwenden - etwa für ihre E-Mail-Konten oder Accounts bei sozialen Netzwerken -, sollten auch dort das Passwort ändern. Grundsätzlich sollte man für jeden Dienst und jedes Konto ein eigenes Passwort wählen.

Wie viele Kunden genau betroffen seien, teilte das Unternehmen nicht mit. Es könne aber "eine große Zahl" sein, sagte eine Sprecherin. Deshalb wird jeder Ebay-Nutzer zum Passwortwechsel aufgefordert. Der Dienst hat rund 128 Millionen aktive Nutzer.


Aus: "Hackerangriff: Ebay-Nutzer sollen dringend Passwörter ändern" (21.05.2014)
Quelle: http://www.spiegel.de/netzwelt/web/ebay-gehackt-nutzer-sollen-ihre-passwoerter-aendern-a-970903.html (http://www.spiegel.de/netzwelt/web/ebay-gehackt-nutzer-sollen-ihre-passwoerter-aendern-a-970903.html)

Title: [Der Großteil der entwendeten Daten...]
Post by: Textaris(txt*bot) on Juli 24, 2014, 01:53:23 nachm.
Quote
[...] Datendiebe habe über ein Leck auf der Internetseite der Europäischen Zentralbank (EZB) E-Mail-Adressen und Kontaktdaten von Journalisten und Seminarteilnehmern abgegriffen. Die Hacker haben laut EZB eine hauseigene Datenbank geknackt, in der Personen für Konferenzen der Zentralbank, Besuche und andere Veranstaltungen registriert sind.

Der Großteil der entwendeten Daten sei verschlüsselt gewesen, nicht aber alle E-Mail-Adressen, Straßenanschriften und Telefonnummern.Sensible Datenbanken oder Marktdaten seien nicht betroffen gewesen, hieß es. Nach Angaben einer EZB-Sprecherin wurden etwa 20 000 E-Mail-Adressen sowie in einigen Fällen Telefonnummern oder Postanschriften entwendet.

as Leck wurde laut EZB-Angaben entdeckt, nachdem die Zentralbank in einer anonymen E-Mail am Montagabend zu einer Geldzahlung im Austausch für die Daten aufgefordert wurde. Die deutsche Polizei habe Ermittlungen aufgenommen. Die EZB kündigte an, potenziell ausgespähte Nutzer ihres Webangebots zu informieren und sämtliche Passwörter sicherheitshalber zurücksetzen zu wollen.


Aus: "Hacker attackieren EZB" (24. Juli 2014)
Quelle: http://www.sueddeutsche.de/digital/e-mail-adressen-abgegriffen-hacker-attackieren-ezb-1.2061205 (http://www.sueddeutsche.de/digital/e-mail-adressen-abgegriffen-hacker-attackieren-ezb-1.2061205)
Title: [Bis zu 100...]
Post by: Textaris(txt*bot) on Februar 16, 2015, 05:26:44 nachm.
Quote
[...] Eine internationale Kriminellengruppe hat mit Hackerangriffen offenbar bis zu eine Milliarde Dollar von Banken gestohlen. Das teilte die russische IT-Sicherheitsfirma Kaspersky mit, die an Ermittlungen von Interpol, Europol und nationalen Behörden gegen die Gruppe beteiligt war.

Bis zu 100 Banken, Bezahldienste und andere Institute in rund 30 Ländern seien angegriffen worden – auch in Deutschland. Die Kriminellengruppe mit dem Namen Carbanak sei zwei Jahre lang aktiv gewesen. Die Täter hätten sich in die Computernetzwerke der Kreditinstitute gehackt, Informationen gesammelt und dadurch Geld überweisen oder bar auszahlen können.

Ein Angriff auf eine Bank habe von den ersten Attacken auf einzelne Angestelltenrechner bis zum Abräumen des Geldes typischerweise zwei bis vier Monate gedauert. Im Schnitt seien pro Institut etwa zehn Millionen Dollar erbeutet worden.

Die kriminellen Hacker hätten zunächst mit Phishing und Schadprogrammen einzelne Angestelltenrechner angegriffen. Darüber hätten sie sich Zugang zu den internen Netzwerken und zur Videoüberwachung verschafft. Danach hätten sie alles, was sich auf den Bildschirmen der für die Betreuung der Geldtransfersysteme verantwortlichen Mitarbeiter abspielte, einsehen und aufnehmen können. "So kannten sie jedes einzelne Detail über die Arbeit der Angestellten und konnten die Aktivitäten der Angestellten imitieren, um Geld zu überweisen oder bar auszuzahlen", teilte Kaspersky mit.

In manchen Fällen sei es den Tätern gelungen, die Buchhaltungssysteme der Banken zu manipulieren. So hätten sie den Stand von Kundenkonten erhöhen können, um dann den so geschaffenen Überschuss auf eigene Konten zu überweisen.

In anderen Fällen hätten die Hacker die Kontrolle über Geldautomaten übernommen. So sei es ihnen möglich gewesen, eine Bargeldauszahlung zu einem bestimmten Zeitpunkt zu veranlassen. Und zu genau der Zeit hätte dann ein Komplize an dem Automaten gewartet und das Geld eingesteckt.

Zudem hätten die Täter Onlinebanking- oder internationale E-Payment-Systeme manipuliert. So seien sie in der Lage gewesen, von bankinternen Konten Geld abzugreifen.


Aus: "Kriminalität: Hacker erbeuten von Banken eine Milliarde Dollar" (15. Februar 2015)
Quelle: http://www.zeit.de/digital/internet/2015-02/banken-hackerangriff-cyberkriminalitaet (http://www.zeit.de/digital/internet/2015-02/banken-hackerangriff-cyberkriminalitaet)

Title: [AT&T muss Millionen...]
Post by: Textaris(txt*bot) on April 09, 2015, 09:50:45 vorm.
Quote
[...] Der US-Mobilfunkriese AT&T muss Millionen zahlen, weil Mitarbeiter Daten gestohlen haben sollen. In Call-Centern in Mexiko, Kolumbien und auf den Philippinen seien Informationen von fast 280.000 Kunden entwendet worden, teilte die US-Telekomaufsicht FCC mit. AT&T habe einen Vergleich über 25 Millionen Dollar akzeptiert.

Angestellte sollen sich unerlaubt Zugang zu Kundenkonten verschafft und Daten – teilweise sensible Angaben zur Sozialversicherung – an Dritte weitergegeben haben. Die FCC vermutet, dass die Informationen dann unter anderem genutzt wurden, um geklaute Smartphones zu entsperren.

"Die heutigen Maßnahmen zeigen, dass die Aufsicht ihre volle Autorität gegen Unternehmen ausübt, die es versäumen, die persönlichen Informationen ihrer Kunden zu schützen", sagte FCC-Chef Tom Wheeler. Die Behörde hatte ihre Ermittlungen im Mai 2014 gestartet.

Auslöser waren drei AT&T-Mitarbeiter in Mexiko, die ab November 2013 über 168 Tage Daten aus mehr als 68.000 Kundenkonten verkauft haben sollen. Im Laufe der Untersuchungen kam heraus, dass sich weitere 40 Angestellte an der illegalen Praxis beteiligt hatten und zusätzliche mehr als 211.000 Kundenkonten betroffen waren. (dpa) / (jk)


Aus: "Daten von 280.000 Kunden geklaut: AT&T büßt mit 25 Millionen Dollar" (09.04.2015)
Quelle: http://www.heise.de/newsticker/meldung/Daten-von-280-000-Kunden-geklaut-AT-T-buesst-mit-25-Millionen-Dollar-2597615.html (http://www.heise.de/newsticker/meldung/Daten-von-280-000-Kunden-geklaut-AT-T-buesst-mit-25-Millionen-Dollar-2597615.html)
Title: [Das Office of Personnel Management...]
Post by: Textaris(txt*bot) on Juni 05, 2015, 09:36:49 vorm.
Quote
[...] Hacker sind in US-Regierungscomputer mit persönlichen Daten von Regierungsangestellten eingedrungen. Das Office of Personnel Management (OPM) unterrichtete nach eigene Angaben etwa vier Millionen Amerikaner über den möglichen Datenklau. Es handele sich um sensible Daten, die zu finanziellen Betrügereien missbraucht werden könnten. Betroffen seien Daten gegenwärtiger sowie früherer Mitarbeiter.

... syd/AFP/dpa

Quote
general_failure heute, 07:00 Uhr
Das ist doch ganz normal unter Freunden.

http://www.spiegel.de/forum/netzwelt/cyberangriff-usa-hacker-erbeuten-daten-von-vier-millionen-regierungsangestellten-thread-302604-2.html#postbit_29915411


Aus: "Cyberangriff in USA: Hacker erbeuten Daten von vier Millionen Regierungsangestellten" (05.06.2015)
Quelle: http://www.spiegel.de/netzwelt/web/usa-hacker-erbeuten-daten-von-vier-millionen-regierungsangestellten-a-1037266.html (http://www.spiegel.de/netzwelt/web/usa-hacker-erbeuten-daten-von-vier-millionen-regierungsangestellten-a-1037266.html)

---

Quote
[...] Als die Personalverwaltung der US-Bundesbehörden (OPM) am 4. Juni einen erfolgreichen Hackangriff entdeckte, sprach sie selbst von vier Millionen Menschen deren Personaldaten kompromittiert worden waren. Tatsächlich war das Ausmaß aber viel schlimmer. Wie die Regierung später mitteilte wurden auch 18 Millionen Akten über Personen erbeutet. Zunächst hatte das OPM (Office of Personnel Management) nur den ersten Teil publik gemacht. Das zweite Eingeständnis folgte eine Woche später.

Der angeblich zweite Hack betrifft Informationen, die im Rahmen von Sicherheitsüberprüfungen (Security Clearances) über Personen und ihr Umfeld gesammelt wurden. Wieviele Personen genau betroffen sind, weiß man es im OPM noch nicht, wie aus einem Brief der OPM-Direktorin Katherine Archuleta vom 24. Juni hervorgeht. Sie wendet sich darin an den Abgeordneten im Repräsentantenhaus Jason Chaffetz. Der Republikaner ist Vorsitzender jenes Ausschusses, der für die Überprüfung der Verwaltung zuständig ist. Chaffetz hat Archuleta bereits zum Rücktritt aufgefordert, was sie aber ablehnt.

Die in US-Medien genannte Zahl von 18 Millionen Sozialversicherungsnummern aus den Sicherheitsüberprüfungen sei eine "vorläufige, nicht verifizierte, ungefähre" Angabe, schreibt Archuleta in ihrem Brief fest. Also waren in den Dateien wohl Sicherheitsüberprüfungen von mindestens 18 Millionen Menschen gespeichert. Die Sicherheitsüberprüfung eines Menschen erfordert naturgemäß die Überprüfung seines persönlichen Umfelds. Also dürften die Hacker Angaben über eine vielfach größere Gruppe als die 18 Millionen Bürger plus 4,2 Millionen Mitarbeiter erbeutet haben.

"Außerdem arbeiten wir bewusst daran, festzustellen, ob Personen, deren Sozialversicherungsnummern nicht kompromittiert wurden, über die aber andere Informationen preisgegeben worden sein könnten, auch als Betroffene des Vorfalls betrachtet werden sollten", schreibt Archuleta. Die 18 Millionen hatten für eine Bundesbehörde gearbeitet oder arbeiten wollen, beziehungsweise waren im Auftrag eines anderen (potenziellen) Arbeitgebers überprüft worden. Ihre Daten sind nun in den falschen Händen. Laut US-Regierungskreisen sollen das die Hände von Spionen der Volksrepublik China sein, die das aber in Abrede stellt.

Am Mittwoch musste Archuleta nicht nur diesen Brief schreiben, sondern auch ein weiteres Mal persönlich vor dem Ausschuss aussagen. Dabei gestand sie ein, dass "aufgrund des Alters unserer Einrichtungen Verschlüsselung [gespeicherter Daten] nicht immer möglich" sei. Bei dem Angriff hätte eine Verschlüsselung aber sowieso nichts gebracht, argumentierte die Managerin. Die Angreifer hätten dann auch die Schlüssel und Passwörter kopiert.

2014 hatte das interne Aufsichtsbüro des OPM empfohlen, elf seiner 47 IT-Systeme stillzulegen. Die hatten nämlich keine gültige Sicherheitsbescheinigung. Das OPM folgte der Empfehlung nicht. "Systeme abzuschalten würde bedeuten, dass Rentner nicht bezahlt werden, und dass keine neuen Sicherheitsbescheinigungen ausgestellt werden könnten", rechtfertigte sich Archuleta am Mittwoch. Inzwischen hätten zehn der elf Systeme eine neue oder zumindest eine eingeschränkte Sicherheitsbescheinigung erhalten.

Das Wall Street Journal erhob am Mittwoch weitere Vorwürfe gegen das OPM: Nicht nur habe es in Absprache mit dem Weißen Haus den Hack in zwei Vorfälle geteilt. Sondern das OPM habe die Preisgabe der Sicherheitsdaten auch zweimal geleugnet.

Journalisten der Zeitung hatten konkret nach den Daten aus den Sicherheitsüberprüfungen gefragt: Einmal vor der Bekanntmachung des "ersten Vorfalls" durch das OPM, und dann erneut am Tag danach, dem 5. Juni. Bei der zweiten Leugnung habe das FBI das OPM jedoch bereits über die Zugriffe auf die Sicherheitsinformationen informiert gehabt, schreibt das Journal.

Und auch gut vernetzte Außenstehende wussten offenbar bereits Bescheid: Die Zeitung verweist auf ein Rundschreiben der Präsidentin der Universitäten von Kalifornien vom 5. Juni, woraus hervorgehe, dass sie von der Kompromittierung der Sicherheitsüberprüfung wusste. Die Uni-Präsidentin heißt Janet Napolitano und war bis September 2013 Ministerin für Heimatschutz. (ds)


Aus: "Hack des Personalbüros der US-Regierung viel schlimmer als gedacht" (25.06.2015)
Quelle: http://www.heise.de/newsticker/meldung/Hack-des-Personalbueros-der-US-Regierung-viel-schlimmer-als-gedacht-2726065.html (http://www.heise.de/newsticker/meldung/Hack-des-Personalbueros-der-US-Regierung-viel-schlimmer-als-gedacht-2726065.html)

Title: [Die Serie...]
Post by: Textaris(txt*bot) on August 31, 2015, 10:17:05 vorm.
Quote
[...] Die Serie spektakulärer Hacks geht ungebrochen weiter, mit "Ashley Madison" wurde am Wochenende die zweitgrößte Dating-Plattform für Seitensprünge in den USA gehackt. Erst Ende Mai war "Adult FriendFinder", die Nummer eins auf diesem Markt fürt sexuelle Abenteuer erfolgreich angegriffen worden. Die beiden Firmen verfügen nach eigenen Angaben über mehr als 100 Millionen Kunden, wieviele davon betroffen sind, ist unbekannt. Seitens der betroffenen Unternehmen ist von Insidern die Rede, was aber nicht nur angesichts der Dimensionen beider Fälle wenig glaubhaft ist. Beide Dating-Sites sind in den 20 bzw. 13 Jahren ihrer Existenz nie durch große Datenverluste aufgefallen.

Die Verwaltung des öffentlichen Dienstes (OPM) in den USA wiederum hat mit den Folgen eines einzigartigen Einbruchs zu kämpfen, der ebenfalls Ende Mai an die Öffentlichkeit kam. Bis dahin war kein einziger Fall von Datendiebstahl bekannt, der Millionen behördlicher Sicherheits-Checks für US-Beamte betraf. Diese Datensätze enthalten die intimsten denkbaren Details über die privaten Lebensumstände aller Personen, die sich in den letzten 15 Jahren für eine Stelle im Öffentlichen Dienst beworben haben und in Folge vom FBI überprüft worden waren. Erst Mitte Juli wurden erste Notmaßnahmen zur provisorischen Absicherung von drei Dutzend OPM-Datenbanksystemen verhängt.

Laut diesen amtlichen Weisungen waren die tatsächlichen Dimensionen dieses Datenangriffs erst nach zweimonatiger forensischer Untersuchung erkannt worden. Bei der Entdeckung im April war man noch von 4,2 Millionen Datensätzen ausgegangen, Anfang Juli galten dann plötzlich 21,5 Mio Personendaten als kompromittiert. Neben aktiven Angestellten des öffentlichen Diensts sind auch Pensionisten, Anwärter oder Mitarbeiter von Vertragsfirmen betroffen, deren gesamte Lebensgeschichten in diesen behördlichen Sicherheits-Checks abgebildet sind.

1,7 Millionen Datensätze betreffen allein die Lebenspartner von Beamten, die in Bereichen mit höheren Sicherheitsstufen arbeiten. Wie wenig vorbereitet die Behörde auf eine solch verheerende Attacke war, zeigt schon allein der Umstand, dass die ersten individuellen Warnungen an die Betroffenen erst nach dem 9. Juli hinausgegangen waren.

In einer neueren Weisung vom 16. Juli aus dem Management von OPM sind dann die Datenbanksysteme des Öffentlichen Dienstes aufgelistet, die von den Notmaßmahmen betroffen sind. Neben den eigentlichen Personalakten sind auch die Datenbanken mit Beschwerden und Untersuchungen, Disziplinarangelegenheiten, Entlohnung, Reisen und Urlauben oder Gesundheitsszustand samt indiviuduellen Krankengeschichten. Dazu kommen die Metadaten aller Telefonate, Testergebnisse bei Fortbildungsprogrammen, Disziplinarmaßnahmen und Degradierungen.

Aber auch alle Anwärter für das "CyberCorps" sind betroffen, sowie US-Staatsbürger, die in den letzten Jahren einen Auskunftsantrag unter dem US-Transparenzgesetz "Freedom of Information Act" an das OPM gestellt haben. Dazu kommen die Protokolle der Befragung von Lebenspartnern, Verwandten und Bekannten aus dem persönlichen Umfeld, auf wahrheitsgetreue Informationen über sexuelle Beziehungen wird logischerweise besonderer Stellenwert gelegt. Diese Personen, die zwar mit Namen und Adressen aufscheinen, werden offenbar nicht einmal mitgezählt, wenn es über sie keine eigenen Personaldatensätze gibt.

Bereits im Mai hatte der Spionageabwehrexperte John Schindler den OPM-Einbruch als "zertifiziertes Desaster, ein epic #FAIL" bezeichnet, denn diese Datensätze seien eine "Goldmine für ausländische Geheimdienste", da sie alles Nötige enthalten, um US-Beamte zu erpressen und für ihre Dienste zu rekrutieren. Schindler, der lange Jahre NSA-Mitarbeiter war, ist keineswegs ein Whistleblower, sondern erweist sich regelmäßig als erbitterter Verteidiger seines ehemaligen Arbeitgebers. Schindler hatte als erster darauf hingewiesen, dass auch die Datenbank mit den "Background Checks" für den Bereich "nationale Sicherheit" kompromittiert sein muss.

In dieses inhaltliche und zeitliche Umfeld fallen die Angriffe auf die beiden Dating-Websites für Sexualkontakte, die in der Vergangenheit nur durch Delikte aufgefallen waren, die in dieser Branche weit verbreitet sind: Falsche Accounts, um einen höheren Frauenanteil vorzuspiegeln, oder fortlaufende Gebühren trotz erfolgter Kündigung des Kontos. Weil sowohl der bereits 1995 gestartete Adult Friendfinder wie auch Ashley Madison (gegründet 2002) keinen Fall von Datenverlust auswiesen, galten gerade diese Websites, die intimste Daten prozessieren, deshalb auch als überdurchschnittlich gut gesichert.

Dass in beiden Fällen von Rachsucht getriebene Insider der Firmen am Werke waren, die im Alleingang handelten, ist angesichts der zeitlichen Abfolge der Angriffe, den bisher sichtbaren Folgen, wie auch vom technisch-organisatorischen Schwierigkeitsgrad kaum vorstellbar. Hier wurden zeitlich knapp hintereinander zwei verschiedene Datennetze penetriert und unterwandert, die direkten Konkurrenten auf demselben Markt gehören.

Die aktuellen Abläufe im Fall Ashley Madison erinnern geradzu frappierend an die Reaktion von Sony auf den verheerenden Angriff im Dezember. Seitens des Sony-Managements war erst von "Hacktivists" die Rede, dann wurden Insider, nämlich vergrätzte ehemalige Angestellte, verdächtigt und es wurde öffentlich versichert, bereits einschlägige Spuren zu verfolgen.

Wie bei Sony werden auch bei Ashley Madison leitende Angestellte der Firma in den Botschaften der "Hacker" persönlich angesprochen. Dito gab es ähnliche Beschimpfungen und starke Sprüche auch in anonymen Foren, die Kriminelle frequentieren. Besonders auffällig dabei ist, dass beiden Firmen amoralisches Verhalten vorgehalten wurde. Sony war ultimativ aufgefordert worden, eine fertig produzierte Comedy über Nordkorea nicht in die Kinos zu bringen, ansonsten würden alle gestohlenen Daten tranchenweise im Netz verbreitet. Die Betreiber von Ashley Madison sehen sich nun mit der Forderung der "Hacker" konfrontiert, ihre Website komplett vom Netz zu nehmen, ansonsten würden täglich Tranchen von Kundendatensätze veröffentlicht .

Bis Mittwoch ist noch kein Datensatz von Ashley Madison nachweislich im Netz aufgetaucht, im Fall des Konkurrenten Adult FriendFinder wurden anfangs zwar vier Millionen Datensätze im Netz veröffentlicht. Hier handelte es sich aber nicht etwa um einen "Dump" von Rohdaten aus den Datenbanken, sondern um Auszüge aus den Datenfeldern der Personenprofile, die in Excel-Dateien übertragen wurde. Die wenigen bekannten Screenshots zeigen in erster Linie Stammdaten, Verweise auf sexuelle Präferenzen, die sich alle in einem der ausgewählten paar Datenfelder befinden, sind die Ausnahmen.

Das Netz von Sony ist zwar um mehrere Dimensionen größer als die Systeme der beiden kompromittierten Sites für Kontakte der sexuellen Art. Doch für die Exfiltration von solchen Datenmassen aus verschiedenen Datenbanken oder Mailservern von kleinjeren Netzen braucht es eine bestimmte Zeit, in der die Angreifer im System aktiv sind. Um eine frühe Enttarnung zu verhindern und diese Datenmengen erfolgreich an Firewalls und "Deep Packet Inspection"- Mechanismen vorbeizuschleusen bedarf es einer entwickelten Spionagesuite, die umfangreiche Tarnmaßnahmen integriert hat. Über Ähnliches verfügt nur das Topsegment der kriminellen Szene, während von Militärgeheimdiensten gesteuerte Gruppen über Tools verfügen, die um Klassen besser sind.

Das Netz von Sony ist zwar um mehrere Dimensionen größer als die Systeme der beiden kompromittierten Sites für Kontakte der sexuellen Art. Doch für die Exfiltration von solchen Datenmassen aus verschiedenen Datenbanken oder Mailservern von kleinjeren Netzen braucht es eine bestimmte Zeit, in der die Angreifer im System aktiv sind. Um eine frühe Enttarnung zu verhindern und diese Datenmengen erfolgreich an Firewalls und "Deep Packet Inspection"- Mechanismen vorbeizuschleusen bedarf es einer entwickelten Spionagesuite, die umfangreiche Tarnmaßnahmen integriert hat. Über Ähnliches verfügt nur das Topsegment der kriminellen Szene, während von Militärgeheimdiensten gesteuerte Gruppen über Tools verfügen, die um Klassen besser sind.


Aus: "Serienhacks von Sexkontaktbörsen in den USA" Erich Möchel (22.07.2015)
Quelle: http://fm4.orf.at/stories/1760970/ (http://fm4.orf.at/stories/1760970/)

Title: [ ...sind im Netz aufgetaucht.]
Post by: Textaris(txt*bot) on Oktober 05, 2015, 09:52:51 vorm.
Quote
[...] Unbekannte haben die Daten aus dem Hack der Crowdfunding-Plattform Patreon im Netz veröffentlicht. Neben vielen unverschlüsselten Daten sind auch verschlüsselte Passwörter und der Quellcode der Webseite darunter.

Fast 15 GB an Nutzerdaten, die aus dem Einbruch auf den Entwicklungsservern von Patreon stammen sollen, sind im Netz aufgetaucht. Sicherheitsforscher, die sich die SQL-Datei angesehen haben, halten diese für authentisch. Die Daten sollen Informationen über Patreon-Kampagnen, deren Unterstützer und die Geldbeträge enthalten, die dort geflossen sind. Nachrichten aus dem internen Messaging-System der Site geben zum Teil sehr persönliche Informationen über deren Nutzer preis. Außerdem sollen knapp 2,3 Millionen E-Mail-Adressen in dem Leak enthalten sein.

Die Patreon-Entwickler hatten aus Versehen eine Kopie der Produktions-Datenbank der Webseite auf einem Entwicklungs-Server öffentlich zugänglich gemacht. Unbekannten Hackern war es darauf hin gelungen, die Daten mitgehen zu lassen.

...


Aus: "Patreon-Nutzerdaten im Web: Spenden, Mail-Adressen, persönliche Nachrichten" (02.10.2015)
Quelle: http://www.heise.de/newsticker/meldung/Patreon-Nutzerdaten-im-Web-Spenden-Mail-Adressen-persoenliche-Nachrichten-2836878.html (http://www.heise.de/newsticker/meldung/Patreon-Nutzerdaten-im-Web-Spenden-Mail-Adressen-persoenliche-Nachrichten-2836878.html)

Title: [Davon waren der Firma zufolge...]
Post by: Textaris(txt*bot) on Dezember 16, 2015, 05:10:26 nachm.
Quote
[...] Der Lernspielzeug-Anbieter VTech wurde vor rund drei Wochen Opfer einerHacker-Attacke. Dabei haben die Angreifer Nutzerdaten kopiert. Davon waren der Firma zufolge rund 4,8 Millionen Eltern-Konten und fast 6,4 Millionen zugehörige Profile von Kindern betroffen. ...


Aus: "Hack des Lernspielzeug-Anbieters VTech: Verdächtiger festgenommen" (16.12.2015)
Quelle: http://www.heise.de/newsticker/meldung/Hack-des-Lernspielzeug-Anbieters-VTech-Verdaechtiger-festgenommen-3044811.html (http://www.heise.de/newsticker/meldung/Hack-des-Lernspielzeug-Anbieters-VTech-Verdaechtiger-festgenommen-3044811.html)

"VTech Hacker Explains Why He Hacked the Toy Company"
Written by Lorenzo Franceschi-Bicchierai Staff Writer December 2, 2015 // 07:00 AM EST
http://motherboard.vice.com/read/vtech-hacker-explains-why-he-hacked-the-toy-company (http://motherboard.vice.com/read/vtech-hacker-explains-why-he-hacked-the-toy-company)

Title: [Ein massiver...]
Post by: Textaris(txt*bot) on Januar 07, 2016, 05:46:31 nachm.
Quote
[...] Ein massiver Datendiebstahl erschüttert die Universität Graz. Rund 47,2 Gigabyte sollen entwendet worden sein, darunter so heikle Informationen wie Prüfungsnoten samt dazugehörigem Namen des Studenten, Prüfungsfragen, Zutrittsberechtigungen oder Budgetinformationen. Die Uni Graz habe am 28.12. von dem Datenleck erfahren, seitdem prüfe die IT-Abteilung "fieberhaft", wie der Angreifer in das System eindringen konnte. Potenziell könnten mehrere hundert (ehemalige) Studenten betroffen sein, da sich Ordner mit Prüfungsnoten mehrerer Professoren in der Datei befinden.


Aus: "Prüfungsnoten, Budgetinfos: Massiver Datendiebstahl an Uni Graz" (7. Jänner 2016)
Quelle: http://derstandard.at/2000028629470/Pruefungsnoten-Budgetinfos-Massiver-Datendiebstahl-an-Uni-Graz? (http://derstandard.at/2000028629470/Pruefungsnoten-Budgetinfos-Massiver-Datendiebstahl-an-Uni-Graz?)
Title: [Unbekannte haben... ]
Post by: Textaris(txt*bot) on April 05, 2016, 12:41:41 nachm.
Quote
[...] Unbekannte haben personenbezogene Daten von über 49,6 Millionen türkischen Bürgern im Netz veröffentlicht. Darunter befinden sich der Name, die Adresse, Namen der Eltern, Geburtsdatum und -Ort sowie die nationale Identifikationsnummer (Türkiye Cumhuriyeti Kimlik Numarası). Bei den Daten soll es sich um einen älteren Dump eines Wahlregisters aus dem Jahr 2008 oder 2009 handeln. Der Datensatz soll zuvor schon an Interessenten zum Kauf angeboten worden sein und wurde nun wohl zum ersten Mal unverschlüsselt im Netz veröffentlicht.

Der knapp 6,6 GB große SQL-Dump, der heise Security vorliegt, scheint echt zu sein. Stichprobenartige Prüfungen ergeben Übereinstimmungen mit den echten Daten türkischer Bürger. Allerdings scheint das Leak nur türkische Bürger zu betreffen, die sich spätestens 2008 als Wähler registriert haben. Mit den in der Datenbank enthaltenen Daten ist es nach Ansicht von türkischen Beobachtern möglich, Betrügereien zu Lasten der Opfer zu begehen. Besonders die nationale Identifikationsnummer eigne sich in Zusammenhang mit Geburtsdatum und Adresse oft, um sich als die jeweilige Person auszugeben. Auch lässt sich die Datenbank einfach zur Adressermittlung nutzen, vorausgesetzt die Person ist seit 2008 nicht umgezogen.

Vor dem öffentlichen Leak sollen die Daten bereits als verschlüsselte Datei die Runde gemacht haben. Die Daten sollen in dieser Form zum Kauf angeboten worden sein. Gegen Bezahlung habe man so mit einem speziellen Nutzerinterface einzelne Anfragen entschlüsseln können. Nun scheint jemand die gesamte Datenbank geknackt zu haben oder die ursprünglichen Hacker haben genug an der Datenbank verdient, um sie aus der Hand zu geben. Sicher scheint zu sein, dass die Daten aus dem Merkezi Nüfus İdaresi Sistemi (MERNİS) stammen, der zentralen Einwohnermelde-Datenbank der türkischen Regierung.

Augenscheinlich ist die Veröffentlichung politisch motiviert. Auf der Seite mit dem Datendump protestieren die Hacker gegen den türkischen Regierungschef Erdoğan und haben unter anderem dessen persönliche Daten als Beispiel hervorgehoben. Es ist aber auch von Donald Trump die Rede; und das in einer Formulierung, die den Eindruck erweckt, die Hacker wären aus den USA. Dabei kann es sich natürlich auch um einen Verschleierungsversuch der wahren Motive der Täter handeln. (fab)

Quote
Shred, 04.04.2016 16:58

Vertrau mir, deine Daten sind in sicheren Händen, sprach der Staat.


Quote
Tzunami, 04.04.2016 16:05

Hat doch niemand was zu verbergen, oder wie war das?



Aus: "Persönliche Daten von 49 Millionen türkischen Wählern veröffentlicht" Fabian A. Scherschel (04.04.2016)
Quelle: http://www.heise.de/newsticker/meldung/Persoenliche-Daten-von-49-Millionen-tuerkischen-Waehlern-veroeffentlicht-3161729.html (http://www.heise.de/newsticker/meldung/Persoenliche-Daten-von-49-Millionen-tuerkischen-Waehlern-veroeffentlicht-3161729.html)

Title: [Das internationale Zahlungssystem Swift ist von...]
Post by: Textaris(txt*bot) on April 26, 2016, 10:12:16 vorm.
Quote
[...] Das internationale Zahlungssystem Swift ist von Hackern angegriffen worden. In einer Mitteilung warnt das Unternehmen seine Kunden vor Cyberattacken über das Netzwerk. Hintergrund ist der Angriff auf die Zentralbank von Bangladesch, bei der Kriminelle Anfang Februar 81 Millionen Dollar erbeuteten.

Im Zusammenhang mit diesem Vorfall räumte Swift nun ein, dass eine Schwachstelle in der Kunden-Software ursächlich ist. Sie soll mit einem Update behoben werden. Die Plattform, über den der Datenaustausch zwischen weltweit 11.000 Banken und Finanzeinrichtungen abgewickelt wird, sei aber nicht betroffen, sagte eine Swift-Sprecherin.

Bei der Attacke auf die Zentralbank von Bangladesch hatten die Angreifer insgesamt 951 Millionen Dollar angewiesen. Ein großer Teil der Überweisungen wurde allerdings blockiert. 81 Millionen Dollar wurden auf Konten auf den Philippinen gelenkt und dort an Kasinos weitergeleitet.

Das Eingeständnis von Swift folgt auf Ermittlungsergebnisse zu diesem Vorfall. So gehen die Behörden in Bangladesch  davon aus, dass die Hacker in die Notenbank-Computer eindrangen und sich dort Zugang zum Swift-System verschafften. Den Erkenntnissen zufolge hatten die Computer der Zentralbank ernsthafte Sicherheitsmängel. Allerdings wiesen die Ermittler Swift eine Mitverantwortung zu, weil es auf die Probleme offenbar nicht hingewiesen habe. In der Folge war der Chef der Zentralbank zurückgetreten.

Swift ist ein entscheidendes Instrument im internationalen Finanzsystems. Die internationale Kooperative mit Sitz in Brüssel wird von 3.000 Finanzinstituten betrieben. Ihr Auftrag dafür ist, Zahlungsvorgänge weltweit sicher abzuwickeln.


Aus: "Cyber-Angriff: Hacker dringen in Zahlungssystem Swift ein" (26. April 2016)
Quelle: http://www.zeit.de/wirtschaft/2016-04/cyber-angriff-swift-notenbank (http://www.zeit.de/wirtschaft/2016-04/cyber-angriff-swift-notenbank)

Title: [LinkedIn hat sich nie dazu herabgelassen...]
Post by: Textaris(txt*bot) on Mai 23, 2016, 09:06:43 vorm.
LinkedIn [ˌliŋkt.ˈɪn] ist ein webbasiertes soziales Netzwerk zur Pflege bestehender Geschäftskontakte und zum Knüpfen von neuen geschäftlichen Verbindungen. Es ist mit über 400 Millionen registrierten Nutzern in mehr als 200 Ländern (Stand: November 2015) die derzeit größte weltweite Plattform dieser Art und gehört laut Alexa zu den 20 weltweit meistbesuchten Internetseiten. ...
https://de.wikipedia.org/wiki/LinkedIn (https://de.wikipedia.org/wiki/LinkedIn)

Quote
[...] Web-Site-Hacks passieren fast täglich. Der von LinkedIn 2012 war in mehrerer Hinsicht besonders. Er offenbarte, dass die Sicherheitsvorkehrungen des Kontakt-Netzwerks nicht einmal elementaren Standards genügten, was heise Security schon damals zu einem bösen Kommentar zum schlampigen Umgang mit Passwörtern bei LinkedIn veranlasste. Vier Jahre später zeigt sich, dass alles noch viel schlimmer ist.

LinkedIn hat sich nie dazu herabgelassen, seinen Nutzern zu erklären, was da eigentlich genau passiert ist und welches Ausmaß das Problem hatte. Man sprach lediglich vage von einigen betroffenen Nutzern. Ein veröffentlichter Datensatz mit 6,5 Millionen LinkedIn-Passwörtern erwies sich als echt, aber konkrete Zahlen nannte LinkedIn nie. Jetzt bietet ein Unbekannter unter dem Pseudonym "Peace" im Untergrund für 5 Bitcoins rund 117 Millionen LinkedIn-Passwörter zum Kauf an – und auch die erweisen sich als echt. Kurz nach den ersten Berichten bestätigt LinkedIn die Echtheit der Daten und kündigt an, man wolle Maßnahmen ergreifen, den möglichen Schaden einzugrenzen.

Die 2012 veröffentlichten Passwörter waren zwar gesichert, aber nur als einfacher Hash ohne Salt. Damit boten sie sich als ideales Übungsmaterial für Cracking-Experimente an und Passwortknacker aller Länder machten sich einen Sport daraus, den Hashes echte Passwörter zuzuordnen. Es ist anzunehmen, dass auch die jetzt angebotenen 100 Millionen nicht besser gesichert waren und sich ebenfalls leicht knacken lassen.

Dieses Passwort-Leck hat damit Bedeutung weit über LinkedIn hinaus. Nicht nur, dass viele Anwender die gleichen Passwörter nach wie vor für mehrere Zugänge nutzen und somit auch deren Facebook, Google oder Xing-Account in die Schusslinie der Angreifer kommt. Echte Passwörter sind auch ein wichtiger Rohstoff für Cracker und deren fortgeschrittene Algorithmen. Die kann man nämlich damit so trainieren, dass sie zukünftig noch effizienter arbeiten.


Aus: "LinkedIn-Passwort-Leck hat desaströse Ausmaße" Jürgen Schmidt (19.05.2016)
Quelle: http://www.heise.de/newsticker/meldung/LinkedIn-Passwort-Leck-hat-desastroese-Ausmasse-3210793.html (http://www.heise.de/newsticker/meldung/LinkedIn-Passwort-Leck-hat-desastroese-Ausmasse-3210793.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Mai 24, 2016, 09:34:15 vorm.
Quote
[...] Bei einem Hackerangriff auf den staatseigenen Schweizer Rüstungskonzern RUAG sind mehr als 20 Gigabyte Daten entwendet worden. Das geht aus einem Bericht der Melde- und Analysestelle Informationssicherung (Melani) hervor, der am Montag in Bern vorgestellt wurde. In der vergangenen Woche war die Hackerattacke auf den Rüstungskonzern publik geworden.

Dem Bericht zufolge hat eine Serie von Hackerangriffen gegen die RUAG bereits im Dezember 2014 begonnen und war über ein Jahr lang unentdeckt geblieben. Auch das Schweizer Verteidigungsministerium war Anfang 2016 zum Ziel eines Hackerangriffs geworden. Dieser Angriff wurde jedoch rechtzeitig entdeckt.

Für den Angriff auf die RUAG benutzten die Angreifer dem Melani-Bericht zufolge eine seit mehreren Jahren im Umlauf befindliche Schadsoftware der Turla-Familie. Die im Netzwerk der RUAG beobachtete Variante habe eine Rootkit-Funktion und setze auf Tarnung, um unerkannt zu bleiben. Die Angreifer seien mit viel Geduld vorgegangen.

...


Aus: "Hacker stahlen mehr als 20 GByte Daten bei Schweizer Rüstungsbetrieb" Tom Sperlich (23.05.2016)
Quelle: http://www.heise.de/newsticker/meldung/Hacker-stahlen-mehr-als-20-GByte-Daten-bei-Schweizer-Ruestungsbetrieb-3216344.html (http://www.heise.de/newsticker/meldung/Hacker-stahlen-mehr-als-20-GByte-Daten-bei-Schweizer-Ruestungsbetrieb-3216344.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Mai 24, 2016, 10:01:25 vorm.
Quote
[...] In einer konzertierten Aktion, bei der in Japan innerhalb weniger Stunden rund 14000 Abhebungen an über 1400 Geldautomaten durchgeführt wurden, erbeutete eine Bande offenbar rund 13 Millionen US-Dollar. Das berichtete zunächst die japanische Nachrichten-Seite The Mainichi. Mittlerweile hat die südafrikanische Standard Bank bestätigt, dass sie das Opfer eines organisierten Raubzugs wurde, der rund 19 Millionen US-Dollar Schaden verursachte. "Kunden ist dabei kein Schaden entstanden", zitiert Bloomberg die Bank.

... Japan hinkt jedoch bei Einführung und Durchsetzung des Bezahlstandards EMV für Smartcard-Chips deutlich hinterher. Erst vor zwei Jahren wurden dort die ersten EMV-fähigen Geldautomaten in Japan aufgestellt. Es ist somit anzunehmen, dass die Kriminellen zum Fälschen der Kreditkarten lediglich die Magnetstreifen leerer Karten beschreiben mussten. Wie sie an die dazu benötigten Magnetstreifen-Daten und die PINs gekommen sind, ist nicht bekannt.

Update 23.5.2016, 14:30: Die Akzeptanz von ausländischen Kreditkarten in Japan hat sich in den letzten Jahren deutlich verbessert; deshalb wurde der diesbezügliche Hinweis abgeschwächt.

2.Update 23.5.2016: Berichtigt: Es waren laut Quelle nicht 1400 sondern 14000 Abhebungen an 1400 Automaten. (ju)

...


Aus: "Japan: Kreditkarten-Betrüger erbeuten 13 Millionen US-Dollar" (23.05.2016)
Quelle: http://www.heise.de/newsticker/meldung/Japan-Kreditkarten-Betrueger-erbeuten-13-Millionen-US-Dollar-3213873.html (http://www.heise.de/newsticker/meldung/Japan-Kreditkarten-Betrueger-erbeuten-13-Millionen-US-Dollar-3213873.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Mai 30, 2016, 05:12:55 nachm.
Quote
[...] Bei einem Angriff auf die Website des Süddeutsche Zeitung Magazins sind mit hoher Wahrscheinlichkeit Daten von Nutzern erbeutet worden. Ein Unbefugter habe sich Mitte Mai 2016 rechtswidrig Zugriff auf einen Datenbankserver des SZ-Magazins verschafft, teilte der Verlag am Montag mit. "Auf diesem sind Profil-Stammdaten gespeichert, mit denen sich Nutzer in der Vergangenheit unter sz-magazin.sueddeutsche.de registriert hatten", etwa um an Gewinnspielen teilzunehmen, hieß es. Außerdem seien Profildaten betroffen, die für eine Kommentarfunktion und die Anmeldung für bestimmte Newletter benötigt wurden.

Neben der E-Mail- und Postadresse der Kunden standen auch verschlüsselte Passwörter in der gehackten Datenbank. Die Passwörter wurden als kryptologischer Hashwert gespeichert. Da es trotzdem möglich sei, gerade einzelne Passwörter zu knacken, forderte der Verlag die betroffenen Kunden auf, ihre Zugangsdaten zu ändern.

Um etwas über die tatsächliche Gefahr für die Passwörter zu sagen, müsste bekannt sein, wie die Hashes erzeugt wurden. Aber genauere Angaben, ob es sich dabei womöglich wie bei LinkedIn etwa um sehr einfach zu knackende, ungesalzene SHA1-Hashes oder um ein tatsächlich sicheres Verfahren wie PBKDF2 oder bcrypt handelt, machte der Verlag nicht. Unsere Anfragen dazu blieben bislang unbeantwortet.

Der Angriff erfolgte dem Verlag zufolge über Blogseiten beziehungsweise. Blogfunktionen, die mittlerweile deaktiviert wurden. "Dadurch wurden die für den Angriff verantwortlichen Schwachstellen geschlossen. Erneute Angriffsversuche wurden daraufhin nicht mehr festgestellt." Alle betroffenen Nutzer seien per E-Mail über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden. Außerdem wurde bei der Kriminalpolizei München Strafantrag gegen Unbekannt gestellt. (mit Material der dpa) / (anw)


Aus: "Angreifer erbeuten Nutzerdaten von sz-magazin.de" (30.05.2016)
Quelle: http://www.heise.de/newsticker/meldung/Angreifer-erbeuten-Nutzerdaten-von-sz-magazin-de-3222586.html (http://www.heise.de/newsticker/meldung/Angreifer-erbeuten-Nutzerdaten-von-sz-magazin-de-3222586.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on August 06, 2016, 09:59:07 vorm.
Quote
[...] In den USA hat ein Betreiber mehrerer Krankenhäuser zugestimmt, insgesamt 5,55 Millionen US-Dollar zu bezahlen, um die Untersuchung von Verstößen gegen den vorgeschriebenen Schutz von Patientendaten zu beenden. Wie die Chicago Tribune berichtet, beendet das Advocate Health Care Network mit dem Vergleich Ermittlungen, die 2013 begonnen hatten. Dabei ging es demnach um drei verschiedene Verluste von Patientendaten, bei denen unter anderem elektronische Gesundheitsinformationen von vier Millionen Personen verloren gegangen waren – darunter nicht nur medizinische Daten, sondern auch Namen, Kreditkartennummern und Geburtstage.

Wie die US-Zeitung ausführt, seien zuerst vier unverschlüsselte Laptops aus einem Büro gestohlen worden. Später sei das Netzwerk eines Geschäftspartners der Krankenhauskette und möglicherweise Daten zu mehr als 2000 Patienten kompromittiert worden. Schließlich sei im Herbst 2013 erneut ein unverschlüsselter Laptop eines Mitarbeiters gestohlen worden, wieder mit Informationen zu Tausenden Patienten. Die nachfolgenden Untersuchungen hätten ergeben, dass Advocate Health Care die Risiken nicht richtig eingeschätzt und sowohl die Laptops als auch die Netzwerke nicht angemessen geschützt habe. Das Unternehmen, das damit keine Schuld eingestanden hat, verweist darauf, dass es keine Hinweise dafür gebe, dass die Daten missbraucht worden seien. (mho)


Aus: "US-Krankenhaus: 5,5 Millionen US-Dollar Strafe wegen Datenverlust" (05.08.2016)
Quellle: http://www.heise.de/newsticker/meldung/US-Krankenhaus-5-5-Millionen-US-Dollar-Strafe-wegen-Datenverlust-3289330.html (http://www.heise.de/newsticker/meldung/US-Krankenhaus-5-5-Millionen-US-Dollar-Strafe-wegen-Datenverlust-3289330.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on September 03, 2016, 12:43:26 nachm.
Quote
[...] Opfer von Identitätsdiebstahl im Internet können sich bei der Schufa ab sofort gegen weiteren Missbrauch ihrer persönlichen Daten schützen. Die Auskunftei hat dazu eine Datenbank eingeführt, in der entsprechende Merkmale gespeichert werden. Zudem wird die persönliche Schufa-Auskunft um das Verbrauchermerkmal "Identitätsbetrugsopfer" erweitert. Betroffene sollen damit vor Wiederholungsfällen geschützt werden.

Grund für diesen Schritt ist nach einem Bericht der Wirtschaftswoche die stark steigende Zahl solcher Fälle: Vier von fünf Online-Händlern hatten es demzufolge schon mit Betrügern zu tun. In mehr als der Hälfte der Fälle nutzen die Kriminellen dafür eine fremde oder falsche Identität. Meist kaufen sie Waren unter falschem Namen auf Rechnung, Zahlungsaufforderungen und Mahnungen erhält später das ahnungslose Opfer.

Opfer von Identitätsmissbrauch sollten zunächst eine Strafanzeige bei der Polizei erstatten, erklärt ein Schufa-Sprecher. Eine Kopie dieser Anzeige kann dann zusammen mit den Kopien der Ausweise und einem entsprechenden Formular, das auf der Schufa-Homepage heruntergeladen werden kann, eingereicht werden. Nach einer Prüfung der Unterlagen speichert die Schufa die Information. Einen Einfluss auf die Bonitätseinschätzung des Verbrauchers hat ein entsprechender Eintrag nach Angaben der Schufa nicht. (dpa) / (jk)


Aus: "Schufa erfasst ab sofort Identitätsdiebstahl" (02.09.2016)
Quelle: http://www.heise.de/newsticker/meldung/Schufa-erfasst-ab-sofort-Identitaetsdiebstahl-3312239.html (http://www.heise.de/newsticker/meldung/Schufa-erfasst-ab-sofort-Identitaetsdiebstahl-3312239.html)

https://www.schufa.de/de/einmeldung-identitaetsmissbrauch.jsp (https://www.schufa.de/de/einmeldung-identitaetsmissbrauch.jsp)

Identitätsdiebstahl oder -betrug trifft aber nicht nur Promis: Ein Viertel aller Internetnutzer in Deutschland wurde bereits Opfer von Datenmissbrauch oder Internetkriminalität. Das Internet macht es den Betrügern heute relativ leicht: Der Daten- und Identitätsdiebstahl über Schadprogramme auf Web-Seiten oder in E-Mails erfolgt automatisiert und tausendfach, der Betrüger bleibt unsichtbar, die Betrugsmöglichkeiten über den Online-Handel sind schier unendlich. ...
http://www.wiwo.de/finanzen/steuern-recht/betrug-im-internet-neuer-schufa-eintrag-hilft-gegen-identitaetsklau/14481964.html (http://www.wiwo.de/finanzen/steuern-recht/betrug-im-internet-neuer-schufa-eintrag-hilft-gegen-identitaetsklau/14481964.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Oktober 11, 2016, 11:31:14 vorm.
Quote
[...] Das Yahoo-Gate wird immer größer: Erst der mehrere Monate nach Bekanntwerden veröffentlichte massive Datenklau, der viele Fragen offen lässt, dann der von der Regierung verordnete Email-Scan mit noch mehr Fragezeichen.

Das im Auftrag der Regierung durchgeführte Scanning kann nach Berichten von Reuters noch viel weitreichender gewesen sein, als bislang bekannt geworden ist. Datenschützer und der demokratische US-Senator Ron Wyden aus Oregon fordern daher die US-Regierung auf, die Direktive an Yahoo offenzulegen. Es sieht nach Erkenntnissen der Experten so aus, dass nicht nur die Emails gescannt worden sind, sondern das gesamte Yahoo-Netzwerk. Angeblich sollte nur der Pornografie-Filter geändert worden sein, aber der, so die Experten, durchsucht nur Videos und Bilder. Auch den Spam-Filter hätte man nicht verändern können, ohne dass es der nicht eingeweihten Sicherheitsabteilung aufgefallen wäre. Vielmehr habe man nach Aussagen früherer Yahoo-Mitarbeiter ein Kernel-Modul für Linux eingeschleust, das alles überwacht hat, was bei Yahoo über die Netze geht.

Die Behörden betonen, dass es sich dabei nur um bestimmte digitale Signaturen im Zusammenhang mit einer möglichen terroristischen Aktivität gehandelt habe, aber keinesfalls um eine allgemeine Massendurchsuchung von Emails und Telefon-Daten derart, wie sie die NSA gemäß der Veröffentlichung von Edward Snowden durchgeführt habe.

Die US-Datenschützer sehen dennoch in einer Durchsuchung des kompletten Netzwerks einen Verstoß gegen das "Fourth Amendment" zur US-Verfassung.

... Yahoo-Chefin Marissa Mayer gerät damit immer mehr unter Druck. Anders als etwa Tim Cook von Apple habe sie ohne Gegenwehr die Regierungsdirektive akzeptiert.

...

Quote
    evilk666, 10.10.2016 12:58

in Deutschland undenkbar

Also nicht der Umstand, dass sich z.B. BND und Telekom zur Massenüberwachung verabreden.
Ich meine, dass Teile der Regierung daran etwas auszusetzen hätten.
Aktuell erleben wir, dass rechtswidrige Taten von BND & Co durch Gesetzesänderung legalisiert werden sollen (die alten Rechtsbrüche bleiben natürlich sanktionsfrei, wie immer). Und wenn die Bundesregierung schon den BND die Totalüberwachung durchziehen lässt, soll das in Zukunft auch niemand mehr rauskriegen können - so wie auch alle anderen Behördentaten, in die das dumme Fußvolk seine Nase nicht reinzustecken hat. Also wird per Archivgesetz das Informationsfreiheitsgesetz ausgehebelt - Behörden müssen nur noch das rausgeben, was sie möchten. Alles andere schicken sie schnell ins Archiv & dann ist da 60 Jahre land der Deckel drauf. BND & Co dürfen "selbst entscheiden", was das Volk sehen darf - zur Not bleibt es eben bis in alle Ewigkeit geheim.

Aber in den USA ist das kaum anders - zum Teil aber trotzdem noch besser als bei uns.
Es wird viel Empörung geben, dann wird der Straftäter Clapper den Strafvereitlern (Parlamentarier) wieder einmal eine Lüge (Straftat) auftischen und ungeschoren (Strafvereitelung) davonkommen. Die Geheimdienste überwachen ja nur wegen der Terroristen. Zwar sammeln die auch Kompromat, gucken euren Kindern im Schlafzimmer beim Ausziehen zu oder tauschen sich deren Nacktfotos aus - aber da muss man dem größeren Ganzen wegen halt mal drüber hinwegsehen. Wo käme man auch hin, wenn diese kleinen Hoppalas alle bestrafen würde..


Quote
    stephen-falken

238 Beiträge seit 01.09.2015
09.10.2016 13:21

Nur Yahoo? - Die Enthüllungen sind ja schlimm, keine Frage. Doch überraschen kann das eigentlich Niemanden. Snowden hat vieles aufgezeigt. Und die NSA werden sich in den 3 Jahren nicht auf den Lorbeeren ausgeruht haben.

Verschlüsselung greift immer mehr um sich und das reine abgreifen von durchgeleitetem Traffic läuft immer mehr ins Leere. Ein Beispiel ist die gerade angezeigt Seite, Heise.de. Was liegt für die NSA jetzt näher als direkt bei den Anbietern "einzusteigen". Legal oder illegal, das ist nur eine Frage des Standortes. Ist der Anbieter in den USA beheimatet, gehts es ganz bequem und ohne aufsehen, per NSL. Andere Anbieter muss man mühsam einzeln hacken, das wird sicherlich oft genug getan. Ob heise dabei ist? Ob das den Aufwand lohnt? Benutzen die Equipment von Cisco? Egal.

US-Anbieter werden ganz sicher abgeschnorchelt werden. Alles im Sinne der nationalen Sicherheit. Doch nur Yahoo? Kein Hotmail, kein google, kein FB, kein Twitter? IMHO unglaubwürdig. Das findet IMHO bei allen US-Anbietern exakt genauso statt nur weiß davon eben noch niemand. Völlig absurd zu glauben das beträfe nur Yahoo.


Quote
    dylpes, 09.10.2016 13:27

Wieso sollte sie unter Druck sein? Von Regierungsseite alles Paletti, die Gehaltszahlungen sind auch auf dem Konto und was aus Yahoo wird "wayne interessierts".


...


Aus: "Yahoo-Gate: Offenbar wurden nicht nur Emails gescannt" Andreas Stiller (heise online, 09.10.2016)
Quelle: http://www.heise.de/newsticker/meldung/Yahoo-Gate-Offenbar-wurden-nicht-nur-Emails-gescannt-3343461.html (http://www.heise.de/newsticker/meldung/Yahoo-Gate-Offenbar-wurden-nicht-nur-Emails-gescannt-3343461.html)

---

Quote
[...] NEW YORK dpa/taz | Vom massiven Datenklau bei Yahoo im Jahr 2013 waren alle drei Milliarden Nutzerkonten bei dem Internet-Konzern betroffen. Bisher war von einer Milliarde Accounts die Rede gewesen – und schon damit war es der Daten-Diebstahl mit dem größten Ausmaß. Man habe kürzlich neue Informationen erhalten, die auf mehr Betroffene schließen ließen, teilte der neue Yahoo-Eigentümer, der Telekom-Anbieter Verizon, in der Nacht zum Mittwoch mit.

Unter den gestohlenen Daten seien keine Passwörter im Klartext sowie keine Kreditkarten- oder Kontoinformationen, bekräftigte Verizon. Nach bisherigen Informationen verschafften sich die Angreifer aber Zugriff auf Namen, E-Mail-Adressen, Telefonnummern sowie unkenntlich gemachte Passwörter. Ein Problem ist, dass auch Antworten auf Fragen bei vergessenen Passwörtern betroffen sein könnten, die auch auf anderen Websites vorkommen könnten.

Nach wie vor ist unklar, hinter wie vielen der Accounts zum Zeitpunkt der Attacke noch aktive Nutzer steckten. Die betroffenen Nutzerkonten verteilten sich auf diverse Yahoo-Dienste.

Yahoo hatte im vergangenen Jahr erst einen Hackerangriff im Jahr 2014 eingeräumt, von dem 500 Millionen Nutzerkonten betroffen waren. Kurz darauf wurde die vorherige, größere Attacke von 2013 bekannt. Die Enthüllungen führten dazu, dass der Kaufpreis für Yahoo um 350 Millionen Dollar gesenkt wurde. Verizon zahlte immer noch knapp 4,5 Milliarden Dollar. Die damalige Yahoo-Chefin Marissa Mayer verzichtete auf Bonuszahlungen.

Im Sommer 2016 tauchte die Datenbank wieder auf: Eine Netzsicherheitsfirma InfoArmor stieß auf ein „osteuropäisches Hackerkollektiv“, das 500 Millionen bis eine Milliarde Yahoo-Konten für 300.000 Dollar anbot. Die Firma konnte drei Verkäufe beobachten, zwei Mal an bekannte Spammer und ein weiteres Mal an einen mutmaßlich staatlichen Akteur, da zur Verifizierung die Daten von US-Regierungsmitarbeitern veröffentlicht wurden. Die Hackergruppe soll zuvor auch weitere soziale Netzwerke gehackt haben.

Im März wurden in den USA vier Männer wegen des kleineren Hacks 2014 angeklagt. Zwei der Angeklagten waren Offiziere des russischen Geheimdienstes FSB. Laut Anklageschrift nutzten sie die Daten um US-Regierungsangestellte und -Militärs zu bespitzeln, aber auch Banken und weitere private Firmen. Die New York Times berichtet, dass Ermittler davon ausgehen, dass auch die Angreifer hinter dem größeren Hack 2013 Verbindungen zur russischen Regierung hatten.

Auch wenn der Yahoo-Hack die meisten Betroffenen hat, könnte die jüngste Cyberattacke auf die Wirtschaftsauskunftei Equifax noch schwerwiegendere Folgen haben. Denn bei den dort betroffenen 145,5 Millionen Amerikanern könnte auch die Sozialversicherungsnummer gestohlen worden sein. Mit der kann man sich in den USA bei Vertragsabschlüssen identifizieren.


Aus: "Hack bei Yahoo war größer als bekannt: Alle 3 Milliarden Kontodaten geklaut" (4. 10. 2017)
Quelle: https://www.taz.de/Hack-bei-Yahoo-war-groesser-als-bekannt/!5451859/ (https://www.taz.de/Hack-bei-Yahoo-war-groesser-als-bekannt/!5451859/)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Oktober 16, 2016, 05:12:00 nachm.
Quote
[...] Es gibt einen Ort, an dem die Kanzlerin schimpft und zetert. "Verstehe nicht, was manche Leute mit nem ganzen Kasten Oettinger wollen. Mir reicht schon die eine Flasche in Brüssel", twittert die Satire-Figur @GrumpyMerkel, ein Social-Media-Double mit bitterbösem Humor und 21 000 Followern. Ihr Profilbild weist die Mundwinkel-Heiterkeit des Originals auf. Angela Merkel sagt hier, was manche der Regierungschefin sonst nur an der Mimik ablesen wollen: "Donald Trump – ein Politiker zum Anfassen." Klartext statt Wortwolken.

Fake-Profile wie die mürrische Merkel sind Sender satirischer Kurznachrichten, digitale Handpuppen mit frecher Klappe. Von der Reichweite internationaler Fakes sind sie freilich weit entfernt. Auch ihre Zahl ist unklar, in Deutschland dürften es schätzungsweise mehrere Dutzend sein, die als Politiker unter falschem Namen auftreten. Die Zahl von Justin-Bieber-Fakes hingegen ist schier unüberschaubar, allein auf Facebook lesen Hunderttausende die Posts.

Dagegen zählen Politiker-Fakes klar zu den Netz-Nischen für Liebhaber des politischen Wortspiels: Als "SPDings-Parteiboss" twittert ein Sigmar Gabriel, "Bundesminister für Wirtschaften und Energiedrinks", "BeaTrix von Storch" präsentiert sich als "Alte Naive für Deutschland", und Günther H. Oettinger stellt sich vor als "Kommissar for se Internet and Digital-Irrläuferle. And for Telekom and Schelfdrivingautos. This isch a schboof accountle."

Wissenschaftler wie Elisabetta Ferrari nehmen die virtuellen Karikaturen durchaus ernst. "Ein Fake kann eine machtvolle Kritik des Politischen sein, gerade wenn Politiker vorgeben, authentisch zu wirken", sagt die Kommunikationsforscherin, die die Auftritte italienischer Politiker-Fakes im Netz untersuchte. "Es ist interessant zu beobachten, wie Satire dieser Art zu einem wichtigen Gegenstand in der öffentlichen Auseinandersetzung mit Politik wird."

Das wird besonders deutlich, wenn sich Fakes unmittelbar auf die Realität auswirken. Dem "Gawker"-Blog gelang im Februar ein solch seltener Coup. Die Autoren erstellten einen Twitter-Roboter, der Sprüche des Faschisten Benito Mussolini (@ilduce2016) ausspuckte und adressierten diese an den Twitter-Account Donald Trumps – in der Hoffnung, dass der US-Republikaner irgendwann darauf anspringt, "egal wie dubios oder niederträchtig die Quelle auch ist, so lange sie sich wie eine Huldigung anhört", erklärten sie auf ihrer Website.

Die Falle schlug zu. Trump retweetete den Satz "Es ist besser, einen Tag als Löwe zu leben als 100 Jahre als Schaf" und setzte eine Diskussion in Gang, die auch von der "New York Times" aufgegriffen wurde.

Beispiele gibt es auch in Deutschland. Mit dem #Varoufake erregte der Satiriker Jan Böhmermann maximale "Mittelfinger-Verwirrung" ("Süddeutsche Zeitung"), als er behauptete, der in einem alten Video aufgetauchte und hitzig diskutierte Anti-Deutschland-Stinkefinger des griechischen Finanzministers Giannis Varoufakis sei eine von ihm in Umlauf gebrachte Fälschung.

"Politische Fakes erinnern uns daran, dass wir im Internet alle Fälschungen aufsitzen, das ist Teil unseres Lebens", sagt Ferrari bei einem Treffen der Association of Internet Researchers (AoIR) an der Humboldt-Universität in Berlin. Auch André Haller von der Universität Bamberg sieht eine allgemeine Tendenz zum "Politainment" – einer neuen Spielform, die Politik und Entertainment vermischt. "Medienhacks" wie Varoufake oder Fakeaccounts dienten in diesem Fall der Unterhaltung, sagt Haller. "Sie können aber auch als schwarze Propaganda gezielt zur Rufschädigung benutzt werden."

Doch muss sich Donald Trump – einer, der in Wirklichkeit seiner Karikatur verblüffend gleicht – tatsächlich vor gefälschten Profilen fürchten? Fakes könnten Populisten auch bekannter machen, warnt Haller. Bekräftigen sie die Stimme eines Tabubrechers, stärken sie – wenn auch ungewollt – dessen Image.

Welche medialen Wirkungen die Aussagen von Politiker-Fakes entfalten, lasse sich nur schwer messen, sagt Haller. Es könne aber sein, dass ihre Verbreitung die politische Debatte weiter verschärft. Onlinekommunikationsforscher Wolfgang Schweiger von der Universität Hohenheim hält dagegen: Nur die wenigsten Nutzer würden den Ursprung von Informationen im Internet hinterfragen, gefälschte Botschaften würden die Meinung von Trump-Anhängern daher nur bestärken, sagt er.

Und wie sieht es mit den Persönlichkeitsrechten aus? Der Berliner Rechtsanwalt Thorsten Feldmann hält Fake-Profile für problematisch. "Wenn jemand mit fremdem Namen oder Foto in Erscheinung tritt, könnte dies vor Gericht als Namensanmaßung oder Verletzung des Rechts am eigenen Bild gewertet werden", sagt der auf Urheber- und Medienrecht spezialisierte Anwalt. Bei satirischen Fake-Accounts in sozialen Medien stelle sich nun aber die Frage: "Erhebt ein Account einen Anspruch auf Authentizität? Tut also jemand so, als ob er Angela Merkel ist, oder sieht man dem Account die Satire an?" Dann könnte die Inszenierung als Kunst gedeutet werden – und wäre damit zulässig. (bb)


Aus: "Politiker-Fakes: Virtuelle Doppelgänger ärgern die Mächtigen" David Fischer, dpa (5.10.2016)
Quelle: http://www.heise.de/newsticker/meldung/Politiker-Fakes-Virtuelle-Doppelgaenger-aergern-die-Maechtigen-3351148.html (http://www.heise.de/newsticker/meldung/Politiker-Fakes-Virtuelle-Doppelgaenger-aergern-die-Maechtigen-3351148.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Oktober 16, 2016, 05:14:33 nachm.
Quote
[...] Laut den Sicherheitsforschern Risk Based Security (RBS) hatten mehrere Hacker Zugriff auf eine Datenbank des Dienstleisters Modern Business Solutions und entwendeten mindestens 58 Millionen Datensätze. Diese umfassen unter anderem Namen, IP-Adressen, Geburtsdaten, E-Mail-Adressen, Fahrzeugdaten und Angaben zur Berufstätigkeit. Modern Business Solutions ist ein US-amerikanischer Anbieter, der sich nach eigenen Angaben sich auf Datenmanagement und -monetarisierung spezialisiert hat. Zu den Kunden zählen unter anderem Unternehmen aus der Automobilbranche und der Arbeitsvermittlung, was zu den veröffentlichten Datensätzen passt.

Der Zugriff erfolgte laut dem Bericht von Risk Based Security über eine ungeschützte MongoDB-Datenbank, die die Hacker über den Suchdienst Shodan.io gefunden haben. Der Twitter-Nutzer 0x2Taylor veröffentlichte Links zu Filesharing-Diensten mit den gestohlenen Datensätzen, die inzwischen jedoch wieder entfernt wurden. Zudem sollen weitere 258 Millionen Daten einer anderen Datenbank von Modern Business Solutions im Umlauf sein. Diese wurde vom Dienstleister aber abgesichert, bevor RBS dies verifizieren konnte. Das Problem offener MongoDB-Datenbanken ist schon länger bekannt. (chh)


Aus: "Offene Datenbank: 58 Millionen Datensätze im Umlauf" Christian Hirsch (15.10.2016)
Quelle: http://www.heise.de/newsticker/meldung/Offene-Datenbank-58-Millionen-Datensaetze-im-Umlauf-3351104.html (http://www.heise.de/newsticker/meldung/Offene-Datenbank-58-Millionen-Datensaetze-im-Umlauf-3351104.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 28, 2016, 01:06:31 nachm.
Quote
[...] Durch einen nicht autorisierten Zugriff auf einen Laptop der HP-Dienstleistungssparte Enterprise Services sind persönliche Daten von mehr als 130.000 aktiven und ehemaligen Marinesoldaten in fremde Hände geraten. Das hat die US-Navy mitgeteilt und erklärt, bei den Daten handle es sich um sensible Daten darunter auch die Namen und die Sozialversicherungsnummern der Soldaten. Die Betroffenen sollen in den kommenden Wochen über verschiedene Kommunikationskanäle informiert werden. Noch gebe es keine Hinweise darauf, dass die erbeuteten Daten missbraucht worden seien.

Man nehme den Vorfall extrem ernst, versichert Vizeadmiral Robert Burke in der Mitteilung. Noch sei man ganz am Anfang der Untersuchung und arbeite jetzt daran, so schnell wie möglich alle Betroffenen zu identifizieren und ihnen zu helfen. Wie genau der Datenzugriff erfolgte, teilt die Navy nicht mit. Hewlett Packard Enterprise Services habe die Verantwortlichen der Teilstreitkraft bereits am 27. Oktober informiert, dass der Rechner eines Angestellten, der an einem Navy-Vertrag arbeitete, kompromittiert worden sei. Anschließend sei eine Untersuchung durch den Naval Criminal Investigative Service (NCIS) eingeleitet worden. (mho)


Aus: "US Navy: Persönliche Daten von 130.000 Marinesoldaten entwendet" Martin Holland (24.11.2016)
Quelle: https://www.heise.de/newsticker/meldung/US-Navy-Persoenliche-Daten-von-130-000-Marinesoldaten-entwendet-3504357.html (https://www.heise.de/newsticker/meldung/US-Navy-Persoenliche-Daten-von-130-000-Marinesoldaten-entwendet-3504357.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Dezember 06, 2016, 11:22:06 vorm.
Quote
[...] Beim Videoportal DailyMotion hat es allem Anschein nach ein Datenleck gegeben und Hacker konnten eine Datenbank mit mehr als 87,6 Millionen Accountdaten abziehen. Das geht aus einem Datenbank-Eintrag des Leaking-Portals Leakedsource.com hervor. Eine offizielle Stellungnahme von DailyMotion steht aktuell noch aus.

Leakedsource zufolge soll der Übergriff am 20. Oktober stattgefunden haben. Zdnet hat eigenen Angaben zufolge Zugriff auf einen Teil der kopierten Datenbank und stuft die Daten als echt ein. Darin sollen sich Nutzer-Namen, E-Mail-Adressen und geschützte Passwörter von 18 Millionen Account-Inhabern befinden.

..


Aus: "DailyMotion anscheinend gehackt: 87,6 Millionen Nutzer betroffen" Dennis Schirrmacher (06.12.2016)
Quelle: https://www.heise.de/newsticker/meldung/DailyMotion-anscheinend-gehackt-87-6-Millionen-Nutzer-betroffen-3559563.html (https://www.heise.de/newsticker/meldung/DailyMotion-anscheinend-gehackt-87-6-Millionen-Nutzer-betroffen-3559563.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juni 20, 2017, 07:26:51 vorm.
Quote
[...] Namen, Geburtsdaten, Adressen samt geographischer Koordinaten, Telefonnummern und weitere personenbezogene Angaben von 198 Millionen US-Amerikanern standen unverschlüsselt und ohne Passwortschutz auf einem AWS-Server. Das berichtet die IT-Sicherheitsfirma UpGuard, die auf das ungeschützte Verzeichnis gestoßen war. Gelistet waren demnach praktisch alle als Wähler registrierten US-Bürger, von denen es rund 200 Millionen geben dürfte. Nicht einmal die US-Regierung führt ein zentrales Wählerverzeichnis.

Die Datenbank war von der Firma Deep Root Analytics (DRA) online gestellt worden. DRA wird dem Umfeld des Republican National Committee (RNC), der Dachorganisation der Republikanischen Partei, zugerechnet. Die Daten verraten, dass DRA für jeden Wahlberechtigten weitere Informationen errechnet hat, darunter Rasse und Religion, sowie wahrscheinliche Meinungen zu zahlreichen konkreten Themen wie Waffenbesitz, Obamacare, Staatsschulden, Einwanderung, Einstellung zu Donald Trump oder ob sich Pharmafirmen schädlich verhalten.

So kamen Milliarden einzelner Werte zusammen, die insgesamt 1,1 Terabyte füllen. Die Wählerverzeichnisse dürften legal bei den einzelnen US-Staaten oder Wahlbezirken eingesammelt worden sein. Weitere Daten dürften von einer ganzen Reihe von Firmen und Organisationen aus der Republikanischen Sphäre beigesteuert worden sein. Zudem war ein inzwischen gesperrtes Reddit-Forum kopiert und abgelegt worden. UpGuard berichtet über weitere 24 Terabyte an Daten, die nicht frei zugänglich waren und deren Inhalt daher unbekannt ist.

UpGuard fand die falsch konfigurierte Datenbank nach eigenen Angaben am 12. Juni. Der Download der enormen Datenmengen dauerte demnach bis 14. Juni. Dann sperrte DRA nach einem Hinweis UpGuards den Zugriff. DRA hat ihren Fehler eingestanden und gibt an, nicht gehackt worden zu sein. Die Datenbank soll dazu dienen, die Schaltung von Werbung bei lokalen TV-Sendern zu steuern. (ds)


Aus: "USA: Republikaner stellten Daten aller Wähler online, ohne Passwort" Daniel AJ Sokolov (20.06.2017)
Quelle: https://www.heise.de/newsticker/meldung/USA-Republikaner-stellten-Daten-aller-Waehler-online-ohne-Passwort-3747865.html (https://www.heise.de/newsticker/meldung/USA-Republikaner-stellten-Daten-aller-Waehler-online-ohne-Passwort-3747865.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 22, 2017, 09:21:13 vorm.
Quote
[...] Dem Fahrdienstvermittler Uber sind bereits vor gut einem Jahr Daten von rund 50 Millionen Fahrgästen gestohlen worden. Das skandalgeschüttelte Start-up verschwieg aber den Vorfall und informierte die Öffentlichkeit erst am Dienstag. Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber.

Außerdem hätten sich die Angreifer auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern verschafft. Es seien nach bisherigen Erkenntnissen aber keine Kreditkarten-Daten oder Informationen zu Fahrten gestohlen worden, betonte die Firma.

Statt Behörden oder Betroffene zu informieren, bezahlte Uber den Hackern 100.000 Dollar (rund 85.000 Euro), damit sie die gestohlenen Daten vernichten, berichteten der Finanzdienst Bloomberg und die „New York Times“. Die New Yorker Staatsanwaltschaft leitete ein Ermittlungsverfahren zum Hacker-Angriff ein.

Uber gehe davon aus, dass die Informationen nicht verwendet worden seien, hieß es. Die Hacker seien im Oktober 2016 durch eine schlecht geschützte Datenbank in einem Cloud-Dienst an die Daten gekommen. Uber-Sicherheitschef Joe Sullivan und ein weiterer Manager verloren ihre Jobs, wie Uber weiter mitteilte. Sullivan war zuvor Sicherheitschef bei Facebook.

Die Vertuschung wirft einen weiteren Schatten auf die Ära des langjährigen Uber-Chefs Travis Kalanick, die von vielen Skandalen um den aggressiv auftretenden Fahrdienstvermittler geprägt war. Uber hatte bei der rasanten internationalen Expansion in vielen Ländern gegen geltende Regeln verstoßen. Zuletzt sorgte auch eine Klage der Google-Schwesterfirma Waymo für Aufsehen, in der Uber der Einsatz gestohlener Roboterwagen-Technologie vorgeworfen wird. Kalanick räumte im Sommer unter dem Druck von Investoren den Chefposten. Der Datenklau-Skandal dürfte seine Ambitionen, irgendwann wieder an die Spitze zurückzukehren, endgültig durchkreuzen.

Der neue Uber-Chef Dara Khosrowshahi erklärte am Dienstag zum Hackerangriff und dem nachfolgenden Schweigen: „Nichts davon hätte passieren dürfen und wir werden nicht nach Ausreden dafür suchen.“ Er selbst habe erst vor kurzem von dem Datendiebstahl erfahren, schrieb der seit Anfang September amtierende Khosrowshahi. „Ich kann die Vergangenheit nicht ausradieren, aber ich kann im Namen aller Uber-Mitarbeiter versprechen, dass wir aus unseren Fehlern lernen werden.“ Uber ändere die Art, wie es sein Geschäft führe.

Was das Ausmaß und dem Wert der gestohlenen Daten betrifft, verblasst der Uber-Hack neben anderen Fällen. So verschafften sich bei der Wirtschaftsauskunftei Equifax Unbekannte Zugriff auf die wichtigen Sozialversicherungsnummern von mehr als 40 Prozent der US-Bevölkerung. Und beim Internet-Konzern Yahoo waren 2013 Daten zu allen drei Milliarden Nutzer-Accounts gestohlen worden. Doch es ist außergewöhnlich, dass ein Unternehmen einen Datendiebstahl in dieser Dimension Behörden und Nutzern wissentlich verschwieg und einen Deal mit den Angreifern einging.

Besonders brenzlig für Uber könnte werden, dass die Hacker sich auch Zugriff auf Namen und Fahrerlaubnis-Nummern von rund 600.000 Fahrern in den USA verschaffen konnten. Führerscheine werden in Amerika oft als Ausweisdokumente verwendet, was die Daten für Betrüger wertvoll machen kann. Uber werde den Betroffenen nun helfen, nach einem möglichen Missbrauch der gestohlenen Daten Ausschau zu halten, kündigte Khosrowshahi an. Zugleich erklärte er, Uber habe seinerzeit die Zusicherung erhalten, dass die gestohlenen Daten vernichtet worden seien.

Als weitere Maßnahme engagierte Khowrowshahi einen früheren Chefjuristen des US-Geheimdienstes NSA, Matt Olsen, als Berater. Er solle dabei helfen, die Sicherheit bei Uber neu zu gestalten. (dpa)


Aus: "Datenskandal bei Fahrdienstleister: Uber vertuscht Hackerangriff auf Fahrgastdaten" (22.11.2017)
Quelle: http://www.tagesspiegel.de/wirtschaft/datenskandal-bei-fahrdienstleister-uber-vertuscht-hackerangriff-auf-fahrgastdaten/20615792.html (http://www.tagesspiegel.de/wirtschaft/datenskandal-bei-fahrdienstleister-uber-vertuscht-hackerangriff-auf-fahrgastdaten/20615792.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Dezember 06, 2017, 02:23:17 nachm.
Quote
[...] Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen.

Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf. Mittlerweile soll die Datenbank abgesichert sein. Unklar ist, wer vor der Absicherung darauf zugegriffen hat. Eine offene, von persönlichen Infos überlaufende Datenbank ist ein gefundenes Fressen für Kriminelle.

Installiert man die App etwa auf einem iPhone, fordert sie vollen Zugriff auf das Gerät ein. Mit den Rechten ausgestattet kann sie zum Beispiel alle Keyboard-Eingaben mitschneiden – auch aus der Vergangenheit. Zudem kann die App in dieser Position so ziemlich alles auslesen, was auf einem Gerät liegt, warnen die Sicherheitsforscher. Wer die App nutzt, sollte sie aufgrund der heftigen Datensammelei schleunigst deinstallieren.

In der Datenbank finden sich MacKeeper zufolge umfangreiche persönliche Daten wie Namen, Informationen aus Social-Media-Profilen, Kontaktdaten aus Adressbüchern, IMSI-, IMEI- und Telefonnummern, Standorte, E-Mail-Adressen und noch viele weitere Infos. Die Sicherheitsforscher geben zudem an, dass in dem Leak 373 Millionen Einträge liegen, die Einträge aus mit Google-Accounts synchronisierten Adressbüchern enthalten.

...


Aus: "Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt" Dennis Schirrmacher (06.12.2017)
Quelle: https://www.heise.de/security/meldung/Daten-von-31-Millionen-Nutzern-der-App-ai-type-Keyboard-geleakt-3910522.html (https://www.heise.de/security/meldung/Daten-von-31-Millionen-Nutzern-der-App-ai-type-Keyboard-geleakt-3910522.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Oktober 09, 2018, 03:37:23 nachm.
Quote
[...] Eine Datenhandelsfirma mit Profilen von mehr als 200 Millionen Menschen musste in der vergangenen Woche ein großes Datenleck eingestehen. Medienberichten zufolge war die Datenbank des US-Vertriebsdienstleisters Apollo offenbar wochenlang frei im Internet zugänglich. Zu den vermutlich abgegriffenen Daten gehören mehr als 125 Millionen E-Mailadressen.

Der Nachrichtenseite Techcrunch zufolge bestand die Sicherheitslücke seit Juli. Entdeckt wurde das Datenleck von dem IT-Sicherheitsunternehmer Vinny Troia im August. Gegenüber seinen Geschäftskunden hat Apollo inzwischen eingestanden, dass es mindestens einen unbefugten Zugriff auf die Daten gab. Das geht es aus einem Schreiben des Gründers Tim Zheng hervor, aus dem Wired zitiert.

Apollos Geschäftsmodell basiert darauf, Unternehmen zur Optimierung von Marketing und Vertrieb Kontaktdaten und Analysen über potenzielle Kunden zur Verfügung zu stellen.
Dem Brief zufolge sammelt die Firma für dieses Microtargeting personenbezogene Daten aus öffentlichen und nicht-öffentlichen Quellen. Unter anderem werden mit Webcrawlern Daten aus dem offenen Netz in Profilen zusammengeführt. Dazu gehören Informationen wie Namen und E-Mailadressen und Daten aus Twitter-Profilen. Doch auch LinkedIn-Profile, die nicht offen zugänglich sind, wurden von der Firma im großen Stil ausgelesen. „Ermöglichen Sie Ihrem Team, die richtigen Kontakte zur richtigen Zeit zu erreichen, mit der perfekten Botschaft, die intelligent, schnell und reichweitenstark umgesetzt wurde“, wirbt die Firma auf ihrer Webseite. Je mehr Daten Apollo hat, desto genauer kann die Ansprache zugeschnitten werden.

Neben den Daten von Endverbrauchern sind jedoch auch hunderte Firmen betroffen, die eigene Vertriebsdaten über potenzielle Kunden in das System von Apollo gespeist haben.

Für Betroffene ergibt sich aus dem Malheur unter anderem das Risiko, dass sie Opfer gut gemachter Betrugsversuche werden. Kriminelle könnten die erbeuteten Informationen für ihr eigenes Microtargeting in Form von Scam- und Phishing-Mails nutzen, bei denen Menschen beispielsweise auf Fake-Versionen bekannter Webseiten gelockt werden, um dort ihre Kontodaten oder Passwörter abzugreifen. Mit der Kombination aus Name, E-Mailadresse, Arbeitgeber und weiteren Daten kann die Zielgenauigkeit solcher Angriffe erhöht werden.

Nach einer Einschätzung zu dem Vorfall gefragt, verweist der Wiener Privacy-Forscher Wolfie Christl auf die lange Geschichte von Datenlecks bei Big-Data-Firmen:

    Dass hier durch eine Sicherheitslücke digitale Profile von über 100 Millionen Menschen frei zugänglich waren, ist natürlich ein Desaster. Aber das war nicht die erste derartige Datenpanne und wird wohl auch nicht die letzte sein. Wo Fahrlässigkeit im Spiel ist, muss es hohe Strafen geben, anders wird sich hier nichts ändern. Datensammelfirmen handeln oft völlig verantwortungslos. Die Nutzung von Daten, die durch Sicherheitsprobleme für andere zugänglich geworden sind, muss klar als illegal betrachtet werden.

Die Kunden von Apollo sitzen überwiegend in den USA. Dass auch Menschen in Europa betroffen sind, ist angesichts der Größe des Datenlecks und der weiten Verbreitung von LinkedIn in Europa jedoch wahrscheinlich. Wer prüfen möchte, ob sich auch die eigene Mailadresse in dem Apollo-Datensatz befindet, kann dies bei HaveIBeenPwned checken. Der Dienst gleicht eingegebene E-Mailadressen mit dutzenden Datenlecks wie jenen von Yahoo, Adobe, Dropbox, Adult Friend Finder oder Kickstarter ab. Über den aktuellen Fall sagt HIBP-Betreiber Troy Huntt zu Wired, es handele sich um einen der größten in der Geschichte: „Es ist eine geradezu atemberaubende Menge an Daten. Insgesamt geht es um 125.929.660 eindeutige E-Mail-Adressen. Das werden wahrscheinlich die meisten E-Mail-Benachrichtigungen sein, die HaveIBeenPwned je für einen Verstoß gesendet hat.“

Der Fall wirft ein erneutes Schlaglicht auf die Schattenindustrie, die mit Daten über Menschen auf der ganzen Welt Milliarden verdient. Apollo betont, dass durch das Datenleck keine Informationen über die finanzielle Situation von Menschen oder ihre Sozialversicherungsnummern kompromittiert wurden. Andere Firmen aus der Branche sammeln auch solche Informationen, wie ein Bericht der US-Federal Trade Commission über das Databroker-Business [PDF] 2014 feststellte. Sie können aus den Daten Rückschlüsse über deren Vorlieben, Interessen und Lebenssituation ziehen und verkaufen diese Analysen ebenso wie die Originaldaten. E-Mail-Adressen sind dabei besonders begehrt, weil sie als Identifier dienen, mit denen Daten aus unterschiedlichen Quellen in individuellen Profilen zusammengeführt werden können. Gegenüber netzpolitik.org problematisiert Wolfie Christl die Undurchsichtigkeit dieser Branche:

    Sicherheitspannen sind das eine. Viel problematischer allerdings die Tatsache, dass es überhaupt derartige Firmen gibt, von denen noch kaum jemand gehört hat, die aber hunderte Millionen von Datensätzen sammeln und kommerziell verwerten. Die umfangreichen Verbraucherdatenbanken von sogenannten Drittparteien, die keine direkten Beziehungen mit Kundinnen und Kunden haben, müssen dringend systematisch rechtlich unter die Lupe genommen werden.


Aus: "Datenleck bei Big-Data-Firma: Mehr als 100 Millionen Profile offen im Netz" Ingo Dachwitz (08.10.2018)
Quelle: https://netzpolitik.org/2018/datenleck-bei-big-data-firma-mehr-als-100-millionen-profile-offen-im-netz/ (https://netzpolitik.org/2018/datenleck-bei-big-data-firma-mehr-als-100-millionen-profile-offen-im-netz/)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Oktober 12, 2018, 04:14:30 nachm.
Quote
[...] In Frankreich ist ein massiver Fall des Missbrauchs sensibler Daten aus Überwachungssystemen der Sicherheitsbehörden aufgeflogen. Nachdem der französische Zoll im Juni den illegalen Darknet-Marktplatz "Black Hand" hochgenommen und zerschlagen hatte, stießen die Ermittler zu ihrer Überraschung auch auf sensible Dokumente und Informationen etwa aus nationalen Polizei-Datenbanken, die ein Nutzer der Plattform unter dem Pseudonym "Haurus" verscherbelte.

Den Fahndern gelang es mittlerweile unter anderem anhand spezifischer, in die Dateien eingebauter Codes, die Identität des Verkäufers herauszubekommen. Laut der Zeitung Le Parisien handelt es sich dabei um einen französischen Geheimdienstmitarbeiter.

Der Agent arbeitete demnach für den Inlandsnachrichtendienst Direction générale de la sécurité intérieure (DGSI), der sich eigentlich um den Kampf gegen Terrorismus und Cybercrime kümmern soll. Der Spion sei Ende September verhaftet worden unter der Anklage, vertrauenswürdige Daten über das Online-Forum verkauft zu haben, heißt es. Sollte er verurteilt werden, drohen ihm bis zu sieben Jahre Haft sowie eine Geldstrafe von bis zu 100.000 Euro.

Für rund 300 Euro je Auskunft soll der Beschuldigte etwa zu beliebigen Handynummern die Aufenthaltsorte und Anruflisten des jeweiligen Inhabers angeboten haben. Dem Vernehmen nach hat der Agent auch einen Service beworben, über den er Kunden darüber informieren wollte, ob sie von der Polizei gesucht werden und was gegebenenfalls gegen sie vorliegt.

Die Ermittler gehen davon aus, dass Kriminelle von Haurus verkaufte Papiere genutzt haben, um Dokumente zu fälschen. Datenschützer warnen seit Langem vor dem großen Missbrauchspotenzial der zunehmenden staatlichen Überwachung. Hierzulande sorgten zuletzt Mitarbeiter der Berliner Polizei für Schlagzeilen, die Dritte unberechtigt über das System Poliks ausgespäht haben sollen. Die Berliner Datenschutzbeauftragte Maja Smoltczyk untersucht aktuell noch, ob es Sicherheitslücken gibt. (Stefan Krempl) / (tiw)


Aus: ""Haurus": Französischer Agent verkauft Überwachungsdaten übers Darknet" (08.10.2018)
Quelle: https://www.heise.de/newsticker/meldung/Haurus-Franzoesischer-Agent-verkauft-Ueberwachungsdaten-uebers-Darknet-4183392.html (https://www.heise.de/newsticker/meldung/Haurus-Franzoesischer-Agent-verkauft-Ueberwachungsdaten-uebers-Darknet-4183392.html)

Quote
     nonexistent, 08.10.2018 14:00

Aber wir, die genau sowas befüchten, sind alles Aluhutträger ...
Eigentlich sollte ich mich gut fühlen, weil meine Theorie bestätigt wurde.


Quote
     FrogmasterL, 08.10.2018 14:30

Ja Moment mal. Ist das etwa nicht verboten in Frankreich?

Da gibt es wohl eine Schutzlücke. Einfach den Handel mit Überwachungsdaten verhindern und schon ist das Problem behoben. Gut, die Zusicherung, dass die Daten sicher sind und nur in so eng begrenzten Ausnahmefällen verwendet werden, dass sie praktisch nutzlos sind und jeder, der nichts zu verbergen hat auch nichts zu befürchten hat ... dieser Datendiebstahl ist natürlich nur ein höchst bedauerlicher Einzelfall


Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 20, 2018, 12:06:50 nachm.
Quote
[...] Ein Berliner Sicherheitsforscher hat nun offenbar die komplette SMS-Datenbank des US-Anbieters Vovox entdeckt – lesbar für jeden und sogar mit einem Suchinterface.

Wie das Magazin Techcrunch berichtet fanden sich insgesamt 26 Millionen Textnachrichten auf dem ungeschützten Server. Dank der gleichfalls installierten Elasticsearch von Amazon und dem Kibana-Frontent konnte jedermann die Datenbank nach Namen, Telefonnummern und sogar nach übermittelten Inhalten durchsuchen. Das kalifornische Unternehmen wickelt Kommunikationsdienste für Firmenkunden ab und liefert laut Eigenwerbung SMS in 180 Ländern aus.

Eine flüchtige Suche durch den Datenbestand offenbarte brisante Inhalte. So fand Techcrunch beispielsweise ein Klarwort-Passwort, das der chinesische Dating-Anbieter Badoo an einen Kunden geschickt hatte. Dazu fanden sich zahlreiche Codes, die zur Zwei-Faktor-Authentifizierung verschickt worden waren – von Google-Accounts bis zum Zugang zu den internen Systemen großer Konzerne. Hinzu kamen noch zahlreiche Nachrichten, mit denen Services die Identität ihrer Kunden zu verifizieren versuchten.

Die Offenlegung dieser Daten hätte ernste Folgen haben können: Angreifer können mit diesen Codes die Identität eines Opfers stehlen oder sich Zugang zu anderen Systemen erschleichen. So haben es Kriminelle in der Vergangenheit öfters geschafft, die SMS-Authentifizierung auszuhebeln, um Zugriff auf interne Firmendatenbanken zu bekommen oder die Konten deutscher Bankkunden zu plündern. Die Möglichkeiten unverschlüsselte SMS abzufangen sind dabei vielfältig.

Da die Daten von Vovox laut Techcrunch nahezu in Echtzeit in die offene Datenbank eingetragen wurden, hätten Angreifer Nachrichten lesen können, noch bevor ein Nutzer selbst Gelegenheit hatte, den Authentifizierungscode zu nutzen. Oder sie hätten eine Authentifizierung unter fremder Telefonnummer gleich selbst in Gang setzen können.

Auf Anfrage von heise online bestätigt Vovox den Vorfall: "Die Sicherheitslücke hätte es Unbekannten erlaubt, Zugriff auf SMS-Nachrichten zu bekommen, die von oder an unser Netzwerk geschickt wurden", heißt es in dem Statement. Nachdem Vovox von der Lücke informiert worden sei, habe man sie innerhalb von Minuten gestopft.

"Nach einer internen Untersuchung und der gründlichen Auswertung der Zugangs-Logs sind wir zuversichtlich, dass keine Daten von einem böswiligen Dritten gesehen oder heruntergeladen wurden", schreibt Vovox in seinem Statement. Auf der eigenen Website und den Social-Media-Kanälen schweigt sich das Unternehmen derweil über den Vorfall aus. (Torsten Kleinz) / (mho)


Aus: "Vovox: Millionen SMS offen und durchsuchbar im Netz" Torsten Kleinz (20.11.2018)
Quelle: https://www.heise.de/newsticker/meldung/Vovox-Millionen-SMS-lagen-offen-im-Netz-4225824.html (https://www.heise.de/newsticker/meldung/Vovox-Millionen-SMS-lagen-offen-im-Netz-4225824.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 23, 2018, 09:21:21 vorm.
Quote
[...] Das soziale Netzwerk Knuddels.de muss ein Bußgeld in Höhe von 20.000 Euro zahlen, weil Passwörter von Nutzern unverschlüsselt gespeichert worden sind. Damit habe das Unternehmen aus Karlsruhe gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink am Donnerstag in Stuttgart mit. Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

Er hielt dem Unternehmen zugute, dass es sich nach einem Hackerangriff an die Datenschutzbehörde wandte und die Nutzer sofort und umfangreich über den Angriff informierte. Erst dadurch sei dem Datenschutzbeauftragten bekannt geworden, dass Knuddels.de die Passwörter im Klartext vorgehalten hatte. Infolge des Angriffs im September waren nach Darstellung des Unternehmens im Internet rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter veröffentlicht worden.

... Knuddels ist 1999 eröffnet worden und hat nach eigenen Angaben mehr als zwei Millionen registrierte Mitglieder.

...


Aus: "Passwörter im Klartext: 20.000 Euro Bußgeld nach DSGVO gegen Knuddels.de" (22.11.2018)
Quelle: https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html (https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 25, 2018, 05:34:52 nachm.
Quote
[...] Das Karrierenetzwerk LinkedIn hat in Europa die E-Mail-Adressen von 18 Millionen Personen gesammelt, die keine Mitglieder des Netzwerks waren. Diese Daten wurden ohne Zustimmung der Nutzer im US-Sitz des Konzerns weiterverarbeitet und für gezielte Werbung an Facebook übertragen. Das hat eine Prüfung der irischen Datenschutzbehörde ergeben, meldet The Irish Times.

Zunächst habe sich ein Benutzer bei der irischen Datenschutzbehörde (Data Protection Commissioner, DCP) darüber beschwert, dass er auf Facebook zielgerichtete Werbung erhalten habe, obwohl er nicht Mitglied von LinkedIn sei. Daraufhin habe die Behörde beim EU-Hauptquartier von LinkedIn in Irland eine Untersuchung eingeleitet, schreibt die Irish Times.

Demnach seien die E-Mail-Adressen von 18 Millionen Nicht-Mitgliedern des mittlerweile zu Microsoft gehörenden Netzwerks gesammelt und vom US-amerikanischen Hauptquartier LinkedIn Corp weiterverarbeitet worden, ohne die Zustimmung der Nutzer einzuholen. LinkedIn Corp habe die Adressen zu Facebook übertragen und den Nutzern dort zielgerichtete Werbung gezeigt. Die US-Konzernmutter verarbeitet Daten im Auftrag von LinkedIn in Europa, habe aber in diesem Fall ohne Anweisung auf den EU-Datenbestand zugegriffen und die Adressen weitergegeben.

Man habe die Angelegenheit schließlich beilegen können, weil LinkedIn die Datenverarbeitung zum Zweck der Werbung in diesem Fall unterbunden habe, sagte die irische Datenschutzbeauftragte Helen Dixon. LinkedIn Europa habe den US-Konzern aufgefordert, die Verarbeitung dieser EU-Daten einzustellen und sie zu löschen. Der Vorfall ereignete sich 2017 und wird im Datenschutzbericht der irischen Behörde erwähnt.

Allerdings zeigte sich die Datenschutzbeauftragte auch besorgt über"weitergehende systembedingte Aspekte" solcher Datenverarbeitung, die durch die Untersuchung aufgezeigt worden seien. LinkedIn solle geeignete Sicherheitsmaßnahmen anwenden – auch in den Fällen, in denen das Unternehmen Daten von Nicht-Mitgliedern verarbeite.

In einer Stellungnahme sagte ein Sprecher von LinkedIn Europa, man habe bei der Beschwerde über die Werbekampagne mit dem DCP kooperiert. Bedauerlicherweise seien die strengen Vorschriften und Verfahren des Unternehmens in diesem Fall nicht zum Tragen gekommen. Das Unternehmen habe seine Arbeitsweise verbessert und dafür gesorgt, dass sich Vergleichbares nicht wiederholen werde. Bei der Prüfung durch den DCP habe man außerdem einen weiteren Bereich entdeckt, bei dem der "Datenschutz für Nicht-Mitglieder verbessert" werden konnte.

(tiw)



Aus: "LinkedIn nutzte 18 Millionen Adressen von Nicht-Mitgliedern für Facebook-Werbung" (24.11.2018)
Quelle: https://www.heise.de/newsticker/meldung/LinkedIn-nutzte-18-Millionen-Adressen-von-Nicht-Mitgliedern-fuer-Facebook-Werbung-4232092.html (https://www.heise.de/newsticker/meldung/LinkedIn-nutzte-18-Millionen-Adressen-von-Nicht-Mitgliedern-fuer-Facebook-Werbung-4232092.html)

Quote

    pehar


24.11.2018 23:37

Zahnpasta

Schön, dass man mal einen erwischt hat, aber ich fürchte, der Zug ist längst abgefahren. Die Versuche, jetzt noch irgendwelchen Datenschutz durchzusetzen, sind ungefähr so erfolgversprechend wie Zahnpasta zurück in die Tube zu drücken.

Spätestens mit all den staatlichen Datensammlungen, die unaufhaltsam aus dem Boden sprießen, bleibt eigentlich nur noch Resignation.

Unsere Daten gehören uns schon lange nicht mehr. Der Streit geht höchstens noch darum, wer welche Daten gegen unsere Interessen verwenden darf - und er wird über unsere Köpfe hinweg ausgefochten.


...
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 30, 2018, 10:04:07 nachm.
Quote
[...] Der Hotelkette Marriott sind Daten von bis zu einer halben Milliarde Gästen der Tochtermarke Starwood gestohlen worden. Im Fall von 327 Millionen Hotelgästen gehe es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum, teilte das Unternehmen mit. Die Hacker hätten bei einigen Gästen auch verschlüsselte Kreditkartendaten erbeutet. Marriott konnte bisher nicht ausschließen, dass auch die Dateien gestohlen worden seien, die zur Entschlüsselung der Daten nötig sind.

Unerlaubten Zugang zur Starwood-Datenbank gab es bereits seit 2014, wie Marriott weiter mitteilte. Zu den Starwood-Häusern gehören unter anderem Westin, Sheraton, Le Méridien, St. Regis und W Hotels. Marriott hatte Starwood 2016 für 13,6 Milliarden Dollar gekauft – und damit offensichtlich auch die Sicherheitslücke gleich mit. Die IT-Systeme von Starwood sollen nun ausgemustert werden.

Erste Hinweise auf einen Angriff auf die Starwood-Datenbank seien Anfang September von einem internen Sicherheitssystem gekommen, hieß es von Marriott. Bei der Untersuchung sei festgestellt worden, dass "eine nicht autorisierte Partei Informationen kopiert und verschlüsselt hatte". Am 19. November habe Marriott die Informationen entschlüsseln und feststellen können, dass sie aus der Starwood-Datenbank für Gästereservierungen stammten.

Die Behörden seien eingeschaltet worden, hieß es weiter. Das Unternehmen hat eine Website und ein Callcenter eingerichtet, an das sich Gäste wenden können, die betroffen sein könnten. Von Freitag an werde Marriott zudem E-Mails an jene verschicken, deren Daten betroffen sind.

In den vergangenen Jahren hatte es immer wieder Hackerattacken mit Hunderten Millionen Betroffenen gegeben. Den Rekord hält der Internetkonzern Yahoo, bei dem sich unbekannte Angreifer 2013 Zugang zu Daten von allen drei Milliarden Nutzeraccounts verschafften. Dabei ging es um Namen, E-Mail-Adressen, Telefonnummern und unkenntlich gemachte Passwörter.

Bei eBay gelangten Hacker bei einer im Mai 2014 bekannt gewordenen Attacke an Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Ein Hack der Kassensysteme des US-Supermarktbetreibers Target machte Kreditkartendaten von 110 Millionen Kunden zur Beute.



Aus: "Daten von 500 Millionen Hotelgästen gestohlen" (30. November 2018)
Quelle: https://www.zeit.de/wirtschaft/unternehmen/2018-11/hackerangriff-marriott-hotelkette-personenbezogene-daten-diebstahl-cyberkriminalitaet (https://www.zeit.de/wirtschaft/unternehmen/2018-11/hackerangriff-marriott-hotelkette-personenbezogene-daten-diebstahl-cyberkriminalitaet)


Quote
frei sozial und rational #7

Immer mit der Ruhe. Wer nichts zu verbergen hat, hat ja auch nichts zu befürchten.

^^


...
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Dezember 19, 2018, 10:27:50 nachm.
Quote
[...]     Gleich zwei Mal innerhalb kürzester Zeit enthüllt die «New York Times» problematische Geschäftspraktiken von Facebook. Einmal wird Mitte November 2018 bekannt, dass der Konzern PR-Firmen engagiert hatte, um Facebook-Gegner zu verleumden. Im Dezember 2018 wird dann öffentlich, dass man anderen Tech-Firmen wie Netflix und Spotify sogar Zugang zu den privaten Nachrichten von Usern gab.

    Ende September 2018 musste Facebook bekanntgeben, dass mehr als 30 Millionen Facebook-Profile gehackt worden seien. Die unbekannten Eindringlinge konnten sich Zugriff auf personenbezogene Daten von Facebook-Anwendern verschaffen.

    Mitte März 2018 enthüllten «The Guardian», «The New York Times» und der britische TV-Sender «Channel 4 News», dass persönliche Informationen von Facebook-Anwendern von einem Beratungsunternehmen namens Cambridge Analytica für Zwecke der Polit-PR missbraucht worden waren. Betroffen waren rund 50 Millionen Facebook-Anwender.


Aus: "Und noch ein Skandal - die neuesten Enthüllungen zu Facebook" Stefan Betschon (19.12.2018)
Quelle: https://www.nzz.ch/digital/facebook-skandale-die-neusten-enthuellungen-ld.1438692 (https://www.nzz.ch/digital/facebook-skandale-die-neusten-enthuellungen-ld.1438692)

-

Quote
[...] 2018 war für Facebook ein veritables Krisenjahr: Datenskandale, Manipulationsvorwürfe, Fake-News-Krise, Nutzerschwund in Europa. Und das Unglücksjahr ist für die grösste Social-Media-Plattform der Welt noch nicht zu Ende. «Wir verkaufen keine Daten an niemanden», sagte Facebook-Chef Mark Zuckerberg im April vor dem US-Kongress. Das stimmt zwar weiterhin. Doch mit der Datenfreigabe an ausgewählte Partnerfirmen nimmt es sein Konzern nicht so genau.

In einer weiteren Recherche zeigt die «New York Times» auf, dass Facebook mehr als 150 Firmen umfassenden Zugriff auf die Daten seiner Nutzer gewährte – teilweise ohne diese zu informieren. Profiteure der Datenfreigabe waren insbesondere Unternehmen aus dem Silicon Valley, von Amazon über Netflix bis Microsoft und Apple. Der Bericht basiert auf über 270 internen Dokumenten sowie Interviews mit rund 60 früheren Facebook-Mitarbeitern.

    Interne Dokumente von Facebook zeigen, wie die Firma Daten mit anderen Tech-, Medien-, und E-Commerce-Giganten geteilt hat — teilweise gegen den expliziten Willen von Nutzerinnen und Nutzern.
    — Go buy a news subscription, friend. (@derjarjour) December 19, 2018

Wie funktionieren diese Praktiken von Facebook? Vier Beispiele

    1) Die Streaming-Plattformen Spotify und Netflix hatten Zugriff auf die privaten Nachrichten der Nutzer. Die Firmen konnten diese Nachrichten nicht nur lesen, sondern theoretisch auch bearbeiten und löschen. Bei Spotify funktioniert der Datenaustausch bis heute, weil der Streaming-Dienst seinen Nutzern anbietet, Musik über den Facebook Messenger zu teilen. Netflix hat diese Berechtigungen heute nicht mehr.

   2) Yahoo und neun grosse Medienhäuser (genannt wird im Artikel lediglich die «New York Times» selbst) genossen ebenfalls exklusiven Zugang zum Newsfeed, zur Freundesliste und zu allen persönlichen Informationen wie Geburtsdatum oder Wohnort. Diese Schnittstellen reichen teilweise zurück bis ins Jahr 2009, als Apps noch viel stärker als heute mit Facebook vernetzt waren. Und obwohl Yahoo die Schnittstelle seit 2012 nicht mehr braucht, hat die Firma noch immer Zugriff auf rund 100 000 Nutzerdaten pro Monat.

    3) Microsoft oder Amazon haben bis heute jeden Monat Zugriff zu den persönlichen Daten von mehr als 100 Millionen Menschen. Dazu gehören unter anderem E-Mail-Adresse und Telefonnummer. Mehr als 60 Gerätehersteller wie Apple, Blackberry oder Huawei haben ähnliche Privilegien.

    4) Besonders heikel sind die Zugriffsrechte von Yandex, der grössten Suchmaschine Russlands. Der Konzern hat bis heute Zugang zur User-ID. Und das, obwohl Facebook diesen Zugriff bei anderen Applikationen schon vor Jahren deaktiviert hatte. Dieser Zugang ist besonders wertvoll, da so sämtliche Facebook-Konten extern verwertet werden können. Yandex wird vorgeworfen, eng mit dem Kreml zusammenzuarbeiten. Das hätte dann wiederum einen Einfluss auf die Russland-Affäre.

Mitte März hatte der Cambridge-Analytica-Skandal rund um Facebook die Öffentlichkeit aufgeschreckt. Damals wurde bekannt, dass Nutzerdaten von einem Beratungsunternehmen namens Cambridge Analytica für Zwecke der Polit-PR und im Wahlkampf in den USA missbraucht worden waren. Betroffen waren rund 50 Millionen Facebook-Anwender.

Die oben beschriebenen Partnerfirmen allerdings hatten – oder haben teilweise bis heute – viel grössere Zugriffsrechte als Cambdridge Analytica damals. Netflix, Spotify und Co. nutzen diese Daten zwar nicht für politische Zwecke, dafür aber kommerziell. Am schlimmsten aber wiegt die Tatsache, dass Facebook seine Nutzer nicht über alle Praktiken informiert hat – nicht einmal versteckt in der Datenschutzerklärung. Eine Stellungnahme von Facebook zu den neusten Enthüllungen steht noch aus.


Aus: "Wie Facebook zuliess, dass Firmen wie Netflix sogar private Nachrichten lesen konnten" Reto Stauffacher (19.12.2018)
Quelle: https://www.nzz.ch/international/wie-facebook-zuliess-dass-firmen-wie-netflix-sogar-private-nachrichten-lesen-konnten-ld.1446128 (https://www.nzz.ch/international/wie-facebook-zuliess-dass-firmen-wie-netflix-sogar-private-nachrichten-lesen-konnten-ld.1446128)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Januar 31, 2019, 01:43:20 nachm.
Quote
[...]  Erneut ist eine riesige Menge gehackter Nutzeraccounts ins Netz gelangt: Nach der Passwort-Sammlung "Collection #1" kursieren nun auch die Collections #2 bis #5.

Diese sind deutlich umfangreicher als Teil 1, einer ersten Einschätzung von heise Security zufolge sind sie insgesamt über 600 GByte groß. Nach Angaben des Hasso-Plattner-Institus kursieren durch die Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter.

Die Daten sind offenbar nicht komplett neu, sondern stammen zu einem einem Großteil aus älteren Leaks. Dennoch dürfte durch die Zusammenstellung und erneute Veröffentlichung die Wahrscheinlichkeit steigern, dass die Zugansdaten von Cyber-Ganoven ausprobiert werden. Zunächst wurden die gigantischen Datenpakete in einem einschlägigen Online-Forum gehandelt, inzwischen sind sie auch über den Hoster Mega öffentlich zugänglich.

...


Aus: "Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroffen" Ronald Eikenberg  (25.01.2019)
Quelle: https://www.heise.de/security/meldung/Neue-Passwort-Leaks-Insgesamt-2-2-Milliarden-Accounts-betroffen-4287538.html (https://www.heise.de/security/meldung/Neue-Passwort-Leaks-Insgesamt-2-2-Milliarden-Accounts-betroffen-4287538.html)

Quote
     DerLinkshaender, 26.01.2019 11:48

Enthalten sind auch vielen Politiker-Datensätze

enthalten sind übrigens auch schon in Collection #1 vielen @bundestag.de Adressen und die diverser anderer Partei-Domains. Womit auch klar sein dürfte, dass wohl noch viel mehr Material abgeschöpft worden sein durfte, als von @0rbit auf twitter zu Weihnachten veröffentlicht wurde.Die 600 GB beziehen sich auf den gepackten tar.gz Zustand der Daten. Entpackt sind es über 1TB reiner Text! und es sind auch nicht nur Collection #1 - Collection #5 sondern noch 2 weitere Pakete, deren Aktualität bis 01/2019 reicht. Darüber hinaus wurden die Daten icht erst jetzt, sonden schon vor 2 Wochen über Bittorent und diverse filhoster veröffentlicht und nicht erst jetzt.

Ich hatte darauf vor 2 Tagen schon mal hingewiesen:
https://www.heise.de/forum/heise-Security/News-Kommentare/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht/Collection-1-ist-nur-ein-Teil-von-insgesamt-6-oder-7/posting-33823819/show/ (https://www.heise.de/forum/heise-Security/News-Kommentare/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht/Collection-1-ist-nur-ein-Teil-von-insgesamt-6-oder-7/posting-33823819/show/)

ein großer Teil der Passwörter liegt aber nur in gehashter Form vor.

Ich kann nur noch mal auf das kostenlose KeePass / KeePassX / KeePassXC verweisen und darauf, das man für jeden Account ein eigenes Passwort verwendet. KeePass gibt es für alle Plattformen und selbst die Synchronisation der Passwort-Datennbank lässt sich mit wenig Aufwand und einem Raspeberry Pi mit eigener Nextcloud bewerkstelligen.

Das Posting wurde vom Benutzer editiert (26.01.2019 12:13).


...
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Februar 12, 2019, 04:55:32 nachm.
Quote
[...] Auf der Schwarzmarkt-Website Dream Market bietet ein Verkäufer eine mehrere Gigabyte große Datenbank mit aus Hacks erbeuteten persönlichen Daten für 20.000 US-Dollar an. Der Marktplatz befindet sich nicht im öffentlichen Internet – er ist über das Tor-Netzwerk erreichbar.

The Register berichtet in einer Meldung über das Datenleak. Stichproben zufolge seien die Daten echt. ...


Aus: "Gehackte Websites: 620 Millionen Accounts zum Verkauf im Darknet" (12.02.2019)
Quelle: https://www.heise.de/security/meldung/Gehackte-Websites-620-Millionen-Accounts-zum-Verkauf-im-Darknet-4305517.html (https://www.heise.de/security/meldung/Gehackte-Websites-620-Millionen-Accounts-zum-Verkauf-im-Darknet-4305517.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on April 14, 2019, 10:00:43 nachm.
Quote
[...] Dutzende Dateien mit sensiblen personenbezogenen Informationen von Strafverfolgern und weiteren Ermittlern des FBI sind Hackern in die Hände gefallen. Die Übeltäter sollen einen Teil der abgezogenen Daten auch auf ihrer Webseite veröffentlicht haben, schreibt der Online-Dienst Techcrunch. Es handle sich um rund 4000 Einzeleinträge mit Klarnamen, privaten und dienstlichen E-Mail-Adressen, Berufsbezeichnungen, Telefonnummern und Postanschriften.

Die Hackergruppe und ihre Webadresse nennt das Magazin nicht angesichts der Sensibilität der publizierten Daten. Die Verantwortlichen sollen dem Bericht nach drei Seiten geknackt haben, die mit der FBI National Academy Association (FBINAA) in Zusammenhang stehen. Die Organisation hat es sich zum Ziel gesetzt, Standards, Know-how und die Zusammenarbeit von Strafverfolgungsbehörden in den USA und weltweit zu verbessern. Sie unterhält unter anderem das FBI-Ausbildungszentrum in Quantico im Bundesstaat Virginia.

Offenbar haben sich die Hacker Zugang zu geschlossenen Mitgliederbereichen der FBINAA und verschiedener Untergruppen der Vereinigung verschafft. In einem verschlüsselten Chat mit Techcrunch sollen sie angegeben haben, bekannte Sicherheitsschwachstellen in Form von "öffentlichen Exploits" verwendet zu haben.

Die von ihnen ins Visier genommenen Webseiten scheinen demnach nicht ganz auf dem aktuellen Sicherheitsstand gewesen zu sein und veraltete Plugins verwendet zu haben. Einzelne der betroffenen Homepages verunstaltete die Gruppe auch, die nach eigenen Angaben über zehn Mitglieder zählt. Welche Hacking-Methoden das FBI und andere US-Sicherheitsbehörden verwenden, wollen derweil Bürgerrechtler per Klage herausfinden.

Angeblich haben die Angreifer insgesamt über 1000 Seiten gehackt und sind noch dabei, die erbeuteten Daten zu strukturieren. Die publik gemachten Informationen sollen als Lockvogel für Interessenten dienen, die weiteres Material kaufen wollen. Insgesamt wollen die Hacker über eine Million Datensätze aus den verschiedensten US-Behörden und Wohlfahrtsorganisationen in ihren Besitz gebracht haben. Sie schließen nicht aus, weitere Informationen davon zunächst gratis auf ihrer Seite verfügbar zu machen. Letztlich gehe es ihnen darum, Erfahrungen zu sammeln und die Daten zu Geld zu machen.

In dem Messenger-Austausch hat die Gruppe laut der Meldung auch Nachweise erbracht, die Sicherheitsmechanismen anderer Webauftritte umgangen zu haben. Dazu sollen Seiten des südostasiatischen Tech-Zulieferers Foxconn gehören. Ein angebotener Link habe zu einem Lotus-basierten Webmail-System mit tausenden Mitarbeitereinträgen inklusive Mail-Adressen und Telefonnummern geführt. (bme)



Aus: "FBI-Hack: Rund 4000 Datensätze von US-Polizisten im Netz" Stefan Krempl  (13.04.2019)
Quelle: https://www.heise.de/newsticker/meldung/FBI-Hack-Rund-4000-Datensaetze-von-US-Polizisten-im-Netz-4399128.html (https://www.heise.de/newsticker/meldung/FBI-Hack-Rund-4000-Datensaetze-von-US-Polizisten-im-Netz-4399128.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on April 30, 2019, 08:55:14 vorm.
Quote
[...] Die beiden Sicherheitsforscher und Hacktivisten Noa Rotem und Ran Locar sind bei einem Web-Mapping-Projekt auf eine ungeschützte Datenbank im Web gestoßen, die rund 80 Millionen Datensätze von Haushalten in den USA enthalten soll. Das berichtet vpnMentor in einem Blogbeitrag. Demnach umfasse die auf einem Microsoft Cloud Server gehostete, rund 24 GByte große Datenbank teilweise detaillierte Informationen zu etwa 65 Prozent aller US-Haushalte.

Konkret enthalte ein Datensatz die Anzahl der in einem Haushalt lebenden Personen, ihre Namen, ihren Familienstand, ihr Alter, die Geburtsdaten, die Wohnadresse inklusive GPS-Daten zur Lokalisierung und das Haushaltseinkommen. Einige der Daten lägen dabei in kodierter Form vor, wie beispielsweise das Geschlecht, der Familienstand und das Haushaltseinkommen. Da mehrere Personen in einem Haushalt leben können, halte es das Sicherheitsteam von vpnMentor für möglich, dass mehrere hundert Millionen Personen betroffen sein könnten.

Nach Ansicht der Sicherheitsforscher von vpnMentor sei diese Datenbank aufgrund ihres Umfangs und der enthaltenen Detailinformationen einzigartig und damit "eine Goldgrube für Identitätsdiebe und andere Angreifer" sei. Sie könnten mit diesen Daten leicht die E-Mail-Adressen ermitteln und mit frei verfügbaren Daten aus dem Web wie beispielsweise aus sozialen Medien verknüpfen. Damit könnten nach Alter und Einkommen gezielt Personen identifiziert und beispielsweise per Telefon oder Phishing-E-Mail angegriffen, weitere Daten ermittelt und damit deren Identität genutzt werden.

Die Sicherheitsforscher konnten den Besitzer der Datenbank bisher nicht ermitteln. Da die Datenbank auf einem Cloud Server, dessen IP-Adresse nicht zwangsläufig mit dem Besitzer verknüpft sei, tappe man noch im Dunkeln. Aufgrund der Datenstruktur und der Kodierung beispielsweise des Einkommens sei es wahrscheinlich, dass die Datenbank einem Versicherungsunternehmen oder einer Firma aus dem Gesundheits- oder Hypothekenwesen zuzuordnen ist. Auch die Tatsache, dass die Datensätze nach einer stichprobenartigen Durchsicht offensichtlich nur Daten von über 40-Jährigen enthalte und damit auf eine bestimmte Gruppe beschränkt sei, deute darauf hin. Es würden auch Informationen wie Sozialversicherungsnummern oder Kontendaten fehlen, sodass Banken und Finanzmakler aller Voraussicht nach nicht als Besitzer der Datenbank in Frage kommen.

Um dem Rätsel auf die Spur zu kommen und den Leak möglichst schnell schließen zu können, bitten die Sicherheitsexperten von vpnMentor um Mithilfe bei der Identifizierung. Dabei interessiert die Forscher besonders, welche Unternehmen die darin enthaltene spezielle Datenstruktur verwenden, um den möglichen Besitzer der Datenbank eingrenzen, ermitteln und verständigen zu können. (olb)


Aus: "Mysteriöse Datenbank mit Daten von Millionen US-Bürgern ungeschützt im Netz" Oliver Bünte (29.04.2019)
Quelle: https://www.heise.de/newsticker/meldung/Mysterioese-Datenbank-mit-Daten-von-Millionen-US-Buergern-ungeschuetzt-im-Netz-4409824.html (https://www.heise.de/newsticker/meldung/Mysterioese-Datenbank-mit-Daten-von-Millionen-US-Buergern-ungeschuetzt-im-Netz-4409824.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Mai 22, 2019, 03:07:45 nachm.
Quote
[...] Eine Datenbank mit persönlichen Kontaktdaten von mehr als 49 Millionen Instagram-Nutzern soll zeitweise öffentlich im Internet abrufbar gewesen sein. Neben öffentlich verfügbaren Informationen zu den Inhabern der Accounts soll die Datenbank auch private Daten, unter anderem Telefonnummern und E-Mail-Adressen, enthalten haben, berichtet das Online-Tech-Magazin Techcrunch. Unter den betroffenen Konten sollen sich auch solche mehrerer Millionen Influencer – unter anderem bekannter Food-Blogger, Prominente und weiterer Social-Media-Beeinflusser – befunden haben. Ihnen war teilweise ihr Marktwert zugeordnet. Die Datenbank ist mittlerweile nicht mehr öffentlich verfügbar.

Entdeckt hat die Datenbank, die auf einem Server von Amazon Web Services abgelegt war, der Sicherheitsforscher Anurag Sen. Dem Bericht nach soll er das indische Marketingunternehmen Chtrbox als Besitzer der Datenbank ausgemacht haben. Das Unternehmen ist ein Mittler zwischen Werbetreibenden und Influencern. Influencer werden von Chtrbox dafür bezahlt, bestimmte Werbebotschaften unter das Social-Media-Volk zu bringen. Wie Techcrunch berichtet, sei den Influencern in der Datenbank ihr Marktwert aufgrund ihrer Follower, Likes und geteilten Posts zugeordnet gewesen. Techcrunch habe außerdem die Stimmigkeit persönlicher Daten durch Telefonanarufe überprüfen können, heißt es in dem Bericht.

Chtrbox hat auf ihrer Website mittlerweile eingeräumt, dass die Datenbank "unbeabsichtigt" für 72 Stunden öffentlich im Netz verfügbar war. Dies sei nach dem Entdecken sofort behoben worden. Das Marketingunternehmen bestreitet jedoch, die Anzahl der öffentlich zugänglichen Datensätze. "In den mehr als drei Jahren unserer Geschäftstätigkeit hatten wir noch nie Daten von mehr als 350.000 Influencern." Die Behauptung, Chtrbox sei für die Weitergabe von mehreren Millionen Daten verantwortlich, sei "unmöglich und falsch".

Das Unternehmen bestreitet außerdem, dass die Datenbank persönliche Daten wie "Passwörter, Bankdaten, Privatadressen oder andere sensible persönliche Daten oder Informationen" enthalten habe. Es wären lediglich öffentlich verfügbare Informationen wie die "Anzahl der Follower und Kennzahlen für das Engagement" enthalten sowie Angaben, die die Influencer selbst gemacht haben sollen. Es wurden keine Daten verwendet, die aus Hacks stammen, noch wurden die Daten verkauft oder weitergeben. Die Datenbank sei lediglich für interne Zwecke bestimmt, um dem eigenen Team die Vermittlung zu erleichtern.

Unklar ist noch, welche Version stimmt. Facebook, dessen Tochterunternehmen Instagram ist, hat nach Angaben von Techcrunch eine Untersuchung eingeleitet. Facebook wolle Chtrbox zu dem Vorfall befragen und herausfinden, woher die persönlichen Daten stammen. Das Ergebnis der Ermittlungen steht derzeit noch aus. Auch Anurag Sen hat sich noch nicht zum Dementi von Chtrbox geäußert.

Im März hatte Facebook eine Datenpanne einräumen müssen. Damals waren mehrere Hundert Millionen Passwörter im Klartext gespeichert und für Mitarbeiter des Konzerns einsehbar gewesen. Davon waren auch mehrere Millionen Instagram-Accounts betroffen. (olb)


Aus: "Möglicherweise Kontaktdaten von 49 Millionen Instagram-Nutzern öffentlich" Oliver Bünte (22.05.2019)
Quelle: https://www.heise.de/newsticker/meldung/Moeglicherweise-Kontaktdaten-von-49-Millionen-Instagram-Nutzern-oeffentlich-4428378.html (https://www.heise.de/newsticker/meldung/Moeglicherweise-Kontaktdaten-von-49-Millionen-Instagram-Nutzern-oeffentlich-4428378.html)

Quote
     Baneus, 22.05.2019 13:34

Wer diese "Dienste" nutzt, muss mit der Wahrheit leben: "Ist es umsonst, bist du die Ware, die verkauft wird."

...

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juni 27, 2019, 10:30:56 vorm.
Quote
[...] Am Freitag, dem 14. Juni, informierten die Büchereien Wien in einer knappen Mitteilung, dass der Onlinekatalog außer Betrieb sei. Als Grund wurde ein Hackerangriff angegeben. Zunächst klang es nach einem kurzen Ausfall. Doch über eine Woche später ist die Datenbank immer noch nicht zurück im Netz, und der Hack entpuppt sich als einer der bisher größten Datendiebstähle in Österreich. Denn bisher gab es hierzulande kaum vergleichbare Angriffe, bei denen die Daten so vieler Personen gestohlen wurden. Entdeckt wurde die Hackerattacke am 11. Juni. Doch wie sich herausstellte, kam es schon im Vorfeld zu mehreren Angriffen, bei denen zumindest Teile der Datenbank mit den Nutzerinformationen kopiert wurden. Wer meint, dass die Informationen, die eine Bücherei über ihre Mitglieder sammelt, nicht kritisch sein können, täuscht sich. Denn die gestohlenen Dateien enthalten umfassende personenbezogene Daten zu den Mitgliedern sowie teilweise auch höchstpersönliche Vermerke der Bibliotheksmitarbeiter über einzelne Personen. ...


Aus: "Büchereien Wien: Daten von über 713.000 Nutzern geleakt" Birgit Riegler (26. Juni 2019)
Quelle: https://derstandard.at/2000105453775/Buechereien-WienDaten-von-ueber-713-000-Nutzern-geleakt (https://derstandard.at/2000105453775/Buechereien-WienDaten-von-ueber-713-000-Nutzern-geleakt)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juli 16, 2019, 01:39:27 nachm.
Quote
[...] Bulgariens staatliche Finanzbehörde, die alle Steuern und Abgaben für Rentenbeiträge verwaltet, hat ein Datenproblem. Hacker sollen am Montag an eine Vielzahl persönlicher Daten gelangt sein, die bei der NAP genannten Behörde gespeichert werden.

"Es gibt tatsächlich einen nicht erlaubten Zugriff auf einen Server der NAP", sagte Bulgariens Innenminister Mladen Marinow am Dienstag dem Fernsehsender bTV und bestätigte damit eine anonyme Nachricht, die Medien zugespielt worden war. Der Nachricht zufolge verfügen die Hacker über persönliche Daten sowie Angaben zu Steuern und Sozialversicherungsabgaben von mehr als fünf Millionen Menschen. Bulgarien hat rund sieben Millionen Einwohner.

Die E-Mail war laut bulgarischen Medien von Servern des russischen Mailanbieters Yandex verschickt worden - was allerdings auch ein Versuch sein könnte, eine Spur in Richtung Russland zu legen. In der Nachricht werde die Freilassung von WikiLeaks-Gründer Julian Assange gefordert, heißt es weiter. Die Zeitung "24 Tschasa" berichtet, ihr seien Daten von 1,1 Millionen Menschen geschickt worden, die unter anderem Angaben zum jeweiligen Einkommen enthielten.

Innenminister Marinow vermutet einen politischen Hintergrund für den Angriff. Er verwies darauf, dass Bulgariens Regierung am Montag den Kauf von acht US-Kampfjets vom Typ F-16 für 1,25 Milliarden Dollar bekanntgemacht habe. Diese sollen die bisher verwendeten und in die Jahre gekommenen sowjetischen MiG-29-Jets ersetzen. Ministerpräsident Boiko Borissow berief den Sicherheitsrat der Regierung zusammen.

Jassen Tanew, Experte für Cybersicherheit, bezeichnete den Hacker-Angriff als den ersten dieser Art in Bulgarien. Die NAP hatte bereits am Montag eine Untersuchung Montag eines möglichen Vorfalls auf ihrer Website angekündigt.

cva/dpa/Reuters


Aus: "Hacker erbeuten persönliche Daten von Millionen Bulgaren" (16.07.2019)
Quelle: https://www.spiegel.de/netzwelt/netzpolitik/bulgarien-hacker-erbeuten-persoenliche-daten-von-millionen-bulgaren-a-1277522.html (https://www.spiegel.de/netzwelt/netzpolitik/bulgarien-hacker-erbeuten-persoenliche-daten-von-millionen-bulgaren-a-1277522.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juli 22, 2019, 10:06:45 vorm.
Quote
[...] Eine große Datenpanne beim IT-Dienstleister SyTech hat den russischen Geheimdienst FSB in Mitleidenschaft gezogen. Die Hackergruppe 0v1ru$ hat Berichten zufolge bei dem Auftragnehmer des KGB-Nachfolgers 7,5 Terabyte an Daten zu laufenden Projekten und Operationen der Moskauer Spionagebehörde entwendet. Daraus geht etwa hervor, wie der Inlandsgeheimdienst Nutzer des Anonymisierungsdienstes Tor zu identifizieren sucht, selbst im großen Stil Informationen aus sozialen Netzwerken abzweigt und Russland gegebenenfalls vom Internet abkoppeln will.

0v1ru$ hatte am 13. Juni zunächst die derzeit nicht funktionierende SyTech-Website mit einem Yoba-Emoticon verziert sowie darauf andere Hinweise auf den Hack gestreut. Später gab das Kollektiv die erbeuteten Daten an die größere Hackergruppe Digital Revolution weiter, die das Material an diverse Pressevertreter weitergab und Hinweise darauf über Twitter verbreitete. Die Hacker ätzten, dass der FSB seine enthüllten Aktivitäten am besten in "Operation Küchensieb" umbenennen sollte.

BBC Russland, die als erste über den Fall berichtete, spricht vom voraussichtlich "größten Datenleck in der Geschichte der russischen Geheimdienste". Die offenbarten Projekte hätten Namen wie "Arion", "Relation" oder "Hrywnia", wobei letzterer für die ukrainische Währung steht. Mit der Operation "Nautilus" soll der FSB gezielt mehr oder weniger öffentliche Daten etwa von Facebook oder LinkedIn abfischen, die Variante "Nautilus-S" steht für die Deanonymisierungsoffensive der Agenten mit eigenen Tor-Exit-Nodes. Diese soll schon seit 2012 mithilfe des FSB-nahen Forschungsinstitut Kvant laufen, dessen Schwerpunkt auf der Quantentechnologie liegt. Digital Revolution will die Einrichtung bereits zu einem früheren Zeitpunkt gehackt haben.

"Mentor" ist laut Forbes darauf ausgerichtet, Informationen von russischen Firmen zu klauen. "Hope" und "Tax-3" sollen dabei helfen, das russische Netz vom Rest des Internets etwa bei einer großen Cyber-Attacke abzutrennen, wie es ein jüngst beschlossenes Gesetz vorsieht.

Größere Staatsgeheimnisse konnten die Hacker offenbar nicht in die Hände bekommen. Überraschender ist der Umfang des abgeflossenen Materials und die Tatsache, dass die digitalen Einbrecher bei SyTech offenbar kein allzu schweres Spiel hatten. Externe Dienstleister haben sich bereits wiederholt als Schwachstelle für Geheimdienste entpuppt. So arbeitete der NSA-Whistleblower Edward Snowden etwa zuletzt beim Auftragnehmer Booz Allen Hamilton.

Über Hintergrund und Herkunft der ursprünglichen Hacker 0v1ru$ ist bislang nichts bekannt, ihr Twitterkonto ist schon wieder offline. Russische Aktivisten liefern sich seit Jahren einen "zivilen Cyberkrieg" mit der Regierung aufgrund der zunehmenden Zensur des Internets und der Blockade von Messenger-Diensten wie Telegram. Genauso gut könnten mittelbar aber etwa auch westliche Geheimdienste wie die NSA hinter dem Angriff auf SyTech stehen. Der FSB antworte nicht auf Medienanfragen rund um den Vorfall. (tiw)


Aus: "Russischer Geheimdienst: Massiver Datenverlust beim KGB-Nachfolger FSB" Stefan Krempl (21.07.2019)
Quelle: https://www.heise.de/newsticker/meldung/Russischer-Geheimdienst-Massiver-Datenverlust-beim-KGB-Nachfolger-FSB-4476027.html (https://www.heise.de/newsticker/meldung/Russischer-Geheimdienst-Massiver-Datenverlust-beim-KGB-Nachfolger-FSB-4476027.html)

Quote
AlAdler, 21.07.2019 18:39

Danke für den süffisanten Hinweis auf Booz Allen Hamilton ..

Danke Heise, für den süffisanten Hinweis auf Booz Allen Hamilton und deren Ruhm-reichen ex-Mitarbeiter - unsere Liebe, sein Lohn!
Wenn man die zeitliche Dimension beachtet, dass ist die Menge der abgeflossenen Daten bei FSB und NSA doch ungefähr in der gleichen Größenordnung. Liegen ja 6 Jahre dazwischen ..

Erstaunlich finde ich, wie schnell die Terabytes offenbar gesichtet und analysiert werden konnten ;-) Das hat bei den Daten von Snowden doch etwas länger gedauert - vielleicht waren die ja wertvoller. Fefe unkte ja schon, dass das vielleicht auch nur ein Honeypot war.

Wie dem auch sei: Anders als bei Snowden werden unsere Medien von den Transatlantikern nun sicher aktiviert, um uns aus dem ex-FSB-Datenschatz darüber zu informieren, was für ein feindliches Land dieses Russland doch sei.

Bei Snowden - wir erinnern uns - gab es ja Zensur- und Sanktionierungs-Bestrebungen seitens der Amerikaner, die dazu geführt haben, dass Herrn Snowden selbst heute noch nicht in Deutschland auftreten und und den Beschiss an unserer Demokratie und an unserer Freiheit berichten darf: Die transatlantischen Herrscher-Clans haben ihre momentan maximal-mögliche Strafe für die Veröffentlichung der Wahrheit verhängt: Die Exkommunikation aus der neoliberalen Werte-Diktatur.

Al


Quote
     cooregan, 21.07.2019 19:21


Re: Wirklich lustig

Windows12 schrieb am 21.07.2019 18:05:

    ich könnte mich kugeln vor lachen, wenn noch nicht mal die Geheimdienste ihre Daten sicher verstauen können.

Richtig. Könnte man. Wenn das alles nicht so ernst wäre.

Genauer: wenn nicht andauernd irgendwelche Marktschreier ihre Lügen verbreiten würden, das könne 'bei uns', 'mit unseren Behörden' oder 'mit unseren Systemen' nicht passieren. Und wenn nicht so viele Leute auf diese Lügen hereinfallen würden.

Es gibt keine sicheren Daten. Genauer: die einzig sicheren Daten sind die, die gar nicht erst erhoben und gespeichert werden. Ganz gleich, ob es um Geheimdienstdaten, Kommunikations-Vorratsdaten, Fluggastdaten, eGK/TI-Daten, facebook-Daten, Bankdaten oder Fussballvereinsdaten geht.

gruß
cooregan

Das Posting wurde vom Benutzer editiert (21.07.2019 19:21).


Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juli 30, 2019, 01:52:27 nachm.
Quote
[...] Bei einer Hackerattacke auf die US-Großbank Capital One sind sensible Daten von mehr als 100 Millionen Kunden gestohlen worden. Die Bundespolizei FBI nahm am Montag die mutmaßliche Hackerin fest, eine 33-jährige Informatik-Ingenieurin aus Seattle, wie die Behörden mitteilten. Sie hatte demnach im Internet mit dem Datendiebstahl geprahlt.

Capital One zufolge wurden Daten von rund 100 Millionen Kunden in den USA und weiteren sechs Millionen Kunden in Kanada gestohlen. Die Hackerin erbeutete unter anderem Namen, Postadressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Angaben zum Einkommen von Kunden, die sich für Produkte im Zusammenhang mit einer Kreditkarte interessierten oder eine Bankkarte von Capital One wollten. Nicht gestohlen wurden demnach aber Kreditkartennummern oder Zugangsdaten.

Die Hackerin nutzte offenbar eine Sicherheitslücke bei einer Cloud von Capital One, um an die Daten zu gelangen. Der Diebstahl fiel erst auf, als ein Internetnutzer Mitte Juli auf der Website GitHub einen Post der Frau sah, in dem diese mit dem Datendiebstahl prahlte, und die auf Kreditkarten spezialisierte Großbank informierte. Diese fand bei Nachforschungen heraus, dass sie seit März Ziel eines Hackerangriffs war - und schaltete das FBI ein.

Capital-One-Chef Richard Fairbank entschuldigte sich bei den Kunden für den Datendiebstahl. Die Bank ist der fünftgrößte Anbieter von Kreditkarten in den USA. Der festgenommenen Hackerin drohen bei einer Verurteilung fünf Jahre Haft und 250.000 Dollar Geldstrafe. (AFP)


Aus: "Hackerin erbeutet Daten von 100 Millionen Bankkunden" (30.07.2019)
Quelle: https://www.tagesspiegel.de/wirtschaft/attacke-auf-us-grossbank-capital-one-hackerin-erbeutet-daten-von-100-millionen-bankkunden/24851318.html (https://www.tagesspiegel.de/wirtschaft/attacke-auf-us-grossbank-capital-one-hackerin-erbeutet-daten-von-100-millionen-bankkunden/24851318.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on August 12, 2019, 10:13:05 vorm.
Quote
[...] Die Dating-App „3fun“ verspricht einen „privaten Raum“, in dem man „lokale kinky, offene Menschen“ findet. Doch jetzt wurde eine Sicherheitslücke gefunden, durch die Daten von mehr als 1,5 Millionen Menschen des Gruppen-Dating-Diensts an die Öffentlichkeit gelangen könnten.

Ken Munro von Pen Test Partners hat am Donnerstag seine Sicherheitsforschung dazu präsentiert, berichtet TechCrunch. Er spricht von der „unsichersten Security-Lösung, die er je bei einer Dating-App gesehen hat“.

Die App hat sowohl die genaue Location als auch Fotos der Mitglieder und Details von Nutzern aus der Nähe geleakt. Man konnte jedoch auch gezielt Daten von bestimmten Locations eingeben, inklusive Regierungssitze oder Militärbasen, und sensible Informationen von jedem zusammensammeln, heißt es.

Techcrunch gab an, die Koordinaten des Weißen Hauses und der CIA eingegeben zu haben. Man habe Nutzer bei beiden Orten gefunden, inklusive ihrer sexuellen Vorlieben, Alter, Username und den Usernamen des Partners. Auch der Volltext der Biografie, die manche sehr ausführlich ausgefüllt haben, war zu finden sowie das dazugehörige Profilbild in hoher Auflösung. Auch das Geburtsdatum haben manche Nutzer angegeben.

Laut dem Bericht von Techcrunch war keine dieser Daten verschlüsselt. Die Forscher von Pen Test Partners bezeichnen die App als „Privatsphäre-Wrack“. Man habe „3fun“ am 1. Juli kontaktiert, um die Fehler zu melden. Der App-Hersteller haben die Fehler mittlerweile behoben, aber es habe Wochen gedauert, so Munro.


Aus: "Dating-App für Dreier verrät Daten von 1,5 Millionen Nutzern" (08.08.2019)
Quelle: https://futurezone.at/apps/dating-app-fuer-dreier-verraet-daten-von-15-millionen-nutzern/400573754 (https://futurezone.at/apps/dating-app-fuer-dreier-verraet-daten-von-15-millionen-nutzern/400573754)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on August 14, 2019, 12:19:33 nachm.
Quote
[...] Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen vom System Biostar 2 der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist.

Biostar 2 arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Wie der Guardian berichtet, wird das System auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Entdeckt wurde die Sicherheitslücke von den israelischen Hackern Noam Rotem und Ran Lokar, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist

Die beiden Hacker hatten Zugriff auf 27,8 Millionen Datensätze und 23 Gigabyte Daten. Darunter waren Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Hacker darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können", sagten die Hacker dem Guardian. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: "Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und "abcd1234". 

Nach Angaben des Marketingleiters von Suprema, Andy Ahn, wurde die Sicherheitslücke inzwischen geschlossen. Dem Guardian sagte er, das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Man würde die Kunden im Falle einer Bedrohung informieren.


Aus: "Biometrische Daten von Millionen Nutzern offen im Netz" (14. August 2019)
Quelle: https://www.zeit.de/digital/datenschutz/2019-08/hacker-israel-sicherheitsfirma-suprema-datenschutz (https://www.zeit.de/digital/datenschutz/2019-08/hacker-israel-sicherheitsfirma-suprema-datenschutz)

Quote
sphex #1

Mal sehen, was die "Ich habe nichts zu verbergen! Fraktion" hierzu postet...
Das ist genauso finster, als ween fremde Leute ohne Erlaubnis meine Wohnung durchwühlen.
Datenschutz ist ein sehr wichtiges Thema - aber für manche wohl noch immer zu abstrakt ...


Quote
Johanna88 #2

Eine Sicherheitsfirma? Ist jetzt Satire, oder?


Quote
Dolferl #3

Offensichtlich nicht.
Da sollten sich unsere Politiker und ihr feuchter Traum von der totalen Überwachung ( natürlich nur gegen den Terror) mal gewaltige Gedanken machen.
Wird aber wohl nicht der Fall sein. Außer sie sind selbst mal betroffen.


...
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on August 20, 2019, 10:58:03 vorm.
Quote
[...] heise Security wurde auf eine Liste mit den persönlichen Daten von fast 90.000 Personen aufmerksam gemacht, die von dem Mastercard-Bonusprogramm Priceless Specials stammen soll. Die Excel-Tabelle enthält jeweils Vor- und Zuname, Geburtsdatum, Mail-Adresse und häufig auch Postanschrift und Handynummern der Personen. Einer ersten Analyse von heise Security zufolge scheinen die Daten echt zu sein – wenn sie es nicht sind, dann hat sich jemand große Mühe mit der Fälschung gegeben.

Auf der Liste befinden sich fast ausschließlich Personen mit Postanschrift in Deutschland, darunter fast 60 Einträge, die anscheinend von Mastercard-Mitarbeitern stammen. Einige hundert Datensätze scheinen sich Mitarbeitern deutscher Geldinstitute zuordnen zu lassen.

Am Montagnachmittag war das Bonusprogramm von Mastercard noch erreichbar. Als heise Security das Unternehmen auf das mögliche Datenleck aufmerksam machte, sperrte Mastercard die Seite umgehend. "Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht", erklärte die Kreditkartenfirma gegenüber heise online. "Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless Specials-Plattform umgehend geschlossen." Zugleich versichert das Unternehmen, dass das Datenleck "nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard" stehe.

Wenn die Daten echt sind, dann handelt es sich bei der Excel-Tabelle um einen wertvollen Datenschatz für Online-Ganoven. Üblicherweise werden solche Informationen etwa für Phishing-Mails missbraucht. Der Online-Gauner weiß in diesem Fall, dass sein Opfer in spe eine Mastercard besitzt und würde wahrscheinlich eine Phishing-Mail im Mastercard-Design verschicken. Sobald die Kreditkartenfirma weitere Details zu dem potenziellen Datenleck bekanntgibt, werden wir darüber berichten.


Aus: "Leck bei Mastercard? Daten von fast 90.000 Personen kursieren im Netz" Ronald Eikenberg (19.08.2019)
Quelle: https://www.heise.de/security/meldung/Datenleck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz-4500593.html (https://www.heise.de/security/meldung/Datenleck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz-4500593.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on August 28, 2019, 10:12:14 vorm.
Quote
[...] Den eigenen Klarnamen in einer Mailadresse zu benutzen, mit der man sich auf einer Pornoseite anmeldet, ist in vielen Fällen keine gute Idee. Sicherheitsforscher:innen des VPN-Testportals vpnMentor haben Mitte August ein Datenleck der pornographischen Community-Seite luscious.net entdeckt. Sie konnten fast 1,2 Millionen Profile mit E-Mail-Adressen, Nutzernamen, Standorten und allen getätigten Aktivitäten wie eigenen Uploads, Logininformationen oder Kommentaren einsehen. In vielen Fällen waren Rückschlüsse auf reale Personen möglich.

Auf luscious.net (nsfw) können Nutzer:innen pornografisches Material tauschen und kommentieren. Zu den Betroffenen, deren Daten unverschlüsselt und ungeschützt eingesehen werden konnten, gehören 50.000 deutsche Accounts.

Wie das Forscherteam berichtet, benutze ein Großteil der Nutzer:innen Mailadressen, aus denen ihr richtiger Name ablesbar ist. Einige Nutzer:innen aus Australien, Italien, Brasilien und Malaysia hatten sich sogar mit einer offiziellen Regierungsmailadresse angemeldet. Nach Schätzungen der Forschergruppe nutzten nur 20 Prozent der Personen Mailadressen mit Fake-Namen.

Das kann für einen sehr entspannten Umgang mit Pornographie sprechen. Oder aber für einen sehr naiven Umgang mit Online-Sicherheit. Die Forscher:innen betonen, dass sie in vielen Fällen hochsensible Daten einzelnen Personen zuordnen konnten. „Einige dieser Blog-Posts waren äußerst persönlich – einschließlich depressiver oder anderweitig sensibler Inhalte – und blieben anonym.“ schreibt vpnMentor. Durch Sicherheitslücken wie diese könnten die Identitäten der Autor:innen leicht enthüllt werden.

VpnMentor warnt davor, dass über die erbeuteten Mailadressen leicht auf andere Online-Profile geschlossen werden kann. Betroffene werden nicht selten mit einer Veröffentlichung der Daten erpresst. Auch werden gehackte Profildaten für Phishing-Mails missbraucht, in denen versucht wird, den Opfern noch weitere sensible Informationen zu entlocken.

Luscious.net ist längst nicht das erste Pornoportal, von dem persönliche Nutzerdaten erbeutet wurden. Auch Sicherheitslücken auf Pornoseiten wie Xhamster und Brazzers.com wurden von Hackern genutzt, um an Nutzerdaten zu gelangen.

Ob die Daten von Luscious auch Dritten in die Hände gefallen sind, ist nicht bekannt. Luscious.net schloss die Sicherheitslücke drei Tage, nachdem vpnMentor das Unternehmen darauf aufmerksam gemacht hatte. ...


Aus: "Datenschutz - Porno-Community Luscious: Daten von mehr als einer Millionen Mitglieder im Netz" Alexandra Ketterer (23.08.2019)
Quelle: https://netzpolitik.org/2019/porno-community-luscious-daten-von-mehr-als-einer-millionen-mitglieder-im-netz/ (https://netzpolitik.org/2019/porno-community-luscious-daten-von-mehr-als-einer-millionen-mitglieder-im-netz/)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on September 05, 2019, 09:03:05 vorm.
Quote
[...] Facebook muss sich wieder wegen eines Vorfalls mit den Daten seiner Nutzer rechtfertigen. Offenbar waren Telefonnummern von etwa 420 Millionen Anwendern im Internet offen zugänglich. Ein IT-Sicherheitsexperte hatte die Datei mit den persönlichen Informationen entdeckt und das Technologieblog TechCrunch informiert.

Unter den Telefonnummern sollen 133 Millionen von Facebook-Nutzern aus den USA gewesen sein. Die Gefahr bei solchen Daten ist, dass Online-Kriminelle sie nutzen könnten, um Account-Passwörter zurückzusetzen und die Profile zu kapern. Die Datei soll inzwischen entfernt worden sein.

Unklar ist bisher, wer sie erstellt und hochgeladen hat. Hinweise darauf, dass die Accounts gehackt worden sind, habe es keine gegeben, teilte Facebook mit. Es soll sich um alte Daten handeln, die anscheinend gesammelt worden seien, bevor das Unternehmen vergangenes Jahr die Möglichkeit abschaffte, Freunde mithilfe ihrer Telefonnummern zu finden.

Facebook hatte bereits im April 2018 eingeräumt, dass die Freunde-Suche nach Telefonnummern dazu missbraucht wurde, Daten abzugreifen, und schaltete die Funktion ab.


Aus: "Telefonnummern von 420 Millionen Facebook-Nutzern einsehbar" (5. September 2019)
Quelle: https://www.zeit.de/digital/datenschutz/2019-09/datenschutz-telefonnummern-millionen-facebook-nutzer (https://www.zeit.de/digital/datenschutz/2019-09/datenschutz-telefonnummern-millionen-facebook-nutzer)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on September 17, 2019, 10:41:39 vorm.
Quote
[...] Durch eine unsachgemäß konfigurierte Datenbank waren zahlreiche vertrauliche persönliche Daten von nahezu allen Einwohnern Ecuadors frei im Internet zugänglich. Zwei israelische Sicherheitsspezialisten entdeckten die Datensätze und wandten sich an das Magazin ZDnet, mit dem sie gemeinsam den Bestand analysierten und auf Authentizität prüften sowie den Urheber recherchierten. Ungefähr 20,8 Millionen Datensätze sollen insgesamt auf dem Elasticsearch-Server verfügbar gewesen sein, schreibt ZDnet.

Das südamerikanische Land hat ungefähr 17 Millionen Einwohner – die deutlich höhere Zahl an Datensätzen in dem Fund erklärt sich laut dem Bericht aus doppelten Einträgen sowie aus Daten zu bereits verstorbenen Personen. Die untersuchten Daten waren auf mehrere Elasticsearch-Indizes verteilt, deren Namen bereits 'sprechend' waren. Der Inhalt der Datensätze enthüllt persönliche Informationen der Einwohner samt Familienverhältnissen und Verwandtschaftsbeziehungen, Einwohnermeldedaten, Finanzdaten, Informationen zum Arbeitsplatz sowie zu angemeldeten Fahrzeugen.

Außerdem gehen aus den Indizes auch deren mutmaßliche Quellen hervor, die teils bei Behörden und teils bei privaten Firmen liegen sollen – vermutlich wurden die Daten von dort importiert. Der größte Teil der Daten stammt laut ZDnet demnach von den ecuadorianischen Standesämtern. Hier sind nicht nur Anschrift, Familienstand, Geburtsort- und -datum und Bildungsabschluss einsehbar, sondern auch die Ausweisnummer und die Telefonnummer.

Einige der kontaktierten Betroffenen bestätigten laut dem Bericht die Echtheit der Angaben, deren Aktualität bis ins Jahr 2019 reicht. In dem Leak befinden sich sogar Informationen zu Ecuadors Präsident sowie zu dem in Australien geborenen Wikileaks-Gründer Julian Assange, dem nach seiner Flucht in die Botschaft Ecuadors in London 2012 im Dezember 2017 die ecuadorianische Staatsbürgerschaft zugesprochen worden war. Im April dieses Jahres hatte das Land jedoch Assange den Asylstatus aberkannt und die Londoner Polizei in das Botschaftsgebäude gelassen, wo diese Assange festnahm.

Besonders brisant wird dieser Leak durch die Angabe von Verwandtschaftsbeziehungen: Da sich Daten zu Eltern und Kindern in der Datenbank finden, lassen sich damit ganze Familienbäume rekonstruieren. Insgesamt fanden die Spezialisten 6,77 Millionen Datensätze zu Kindern unter 18 Jahren, bei denen unter anderem der Wohnort vermerkt ist.

Einige Indizes verweisen auf ihren Ursprung in einem Privatunternehmen, etwa eine Bank, die von der ecuadorianischen Sozialversicherungsbehörde ausgegründet wurde. In diesen ca. 7 Millionen Datensätzen finden sich Kontostände, Kreditinformationen und Daten zum Arbeitsverhältnis. In einem Index zu Kraftfahrzeug-Anmeldungen mit immerhin 2,5 Millionen Einträgen stehen die Fahrzeugmodelle samt Kennzeichen sowie deren Eigentümer.

Als Urheber der offenen Datenbank ermittelten Noam Rotem und Ran Locar von vpnMentor gemeinsam mit ZDnet ein örtliches Unternehmen namens Novaestrat, das nach Eigenauskunft Analysen für den Finanzsektor erstellt. Jedoch erwies es sich als schwierig, mit dem Unternehmen Kontakt aufzunehmen: Auf der Website wurden weder Telefonnummern noch E-Mail- Adressen genannt, und auf Anfragen über Facebook und LinkedIn reagierte die Firma nicht. Der Versuch, im Support-Forum der Website ein Konto zu erstellen, endete mit einer PHP-Fehlermeldung.

Nachdem sich vpnMentor an das ecuadorianische Computer Emergency Response Team (CERT) gewendet hatte, wurde der Zugriff auf die Datenbank aus dem Internet schließlich unterbunden. Vor allem der lockere Umgang mit Daten von Minderjährigen zeigt die datenschutzrechtliche Brisanz dieses Leaks. ZDnet weist zurecht darauf hin, dass ein solcher Datenbestand geradezu 'paradiesische' Aussichten für Kriminelle bietet – damit ließen sich etwa reiche Familien mit Kindern identifizieren, die dann womöglich Opfer von Entführung mit Lösegeldforderung werden könnten, oder es ließe sich das gewünschte Automodell samt Kennzeichen und Besitzeranschrift ausfindig machen, das dann von Dieben entwendet werden könnte.

Ein solcher Leak durch eine – mutmaßlich vom Dienstleister – dilettantisch konfigurierte Datenbank lässt sich wahrscheinlich nie ganz ausschließen, wie zahlreiche ähnliche Fälle der jüngsten Zeit zeigen. Prominentes Beispiel ist etwa die Hotelkette Marriott, deren Kundendaten Ende 2018 Hackern in die Hände fielen. Der Fall zeigt jedoch auch, welche immensen Gefahren vom zentralen Sammeln und Vorhalten von Einwohnerdaten ausgehen. Projekte dieser Art gibt es in zahlreichen Ländern. In Indien etwa sind biometrische Einwohnerdaten mit Finanzinformationen in einem Datenbankprojekt verknüpft – das System wurde prompt gehackt und die Daten gegen Geld angeboten. (tiw)


Aus: ""Gläserne" Bürger: Riesiger Leak enthüllt komplette Bevölkerung Ecuadors" Tilman Wittenhorst (16.09.2019)
Quelle: https://www.heise.de/newsticker/meldung/Glaeserne-Buerger-Riesiger-Leak-enthuellt-komplette-Bevoelkerung-Ecuadors-4523780.html (https://www.heise.de/newsticker/meldung/Glaeserne-Buerger-Riesiger-Leak-enthuellt-komplette-Bevoelkerung-Ecuadors-4523780.html)

Quote
     cooregan, 16.09.2019 15:29

Komplette Kernschmelze

Wo ist sie nun, die Fraktion derer, die nichts zu verbergen haben?

Und es möge niemand behaupten, so was könne nur in einem - Entschuldigung - weniger entwickelten Staat in Südamerika, nicht aber hier passieren.
Ein Schaustück für alle Datenhehler, STASI-Schergen, und jene, die Datenkraken verharmlosen und falsche Sicherheitsversprechen machen.

gruß
cooregan

...
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on September 17, 2019, 10:47:01 vorm.
Quote
[...] Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Diese Datensätze von weltweit mehreren Millionen Patienten liegen auf Servern, die nicht geschützt sind. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden. Das hat eine gemeinsame Auswertung des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica ergeben.

Die Bilder sind hochauflösend und gespickt mit zahlreichen Informationen. Fast alle davon sind personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

 In Deutschland sind laut BR-Recherchen mehr als 13.000 Datensätze von Patienten betroffen, in mehr als der Hälfte sind Bilder enthalten: Sie waren noch bis vergangene Woche zugänglich und stammen von mindestens fünf verschiedenen Standorten. Der größte Teil der Datensätze entfällt auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.

Weltweit ist die Dimension deutlich größer, Server auf der ganzen Welt sind ungeschützt: In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein. Besonders betroffen sind Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor.

 Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landen auf diesen Servern. 

Sind die Server nicht ausreichend gesichert, ist es trivial, an die Daten heranzukommen, erklärt der Experte für Informationssicherheit Dirk Schrader. Er kontaktierte die Investigativ- und Datenjournalisten des Bayerischen Rundfunks, nachdem er weltweit mehr als 2300 Rechner gefunden hatte, auf denen diese Datensätze lagen. Die Server waren ungeschützt. 

Schrader spricht von einem "near realtime-access". Ein Zugriff, beinahe in Echtzeit also. "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen", sagt er.

Journalisten von BR Recherche/BR Data haben das Vorgehen von Schrader nachvollzogen. Es wurden auch stichprobenartig Betroffene kontaktiert und so die Echtheit der Daten bestätigt.

 Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, spricht von einem "verheerenden ersten Eindruck", als ihm die Reporter einen Patientendatensatz in anonymisierter Form zeigen. Er warnt vor möglichen Folgen: "Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt." Diese Daten würden unsere digitale Identität ausmachen, "sie gehören nicht in die Hände Dritter".

Auch Sebastian Schinzel, Professor für IT-Sicherheit an der FH Münster, spricht von einem "handfesten Skandal". Er arbeitet derzeit in einem Projekt des Bundeslandes Nordrhein-Westfalen daran, die Cybersicherheit für die Gesundheitswirtschaft zu verbessern: "Diese Daten sind hochsensibel, und ich möchte natürlich auf keinen Fall, dass das im Internet steht, ohne Passwort-Authentifizierung. Ich finde das katastrophal."

 Dirk Schrader kontaktierte auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf Anfrage teilte ein Sprecher mit, dass man 17 Fällen nachgehe und "drei betroffene Einrichtungen direkt über den Sachverhalt" informiert habe.

Das BSI darf aus rechtlichen Gründen nicht selbst auf die Daten zugreifen. In den restlichen 14 Fällen, in denen die IP-Adresse alleine nicht ausreichte, um das Leck zu identifizieren, habe man die Internetprovider kontaktiert. Diese seien nun angehalten, die betroffenen Einrichtungen zu informieren. Außerdem habe man Behörden in 46 Ländern kontaktiert.

Mehrere Server mit sensiblen Patientendaten waren nach BR-Informationen bis vergangene Woche erreichbar, darunter ein Server mit 7000 Untersuchungsdaten von Patienten in Bayern. Das Bayerische Landesamt für Datenschutzaufsicht steht mit dem Betreiber des Servers in Kontakt, wie ein Sprecher auf Anfrage schriftlich mitteilt. Nun würden nächste Schritte geprüft: "Dies kann von offensichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen." Der BR hat ihm bekannte Standorte kontaktiert. Mittlerweile sind die Server vom Netz.

 Bereits im Jahr 2016 veröffentlichte Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, eine Studie zu ungeschützten PACS-Servern. Er hatte damals mehr als 2700 offene Systeme ausfindig machen können: "Wir haben ein Riesenproblem mit medizinischen Geräten, die komplett ungesichert und ungeschützt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Geräten verbinden und die Patientendatensätze kompromittieren", sagt Pianykh im Interview mit dem BR und ProPublica.

In Fachkreisen nahm man die Studie von Pianykh zwar zur Kenntnis, doch offenbar sah niemand Grund zum Handeln. Schließlich habe der US-Forscher nicht überprüft, ob sich echte Daten auf den Servern befanden, heißt es aus der Branche. So sind viele Datensätze von Patienten bis heute ungesichert im Netz.

Recherche-Kooperation

Die Recherche ist eine Kooperation des Bayerischen Rundfunks mit dem US- amerikanischen Recherchebüro "ProPublica".
Team: Pia Dangelmayer, Arne Meyer-Fünffinger, Ulrich Hagmann, Uli Köppen, Steffen Kühne, Verena Nierle, Oliver Schnuck, Josef Streule, Hakan Tanriverdi, Tatjana Thamerus, Maximilian Zierer sowie Jack Gillum, Jeff Kao und Jeff Larson von ProPublica.




Aus: "Patienteninformationen: Millionen Daten ungeschützt im Netz" (17.09.2019)
Quelle: https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html (https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 04, 2019, 10:33:55 vorm.
Quote
[...] Mehrere vornehmlich in Spanien beliebte Porno-Websites haben durch eine offen im Internet zugängliche Datenbank mit den Inhalten von Logdateien hochsensible Informationen über die Betrachter der Videos enthüllt, aber auch über die Sexarbeiterinnen, die für das Angebot an Inhalten sorgen. Die Datenbank war über mehrere Wochen erreichbar. Das hat das Online-Magazin Techcrunch enthüllt.

Betreiber der Websites ist das in Barcelona ansässige Unternehmen VTS Media, unter den betroffenen URLs sind 'sprechende' Bezeichnungen wie webcampornoxxx.net und placercams.com sowie die Website amateur.tv, die laut dem Techcrunch-Bericht in Traffic-Statistiken eine der beliebtesten in Spanien ist. Allerdings fanden sich auch zahlreiche Nutzer aus anderen europäischen Ländern in der Datenbank. Die pornografischen Inhalte liefern zumeist Frauen, die sich selbst per Webcam filmen sowie mit Kunden chatten und daher auch als "camgirls" bezeichnet werden.

IT-Security-Spezialisten des Unternehmens Condition:Black entdeckten eine Back-end-Datenbank, die frei und ohne Passwort im Internet zugänglich war. Sie enthielt die aus Logdateien stammenden Daten über die Aktivitäten auf den Websites über einen Zeitraum von mehreren Monaten. Aufgeführt waren unter anderem Anmeldungen samt Nutzernamen, teilweise mit Useragent-Information und IP-Adresse, private Chat-Nachrichten zwischen Benutzern der Websites sowie Werbe-E-Mails, die die Nutzer von den Websites erhielten, woraus teils auch die E-Mail-Adresse der Benutzer hervorging. Solche Informationen können ausreichen, um einen Benutzer persönlich zu identifizieren.

Insbesondere war aus den Daten auch ersichtlich, welche Videos ein Benutzer betrachtete oder mietete – woraus sich beispielsweise sexuelle Präferenzen ableiten lassen. Doch damit nicht genug: Bei fehlgeschlagenen Login-Versuchen zeichneten die Systeme sogar Nutzernamen und Passwort im Klartext auf. Außerdem waren teilweise die Nutzerdaten der Sexarbeiterinnen einsehbar, die die Videos für die Websites bereitstellen. Die Zahl der betroffenen Personen aus dem Leak gibt Techcrunch etwas vage mit mehreren Millionen an.

Wie Techcrunch schreibt, wurde die Datenbank vergangene Woche vom Netz genommen. Ein Kontaktversuch mit VTS Media per E-Mail scheiterte. Die Spezialisten von Condition:Black verwiesen darauf, dass die Datenschutzrichtlinie der Websites nicht auf eine derart detaillierte Informationssammlung an Nutzerdaten hinweist. Da sich das verantwortliche Unternehmen und die betroffenen Server in der EU befinden, fallen das mutmaßlich unberechtigte Sammeln der Nutzerdaten und natürlich das unbeabsichtigte Offenlegen unter die EU-Datenschutzgrundverordnung. Ein Bußgeld nach DSGVO kann bis zu 4 Prozent des Jahresumsatzes eines Unternehmens betragen; mittlerweile sind die ersten Bußgelder verhängt worden.

Wie heikel das Veröffentlichen persönlicher Informationen – insbesondere aus den intimsten Bereichen der Privatsphäre – sein kann, zeigt unter anderem der Fall des Seitensprung-Portals Ashley Madison im Jahr 2015. Damals waren Daten von ca. 36 Millionen Nutzern von einer Hackgruppe publik gemacht worden. In der Folge waren einige von ihnen Opfer von Verbrechen geworden, zwei Personen sollen Suizid begangen haben. (tiw)


Aus: "Logdatei-Leak: Spanische Pornowebsites enttarnen Betrachter und Sexarbeiterinnen" Tilman Wittenhorst (03.11.2019)
Quelle: https://www.heise.de/newsticker/meldung/Logdatei-Leak-Spanische-Pornowebsites-enttarnen-Betrachter-und-Sexarbeiterinnen-4574338.html (https://www.heise.de/newsticker/meldung/Logdatei-Leak-Spanische-Pornowebsites-enttarnen-Betrachter-und-Sexarbeiterinnen-4574338.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on November 20, 2019, 10:10:18 vorm.
Quote
[...] Unbekannte sind durch eine Sicherheitslücke in das IT-System des Versandhändlers Conrad Electronic eingedrungen. Dadurch hätten die Angreifer offenbar über Monate hinweg Zugriff auf fast 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank nehmen können, teilte die Conrad Electronic SE mit. Es gebe aber keine Hinweise darauf, dass die Hacker die Daten tatsächlich abgegriffen und missbraucht hätten.

Kreditkarteninformationen und Kundenpasswörter seien nicht kompromittiert worden. Vielmehr handelte es sich Conrad zufolge um Postadressen, teilweise E-Mail-Adressen sowie Fax- und Telefonnummern und bei einem Fünftel der Datensätze auch um Bankverbindungen (IBANs). Die Sicherheitslücke, die den Zugang ermöglichte, sei inzwischen geschlossen sowie weitere Vorkehrungen getroffen worden.

Die Conrad-Gruppe hat eigenen Angaben nach Strafanzeige beim Landeskriminalamt gestellt und das das Bayerische Landesamt für Datenschutzaufsicht informiert. Das Oberpfälzer Familienunternehmen rät Kunden trotzdem zu Vorsicht – vor allem, wenn diese E-Mails mit Anhängen erhielten. Es hat eine Internetseite eingerichtet, wo Kunden sich informieren und Fragen stellen können. “Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung“, erklärte Conrad-Chef Werner Conrad. (Mit Material der dpa) / (axk)


Aus: "Unbekannte dringen in Server von Conrad Electronic ein" Axel Kannenberg (19.11.2019)
Quelle: https://www.heise.de/newsticker/meldung/Unbekannte-dringen-in-Server-von-Conrad-Electronic-ein-4591326.html (https://www.heise.de/newsticker/meldung/Unbekannte-dringen-in-Server-von-Conrad-Electronic-ein-4591326.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Januar 19, 2020, 05:16:11 nachm.
Quote
[...] Ein Vertriebsnetz für Porno-Websites, die sich auf kostenpflichtige Streams von Live-Kameras spezialisiert haben, hat eine riesige Sammlung mit hochsensiblen Daten der beteiligten Sexarbeiterinnen und Sexarbeitern frei im Internet zugänglich aufbewahrt. Das Affiliate-Unternehmen mit dem vielsagenden Namen "PussyCash" hat in einem offenen S3-Bucket in der Amazon-Cloud eine Sammlung persönlicher Daten samt Bildern von über 4000 Beteiligten vorgehalten. Das haben Security-Spezialisten von vpnMentor aufgedeckt.

Der knapp 20 Gigabyte große Objektspeicher des Amazon-Cloud-Dienstes Simple Storage Service (S3) enthielt laut dem Bericht von vpnMentor mehr als 875.000 Dateien, darunter Videos, Marketingmaterialien, Screenshots von Videochats sowie ZIP-Archive mit gesammelten Daten zu jeweils einer dort tätigen Personen. Enthalten sind Fotos bzw. Scans von Pässen, Personalausweisen, Führerscheinen, US-Militärausweisen, Sozialversicherungsausweisen, Kreditkarten, Eheschließungs- und Geburtsurkunden – also nahezu alle Dokumente, die eine moderne bürgerliche Existenz vollständig enthüllen.

Doch damit nicht genug: Enthalten waren in dem Leak außerdem die gescannten Verträge, in denen die Frauen und Männer bei dem Affiliate-Netz als "Models" beschäftigt werden, sowie schematische Körperdarstellungen mit etwaigen Piercings, Tattoos und Narben samt Angaben zu diversen Körpermaßen. Manche der "Models" hielten ihre Ausweise auch selbst ins Bild. Betroffen sind Sexarbeiter aus zahlreichen Ländern in aller Welt. Wie vpnMentor schreibt, sind manche Daten 15 bis 20 Jahre alt, andere erst wenige Wochen. Die Inhalte stammen demnach hauptsächlich von der LiveCam-Website imlive.com, andere Daten verweisen jedoch auf den Eigentümer des S3-Bucket, das Affiliate-Unternehmen "PussyCash", das auf seiner Website selbst keine pornografischen Inhalte anbietet.

Die Security-Spezialisten fanden die offene Datensammlung am 3. Januar und informierten am folgenden Tag "PussyCash" sowie das zugehörige Unternehmen "ImLive". Da es zunächst keine Reaktion gab, setzten sie am 7. Januar Amazon in Kenntnis – am selben Tag reagierte dann auch "ImLive" und teilte mit, man werde sich um die Angelegenheit kümmern und sie an das Technikteam von "PussyCash" weiterreichen. Zwei Tage später war der S3-Bucket nicht mehr offen zugänglich. Von "PussyCash" hat vpnMentor bislang keine Antwort erhalten, auch nicht von dessen Datenschutzbeauftragtem.

Der Eigentümer beider Unternehmen hat seinen Sitz in Andorra – da dieser Staat kein EU-Mitglied ist, greift hier die EU-Datenschutzgrundverordnung nicht. Durch diese könnten Behörden derartige Datenschutzverstöße mit teils empfindlichen Geldbußen ahnden.

Im November vergangenen Jahres hatten offen zugängliche Logdateien eines spanischen Betreibers von Porno-Websites die Identität von Millionen Betrachtern und der Sexarbeiterinnen ("Camgirls") zumindest indirekt – etwa über E-Mail-Adressen oder Nutzernamen – enttarnt. Im vorliegenden Fall ist die Enthüllung der Identität jedoch total und die Auswirkungen für die Betroffenen könnten katastrophal sein; sie könnten etwa Opfer von Mobbing, Stalking oder Erpressung werden. 2015 war es im Zuge der Enthüllung von Nutzern des Seitensprung-Portals "Ashley Madison" mutmaßlich zu einem damit zusammenhängenden Selbstmord gekommen. (tiw)


Aus: "Eimerweise hochsensible Daten: Schwerwiegender Leak bei LiveCam-Pornowebsites" Tilman Wittenhorst (18.01.2020)
Quelle: https://www.heise.de/newsticker/meldung/Eimerweise-hochsensible-Daten-Schwerwiegender-Leak-bei-LiveCam-Pornowebsites-4641374.html (https://www.heise.de/newsticker/meldung/Eimerweise-hochsensible-Daten-Schwerwiegender-Leak-bei-LiveCam-Pornowebsites-4641374.html)

Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Januar 23, 2020, 05:12:35 nachm.
Quote
[...] Es ist wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern wie Robert Habeck von den Grünen. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. Das ergab eine gemeinsame Recherche des Computermagazins c't und der Wochenzeitung DIE ZEIT.

Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Es stand der Port 445 offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. Deshalb konnte jeder Internet-Nutzer die von Buchbinder auf dem Server abgelegten Dateien herunterladen – insgesamt über 10 Terabyte. Ein Passwort war dafür nicht nötig. Man musste lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Buchbinder ist einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Die Kerngesellschaft der Gruppe, die Charterline Fuhrpark Service GmbH, machte 2018 laut Jahresabschluss einen Umsatz von knapp 350 Millionen Euro. Ihr zur Seite stehen laut Datenschutzerklärung die Carpartner Nord GmbH sowie die Terstappen Autovermietung GmbH in Duisburg. Seit 2017 gehört Buchbinder zum französischen Europcar-Konzern.

Buchbinders IT-Abteilung nutzte laut Who-is-Abfrage einen durch die Charterline angemieteten Cloud-Rechner bei der PlusServer GmbH in Köln. Auf diesem wurden jeden Wochentag .bak- und .log-Dateien gespeichert – jede davon mehrere hundert Gigabyte bis über ein Terabyte groß.

Den Hinweis auf den offenen Server erhielten c't und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma "Deutsche Gesellschaft für Cybersicherheit" war bei Routine-Scans auf den offenen SMB-Server gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutzbeauftragen in Bayern als auch c't und DIE ZEIT.

Die Backups enthielten über 5 Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Es handelt sich dem Augenschein nach um die komplette MSSQL-Firmendatenbank, auf die sich ohne Passwortabfrage zugreifen ließ.

Sie umfasste laut den Analysen von c't und ZEIT über neun Millionen Mietverträge, von 2003 bis heute. Neben den Mietern sind auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und -Ausstellungsdatum aufgeführt. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

In der ungeschützt zugänglichen MSSQL-Datenbank ließen sich Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften ausfiltern. Von über 3 Millionen Mietern der vergangenen 18 Jahre stammten rund 2,5 Millionen aus Deutschland, etwa 400.000 aus Österreich und die übrigen rund 114.000 aus Italien, der Slowakei und Ungarn. Ihnen zugeordnet sind 3,1 Millionen Fahrer aus aller Herren Länder.

Außerdem gab es eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Erfasst wurden dort neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden wir auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Neben Zeit und Ort war auch vermerkt, ob eine Blutprobe von der Polizei angeordnet wurde.

Mitarbeiter und Geschäftskunden wurden ebenfalls erfasst. Zudem fanden wir Login-Informationen von Angestellten und Nutzern der Online-Portale sowie dem Flottenmanagement von Buchbinder. Über 3000 von etwa 170.000 Passwörtern waren im Klartext gespeichert.

Die Authentizität der Kundendatenbank verifizierte c't anhand der Informationen von einem Dutzend Buchbinder-Kunden aus dem Kreis der Angestellten von Heise Medien. Das Datenleck betrifft offenbar auch Personen, die nicht direkt bei Buchbinder gebucht haben. Ein ZEIT-Redakteur, der ein Auto über billiger-mietwagen.de und Car Del Mar gemietet hatte, fand seine persönlichen Informationen ebenfalls in der Datei – obwohl er selbst nicht wissentlich Kunde von Buchbinder war.

Die Buchbinder-Gruppe arbeitet offenbar mit vielen solchen Vermittlern und Vergleichsportalen zusammen, die dafür laut Firmendatenbank eine Provision erhalten. Kunden wissen am Ende mitunter gar nicht, dass ihr Fahrzeug von Buchbinder stammt und ihre Daten dort gespeichert sind. Organisiert werden Fahrzeugvermietungen oft über die Carpartner Nord GmbH. Über Global Rent-a-Car vermittelt Buchbinder zudem weltweit Fahrzeuge.

Oft sind Konfigurationsfehler schuld, wenn Kundendaten im großen Stil im Netz landen. Bereits ein Klick an der falschen Stelle genügt – und schon ist das System auf der ganzen Welt erreichbar. Stellt man einen Dienst ins Netz, ist es nur eine Frage von Minuten oder höchstens Stunden, bis das jemandem auffällt und Zugriffsversuche starten. Wenn ein Datendieb wie bei Buchbinder dabei keinerlei Schutzmechanismen umgehen muss, handelt es sich dabei im juristischen Sinne nicht einmal um einen "Hackerangriff".

Um solch exponierte Systeme aufzuspüren, ist keine Handarbeit nötig: Open-Source-Tools wie der Netzwerkscanner ZMap klopfen in weniger als einer Stunde sämtliche IPv4-Adressen auf offene Dienste ab.

Die Deutsche Gesellschaft für Cybersicherheit war auf den offenen Port bei einem ihrer Routine-Scans gestoßen. Die Firma unterhält eine Online-Datenbank namens cyberscan.io, die Firmen bei der Abdichtung eventueller Sicherheitslöcher helfen soll. Die SMB-Freigabe von Buchbinder war aber nicht nur cyberscan.io aufgefallen. Die auf Sicherheitslücken spezialisierte Suchmaschine Shodan.io zeigte den Rechner ebenfalls an – zusammen mit 125 weiteren Servern mit ungeschützten SMB-Freigaben für Backups in Deutschland.

Für Neugierige war der Buchbinder-Server also relativ leicht zu entdecken. Jeder, der wusste, wo er nachzuschauen hatte, konnte sich frei daran bedienen.

Die bei Buchbinder geleakten Daten sind für Cyber-Schurken enorm wertvoll. Es handelt sich um valide Informationen von Millionen Bürgern – einschließlich Name, Firmenzugehörigkeit, Anschrift, Geburtsdatum, Telefon- und Führerscheinnummer. Im Unterschied zu Daten, die Nutzer etwa für die Teilnahme an einem Gewinnspiel angeben, müssen die bei Buchbinder hinterlegten Daten echt sein, damit es zum Abschluss eines gültigen Mietvertrags kommen kann.

Den größten Schaden hat gewiss Buchbinder: Die Kundendaten gehören zu den größten Schätzen eines Unternehmens, die Datenbank wurde über mehr als ein Jahrzehnt aufgebaut. Wer jetzt alles darauf Zugriff hatte, lässt sich nicht mehr nachvollziehen. Mitbewerber könnten unbezahlbare Einblicke in die Flotte des Unternehmens erhalten haben. Der Leak dürfte auch zu einem erheblichen Vertrauensverlust seitens der Kunden führen – ganz zu schweigen von etwaigen DSGVO-Bußgeldern und eventuellen Schadenersatzforderungen.

Die erbeuteten Daten könnten sich auf verschiedene Arten missbrauchen lassen. Zunächst geht es ums große Geld: Ein Angreifer könnte etwa gezielt nach Mietvorgängen von Unternehmenskunden suchen, um die persönlichen Kontaktdaten der involvierten Mitarbeiter herauszusuchen. Anschließend könnte er diese Daten nutzen, um im Namen des Mitarbeiters mit dessen Kollegen oder Chef zu kommunizieren, um sich Vertrauen zu erschleichen und sich weiter vorzuarbeiten.

Denkbar wäre auch ein groß angelegter Phishing-Angriff auf Buchbinder-Kunden: Der Täter könnte Phishing-Mails verschicken, die dazu auffordern, die bei der Autovermietung hinterlegten Kreditkartendaten zu aktualisieren. Er könnte vorgeben, dass es bei einer Abbuchung zu einem Problem gekommen ist und sich dabei sogar konkret auf eine Vermietung beziehen. Für die Empfänger wäre eine solche Mail kaum von einer echten zu unterscheiden.

Spam, Phishing, Einkäufe im fremden Namen oder anderer Identitätsklau stehen erst am Ende der Verwertungskette und könnten noch Jahre später eintreten, wenn der Vorfall längst vergessen ist. Dazu ließe sich die Datenbank etwa in kleinere Häppchen aufteilen. Da viele Kunden einen Wagen auf Geschäftskosten mieten, lassen sich einzelne Personen leicht verschiedenen Firmen, Vereinen und Parteien zuordnen.

Unter den Kunden findet man beispielsweise zahlreiche Prominente aus Sport und Unterhaltung, Spitzenpolitiker von CSU und AfD sowie Robert Habeck von den Grünen – mit Privatadresse, Handynummer und E-Mail-Adresse. Darüber hinaus sind mehrere hundert Angehörige verschiedener Botschaften gelistet – nicht nur aus Deutschland und Österreich, sondern auch aus den USA, Russland, China, Beirut, Israel, Iran, Saudi-Arabien oder auch Nord-Korea.

Dutzende Einträge führen zu Mitarbeitern verschiedener Bundesministerien, darunter ein ehemaliger hochrangiger Beamter des Verfassungsschutzes. Zu den Betroffen zählt unter anderem auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. Gegenüber den Kollegen von der ZEIT erklärte er: "Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären."

Betroffen sind auch Mitarbeiter der Polizei und der Bundeswehr. Aus Österreich hatte 2008 sogar ein Mitglied des "Einsatzkommando Cobra Süd" einen Wagen gemietet, eine Art Pendant zur GSG 9 in Deutschland. Aus Deutschland findet man beispielsweise zwei Mitarbeiter von FinFisher, einem öffentlichkeitsscheuen Hersteller von Spionage-Software.

c't und DIE ZEIT informierten Buchbinder am 20. Januar über das Datenleck: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", teilte uns die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH schriftlich mit. Auf Fragen, wie lange das Datenleck bestand und wie viele Zugriffe es von außen gab, ging das Unternehmen ebenso wenig ein wie auf die Rechtsgrundlage, auf der Kunden- und Unfalldaten weit über zehn Jahre gespeichert wurden.

Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.

Erschwerend kann im vorliegenden Fall sein, wenn besonders sensible personenbezogenen Daten im Sinne von Art. 9 DSGVO betroffen sind, die noch stärker geschützt werden müssen. In der Buchbinder-Datenbank lassen sich beispielsweise Kunden politisch, religiös, nach sexuellen Vorlieben oder Erkrankungen zuordnen. So findet man Fahrten von Kreis- und Landesverbänden aller im Bundestag vertretenen Parteien, wie auch der DKP und NPD. Gelistet sind mehrere Hundert islamische Vereine, Einträge jüdischer Gemeinden wie auch von Schwulen- und Lesben-Vereinen sowie Selbsthilfegruppen von Süchtigen.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. ...


Aus: "Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz" (22.01.2020)
Quelle: https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html (https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Januar 28, 2020, 09:25:34 vorm.
Das Kammergericht ist das oberste Gericht für Straf- und Zivilangelegenheiten im Land Berlin. Es steht über den Amtsgerichten und dem Landgericht. Die 144 Richter verhandeln unter anderem politische Strafsachen wie Spionage und Terrorismus sowie Berufungen, Beschwerden, Revisionen, unterhaltsrechtliche Fragen. Sie können Urteile und Beschlüsse anderer Gerichte aufheben. Das Gericht wird von einem Präsidenten/einer Präsidentin geleitet. Das Kammergericht ist Ausbildungsbehörde für die Rechtsreferendare im Land Berlin. ...
https://de.wikipedia.org/wiki/Kammergericht (https://de.wikipedia.org/wiki/Kammergericht)


-

Quote
[...] Der IT-Supergau am Kammergericht hatte vor vier Monaten seinen Anfang genommen. Am 25. September hatte das IT-Dienstleistungszentrum festgestellt, dass aus den Systemen des Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern hergestellt wurde. Solche Server werden dazu benutzt, um Schadsoftware zu steuern.

Am 1. Oktober wurde dann bei T-Systems ein forensischer Bericht in Auftrag gegeben, mit dem der Umfang des Angriffs festgestellt werden sollte. Dazu wurde am 2. Oktober vor Ort eine Ersteinschätzung erhoben, in deren Verlauf Anzeichen für einen „schwerwiegenden Fall einer Emotet-Infektion“ mit „nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und die Daten des Kammergerichts“ gefunden wurden.

...


Aus: "Möglicherweise gesamter Datenbestand des Berliner Kammergerichts geraubt" Robert Kiesel (27.01.2020)
Quelle: https://www.tagesspiegel.de/berlin/gutachten-zur-virus-attacke-moeglicherweise-gesamter-datenbestand-des-berliner-kammergerichts-geraubt/25477570.html (https://www.tagesspiegel.de/berlin/gutachten-zur-virus-attacke-moeglicherweise-gesamter-datenbestand-des-berliner-kammergerichts-geraubt/25477570.html)

Quote
marla44 27.01.2020, 19:50 Uhr

Wer sagt eigentlich den ganzen Zeugen und verdeckten Ermittlern jetzt, dass sie ja nichts zu verbergen haben.


Quote
sinnsucher 27.01.2020, 16:39 Uhr

Und das ist nur die Spitze des Eisbergs. ...


Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Mai 08, 2020, 02:28:39 nachm.
Quote
[...] Die Aufregung um personenbezogene Daten in einem Onlineregister ist groß. Regierung und Datenschutzbehörde sind seit Wochen über den Umstand informiert.

Sie wollten schon immer wissen, wo der Bundespräsident haust? Wo andere Politiker wohnen? Das war bis Donnerstagabend tatsächlich einfach möglich. Wie berichtet, gelangte ein Onlineregister in die breite mediale Berichterstattung, in dem private Daten von bis zu einer Million Bürger einsehbar waren. Unter anderem waren Privatanschriften, Geburtsdaten und Angaben zum Steuerprozedere abrufbar. Mittlerweile wurde die Datensammlung offline genommen. Die Neos orten den größten Datenschutzskandal der Republik, die Regierung pocht hingegen auf Gesetzeskonformität.

Tatsächlich ist das sogenannte "Ergänzungsregister" nach Informationen des Wirtschaftsministeriums seit 2004 online – und war seither "immer öffentlich einsehbar". Demnach wurden die Daten von der Finanzverwaltung eingespeist. Das Register geht auf eine von Altkanzler Werner Faymann (SPÖ) erlassene Verordnung zurück, heißt es bei der ÖVP. Bis vor kurzem will man im Ministerium unter Margarete Schramböck (ÖVP) jedenfalls nichts von der Existenz der Datenbank gewusst haben – obwohl sie auf der Seite des Ministeriums zu finden war.

Wie DER STANDARD in Erfahrung bringen konnte, wusste man im Ressort jedoch seit mehr als drei Wochen von dem öffentlichen Zugang zu den Informationen, ohne dass das Register vom Netz genommen worden wäre. Zudem liegt eine Anfrage an die Datenschutzbehörde vom 14. April vor. Die Behörde antwortete darauf sinngemäß, dass das Register laut Verordnung öffentlich zu führen sei.

Vermutlich dürfte man in der Regierung bereits wesentlich früher von der Datenbank gewusst haben, wie Neos-Abgeordneter Douglas Hoyos am Freitag in einer Pressekonferenz betonte. Demnach haben sich in dem Register Gelistete bereits vor sechs Wochen bei einer Zweigstelle der Wirtschaftskammer gemeldet und auf das Problem aufmerksam gemacht. Daraufhin kontaktierten auch die Neos die Datenschutzbehörde und auch die zuständigen Ministerien – "seitdem ist nichts passiert", so Hoyos.

Welche Daten genau in dem System – und vor allem im Hintergrund – gespeichert sind, sei nicht klar, betont Datenschützer Thomas Lohninger von der Grundrechte-NGO Epicenter Works. In vielen Fällen sei der öffentliche Zugriff auf Privatadressen aber äußert bedenklich: Psychotherapeuten etwa, die im Strafvollzug tätig sind, oder Menschen, die mit Stalkern zu kämpfen haben, würden so einer physischen Gefahr ausgesetzt werden. "Für uns war es unverständlich, wie diese Daten jemals an die Öffentlichkeit kommen konnten."

Zudem besteh das Problem des Datenhandels und Identitätsdiebstahls, sagt Lohninger. Laut dem Experten kann man mit Name, Geburtsdatum und Privatadresse "relativ viel anfangen".

Seit Donnerstagnacht ist die Homepage jedenfalls offline, aus "Verantwortungsbewusstsein", wie es aus dem Kabinett Schramböck heißt. Wieso das Register dann nicht gleich nach Bekanntwerden für die Öffentlichkeit gesperrt wurde? Vor Donnerstagabend habe "de facto niemand" das Register gekannt, heißt es aus dem Ministerium. Es gebe eine rechtliche Grundlage dafür und damit "keinen Grund, es offline zu nehmen".

Am Donnerstagabend habe man sich dann doch dafür entschieden, das Register offline zu nehmen, weil sich die Zugriffe auf einmal gehäuft hätten, heißt es im Wirtschaftsministerium. Technische Probleme seien ein Grund dafür gewesen, dass die Seite zeitweise nicht aufrufbar war.

Ans Licht der Öffentlichkeit geriet das Register durch das Prozedere zum Härtefallfonds. Für die Einreichung mussten Selbstständige eine Nummer angeben, die über die Datenbank bis zuletzt einsehbar war. Erst dadurch hätten viele Betroffene erfahren, dass sie in der öffentlichen Datenbank geführt werden, sagt Hoyos.

Die Wirtschaftskammer (WKO), über die die Abwicklung des Fonds geschieht, betonte auf Anfrage jedoch, dass es keine "technische Schnittstelle" zwischen der Härtefall-Applikation und dem Register gebe, das Register liege nicht im Wirkungsbereich der Kammer. Mittlerweile ist die Nummer für den Antrag jedenfalls nicht mehr notwendig, heißt es bei der Kammer.

Dass es keine Verbindung zur WKO gibt, sieht man bei den Neos anders. Aus den Logdaten gehe hervor, dass die Wirtschaftskammer Daten in das Register einfügt, es sei allerdings nicht ersichtlich, ob die WKO auch auf die Datenbank zugreife. Wer die Datenbank in der Vergangenheit nutzte, bleibt vorerst ungewiss. Diese wird seit 2010 von der Statistik Austria gehostet, das sei gesetzlich so vorgesehen, heißt es aus dem Amt. Laut Statistik Austria gab es im Schnitt "200 bis 300 Abfragen pro Tag", durch den Härtefond sei es punktuell zu Spitzen von bis zu 70.000 Abfragen gekommen. Informationen dazu, aus welchen Ländern die Zugriffe stammen, lägen noch nicht vor.

Während die Neos sich "sehr glücklich" zeigten, dass die Datenbank mittlerweile nicht mehr zugänglich ist, kontert die ÖVP mit scharfer Kritik. Klubobmann August Wöginger sprach in einer Aussendung von einem "peinlichen Irrtum" der Pinken. Diese würden versuchen, "in künstlicher Aufregung einen Skandal zu basteln". Die 2009 erlassene Verordnung regle klar, dass das Register öffentlich zu führen sei, so Wöginger. "Es gibt aus unserer Sicht kein klares Gesetz, wieso das öffentlich zugänglich ist", kontern die Neos. "Jeder, der nur ein Grundverständnis von Datenschutz hat, sieht sofort, dass da etwas faul ist."

Wie soll es nun weitergehen? Man werde sich die Sache natürlich genau anschauen, heißt es aus dem Wirtschaftsministerium. "Vermutlich werden wir das Register überarbeiten." Wer genau in der Datenbank geführt wird, konnte eine Sprecherin des Ministeriums dem STANDARD nicht beantworten.

Fest steht jedenfalls, dass nicht nur Unternehmer in dem Register landen. Dem STANDARD sind mehrere Fälle bekannt, in denen gelistete Personen in der Vergangenheit keiner selbstständigen Tätigkeit nachgegangen sind.

Aus datenschutzrechtlicher Sicht sei das Register prinzipiell nicht zu beanstanden, sagt der Rechtsanwalt Markus Dörfler. "Ob es sinnvoll ist, dieses Register (wie auch das Vereinsregister oder das Firmenbuch) öffentlich im Internet abrufbar zu machen, ist eine politische Frage." Die mangelhafte Transparenz – also dass Personen in dem Register eingetragen sind, aber darüber nicht in Kenntnis gesetzt werden – könnte nach Ansicht des Juristen tatsächlich einen Verstoß gegen die Datenschutzgrundverordnung darstellen. "Da die wenigsten Personen, die im Ergänzungsregister eingetragen sind, Kenntnis über das Ergänzungsregister haben, scheint die öffentliche Verwaltung diese Pflicht nicht ordnungsgemäß wahrgenommen zu haben." Da das Register nicht mehr online verfügbar ist, sei in Verstoß derzeit nur schwer zu prüfen.

Insgesamt gibt es laut Dörfler jedenfalls "zig Fälle", wieso man in diesem Register aufscheinen könnte. Als Beispiel nennt er die Registrierungspflicht für die Haltung von Schweinen, Schafen und Ziegen. Die Verordnung sieht vor, dass Tierhalter eine Stammzahl bekanntgeben müssen, diese sei die Vereinsregisternummer, die Firmenbuchnummer oder die Ordnungsnummer des Ergänzungsregisters für sonstige Betroffene.

Aus Kreisen des Ministeriums ist jedenfalls zu hören, dass eigentlich eine Novellierung des Registers angedacht war, diese sei schon relativ gut vorbereitet gewesen. Aufgrund der Corona-Pandemie wurden dahingehende Arbeiten aber offenbar nach hinten geschoben. (Nora Laufer, 8.5.2020)


Aus: "Register einsehbar - Für ÖVP sind hunderttausende Daten im Netz "künstliche Aufregung"" Nora Laufer (8. Mai 2020)
Quelle: https://www.derstandard.at/story/2000117369798/fuer-oevp-sind-hunderttausende-daten-im-netz-kuenstliche-aufregung (https://www.derstandard.at/story/2000117369798/fuer-oevp-sind-hunderttausende-daten-im-netz-kuenstliche-aufregung)

Datenschutz: Hunderttausende Adressen von Bürgern in Onlineregister auffindbar
Register gibt tiefe Einblicke: Unter anderem sind Privatadressen von heimischen Politikern gelistet – Ministerium sieht kein Datenleck
Nora Laufer 7. Mai 2020, 19:29
https://www.derstandard.at/story/2000117351903/gigantisches-datenleck-hunderttausende-adressen-von-buergern-im-netz-auffindbar (https://www.derstandard.at/story/2000117351903/gigantisches-datenleck-hunderttausende-adressen-von-buergern-im-netz-auffindbar)


Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juni 21, 2020, 05:59:17 nachm.
Quote
[...] Weitgehend unbemerkt von der Öffentlichkeit hat der Datenbankkonzern Oracle die Spuren von Online-Nutzern verfolgt und ein umfangreiches Tracking-Netzwerk aufgebaut. Eine massive Datenpanne hat jetzt Einblicke in die entsprechenden Aktivitäten des Konzerns aus dem Silicon Valley gegeben. Die Panne hat der Sicherheitsforscher Anurag Sen entdeckt. Auf einem ungesicherten, ohne Passwort zugänglichen Server stieß der Experte auf ein Verzeichnis mit Milliarden personenbezogener Datensätze, die für jedermann offen einsehbar waren.

Sen hat Oracle inzwischen über seinen brisanten Fund informiert, die klaffende Sicherheitslücke ist der Firma zufolge wieder geschlossen. Das US-Magazin TechCrunch hatte nach eigenen Angaben zuvor Gelegenheit, die Datenbank über den eingeschalteten Informanten zu überprüfen. Diese enthielt demnach Namen, Anschriften, E-Mail-Adressen und andere personenbeziehbare Daten von Nutzern aus aller Herren Länder. Darunter seien auch sensible Browsing-Verläufe gewesen, die von Shopping-Touren im Web bis zu Abbestellungen von Newsletter-Abonnements reichten.

"Man kann es kaum beschreiben, wie aufschlussreich einige dieser Daten sein können", erklärte Bennett Cyphers von der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) gegenüber dem Online-Dienst. Fein abgestufte Aufzeichnungen über die Surfgewohnheiten von Menschen im Web könnten Hobbys, politische Vorlieben, Einkommensklassen, den Gesundheitszustand, sexuelle Präferenzen und andere persönliche Details offenbaren. Die Aussagekraft nehme ständig zu, "da wir einen immer größeren Teil unseres Lebens online verbringen".

Die umfangreichen, als nicht-pseudonymisierte Rohdaten nach außen gedrungenen Nutzerspuren hat Oracle dem Bericht nach vor allem über seine Tochter BlueKai zusammengetragen. Das Unternehmen hatte das Start-up 2014 für gut 400 Millionen US-Dollar gekauft. Obwohl es außerhalb von Marketingkreisen kaum bekannt ist, hat es mithilfe von Cookies und anderen Tracking-Instrumenten wie Schnüffelpixeln auf Webseiten inklusive Porno-Portalen und in HTML-Mails einen großen einschlägigen Werbeverbund aufgebaut. Auf dem zugehörigen Markt für Profiling und personenbezogene Werbung gelten etwa Google mit seinem Netzwerk DoubleClick, Facebook und Amazon als noch größere Datensammelmaschinen.

TechCrunch spricht allein angesichts der schieren Größe der exponierten Datenbank von einer der bislang "größten Sicherheitslücken in diesem Jahr". Man habe darin sogar Aufzeichnungen mit Einzelheiten über teils sehr private Online-Einkäufe gefunden, die bis August 2019 zurückreichten. In einem Datensatz werde detailliert beschrieben, wie ein namentlich identifizierter Deutscher am 19. April eine Prepaidkarte benutzt habe, um ein 10-Euro-Gebot auf einer Website für E-Sports-Wetten zu platzieren. Die Aufzeichnungen sollen auch die Adresse, Telefonnummer und E-Mail des Mannes umfasst haben.

Als weiteres Beispiel nennt das Magazin Einträge einer der größten türkischen Investmentfirmen. Darüber habe sich etwa zurückverfolgen lassen, dass ein Nutzer aus Istanbul für 899 US-Dollar Möbel bei einem Online-Ausstatter erstanden habe. Interessenten unter anderem für Dashcams seien ebenfalls leicht persönlich ausfindig zu machen gewesen.

Nach kalifornischem Recht und der Datenschutz-Grundverordnung (DSGVO) wäre Oracle eigentlich verpflichtet gewesen, die zuständigen Aufsichtsbehörden über das Leck binnen enger Fristen zu informieren. Dem Bericht nach versäumte der Konzern dies aber bislang. Die DSGVO sieht bei Verstößen Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes eines Unternehmens vor.

Laut Branchenexperten verfolgt BlueKai rund 1,2 Prozent des gesamten Datenverkehrs im Web und arbeitet mit den Betreibern einiger der größten Homepages und Online-Dienste wie Amazon, ESPN, Forbes, Levi’s, MSN.com, Rotten Tomatoes und der New York Times zusammen. Ironie bei der Geschichte: Sogar in dem TechCrunch-Artikel ist ein BlueKai-Tracker eingebaut, weil die Muttergesellschaft Verizon Media zu den Partnern der Firma gehört. Letztlich setzt fast jede Medienseite, die sich ganz oder teils über Werbung finanziert, auf einschlägige Verfahren zur Nutzeranalyse.

Hierzulande betonten die Datenschutzaufsichtsbehörden erstmals vor zwei Jahren, dass Tracker wie Google Analytics und Cookies selbst in pseudonymisierter Form nur mit ausdrücklicher und informierter Einwilligung der Nutzer erlaubt seien. Die von Anwendersystemen abgegriffenen Daten und daraus geformten Profile würden längst nicht nur für Anzeigen verwendet, beklagte der Bundesdatenschutzbeauftragte Ulrich Kelber voriges Jahr.

(bme)


Aus: "Oracle: Datenpanne mit Milliarden Einträgen enthüllt riesiges Tracking-Netz" Stefan Krempl (21.06.2020)
Quelle: https://www.heise.de/news/Oracle-Datenpanne-mit-Milliarden-Eintraegen-enthuellt-riesiges-Tracking-Netz-4790339.html (https://www.heise.de/news/Oracle-Datenpanne-mit-Milliarden-Eintraegen-enthuellt-riesiges-Tracking-Netz-4790339.html)

Quote
     ALCoolJ, 21.06.2020 11:08

Und nun?

Da ist also ein fieses fettes Leck.
Und was passiert jetzt?
Gibt's ne Anzeige?
Werden die Betroffenen entschädigt?
Können normale User und DAUs das ganze umgehen?


...
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juni 30, 2020, 12:18:55 nachm.
Quote
[...] Foodora ist zurück – allerdings in einer Form, die bei den ehemaligen Kunden wohl alles andere als Begeisterung auslösen dürfte. Vor kurzem ist bekannt geworden, dass der mittlerweile eingestellte Lieferdienst bereits im Jahr 2016 gehackt wurde – und zwar im großen Stil.

Namen, Adresse, Telefonnummer, Passwörter und zum Teil auch exakte Standortdaten: All dies konnten bislang unbekannte Angreifer von 727.000 Foodora-Kunden aus 14 Ländern erbeuten. Darunter sind auch zehntausende Kunden aus Österreich – und damit alle, die zu dem damaligen Zeitpunkt einen Foodora-Account hatten. Deutschland, Frankreich und Spanien befinden sich ebenfalls auf der Liste der betroffenen Länder.

Öffentlich wurde der Vorfall nun, weil die Daten Mitte Mai zunächst in einem einschlägigen Forum gepostet und dann von anderen weiterverbreitet wurden. Dies führte wiederum dazu, dass die Informationen in die Hände von Sicherheitsexperte Troy Hunt kamen, der sich auf die Sammlung solch großer Datenlecks spezialisiert hat – und der den Foodora-Besitzer, die deutsche Firma Delivery Hero, informierte.

Bei Delivery Hero bestätigt man den Vorfall mittlerweile und betont, dass die Datenschutzbehörden bereits informiert wurden – so wie es die Datenschutzgrundverordnung vorschreibt. Die betroffenen Kunden wurden hingegen noch nicht in Kenntnis gesetzt, da derzeit noch die internen Untersuchungen laufen. Wann man diesen Schritt nachholen will, lässt die Firma auf explizite Nachfrage des STANDARD allerdings ebenso offen, wie die Antworten zu weiteren Detailfragen..

Welche Daten konkret erbeutet wurden, ist durch den Leak aber ohnehin klar. So besteht die Datensammlung jeweils aus zwei SQL-Dateien für jedes Land, eine für die Adresse, eine für andere Kundeninformationen. Neben den bereits erwähnten Punkten sollen sich darin zum Teil auch Anmerkungen der Nutzer finden, die sie für die Lieferanten hinterlassen haben. Bei den erwähnten Standortdaten soll es sich um exakte GPS-Positionen handeln – auf sechs Nachkommastellen genau.

Zumindest in einer Hinsicht hat Sicherheitsexperte Hunt gute Nachrichten: Die meisten der enthaltenen Passwörter scheinen gut geschützt zu sein. Durch eine Verschlüsselung mit Bcrypt (Faktor 11) sollten sie gegen Angriffe gut gerüstet sein. Allerdings sind auch einige – wohl zu dem Zeitpunkt schon länger nicht mehr genutzte – Konten lediglich mit einem via MD5 gehashten Passwort gespeichert. Dies sollte wesentlich leichter zu knacken sein. Finanzdaten – also etwa Kreditkarteninformationen – sollen hingegen nicht enthalten sein.

Wer wissen will, ob er betroffen ist, kann dies über die von Hunt betriebene Webseite "Have I Been Pwned" überprüfen. Dort reicht es, die eigene E-Mail-Adresse einzugeben, um herauszufinden, ob man Opfer eines bekannten Hacks geworden ist. Und die Foodora-Daten hat Hunt hier bereits eingespielt. Da Foodora mittlerweile nicht mehr existiert, können die Nutzer natürlich dort das Passwort nicht mehr ändern. Stattdessen sollten sie aber überlegen, wo sie sonst noch dieselbe Nutzername-Passwort-Kombination verwendet haben – und dort dann das Passwort tauschen. Immerhin verwenden Angreifer oft automatisiert Informationen aus bekannten Hacks, um dann in die Konten bei anderen Diensten einzubrechen.

Es gibt aber noch einen zweiten Vorfall, der dem aktuellen Leak in der Retrospektive eine besonders pikante Note verleiht, und der auch zeigt, dass die Daten auf dem Schwarzmarkt schon länger kursiert sein dürften. So hat der STANDARD bereits im November 2017 Foodora aufgrund des Hinweises eines Lesers über ein mögliches Datenleck informiert. Dieser hatte Spam-Mails an eine Adresse erhalten, die ausschließlich für den Foodora-Kontakt genutzt wurde. Ein Sprecher des Lieferdiensts versicherte damals allerdings, dass es "keinerlei Anzeichen eines Datenlecks oder Hacks" gebe. Da man auch keine Daten an Dritte weiterverkaufe und die Kundeninformationen auf den eigenen Servern "mit der höchstmöglichen Sicherheit (...) hinterlegt seien", unterstellte man ein Sicherheitsproblem beim Kunden.

Doch auch unabhängig davon könnte bald Ungemach auf den Mutterkonzern Delivery Hero zukommen. Immerhin wird der Vorfall wohl eine Untersuchung nach der Datenschutzgrundverordnung nach sich ziehen, bei der eine saftige Strafe für die Firma anstehen könnte. Es wäre aber auch nicht die erste DSGVO-Strafe, die Delivery Hero berappen muss: Erst im vergangenen September wurde das Unternehmen wegen mehrerer Verstöße gegen die EU-Richtlinie zu 195.000 Euro verurteilt. So wurden etwa die Daten von ehemaligen Kunden auch nach deren Aufforderung nicht gelöscht, sie bekamen weiter Werbemails von der Firma.

In Österreich wurde Foodora im Jahr 2019 eingestellt. Der Grund dafür war recht simpler Natur: Mit Mjam betreibt Delivery Hero hierzulande nämlich noch einen weiteren Lieferdienst. Für die Zukunft wolle man sich lieber auf eine Marke konzentrieren, hieß es zum Abschied. Marktstart in Österreich war 2015, gegründet wurde der Service ein Jahr zuvor in Deutschland. (Andreas Proschofsky, 30.6.2020)


Aus: "Foodora wurde 2016 gehackt: Private Daten zehntausender österreichischer Kunden im Netz" (30. Juni 2020)
Quelle: https://www.derstandard.at/story/2000118384303/foodora-wurde-2016-gehackt-namen-und-adressen-oesterreichischer-kunden-im (https://www.derstandard.at/story/2000118384303/foodora-wurde-2016-gehackt-namen-und-adressen-oesterreichischer-kunden-im)
Title: [Datenpannen und Identitätsdiebstahl...]
Post by: Textaris(txt*bot) on Juli 14, 2020, 03:36:32 nachm.
Quote
[...] Die IT-Sicherheitsfirma Cyble hat im Darknet identifizierende Datensätze zu mehr als 45 Millionen Flugreisenden aus verschiedenen Ländern entdeckt, die Thailand oder Malaysia besucht haben. Informationen zum Leak sollen in Cybles Leak-Plattform Am I Breached eingepflegt werden, so dass sich potenziell Betroffene dort Gewissheit verschaffen können.

Auf die Datensätze stieß das Cyble-Team nach eigenen Angaben im Rahmen routinemäßiger Darkweb-Analysen. Ein glaubwürdig erscheinender Verkäufer habe sie zum Kauf angeboten und das Team sei auf das Angebot eingegangen.

Laut Cybles Blogpost zum Leak handelt es sich bei den Daten unter anderem um

    Vollständige Namen, Adressen und mobile Telefonnummern
    Geschlecht
    nicht näher spezifizierte Reisepass-Daten sowie
    Fluggast-IDs und Flugdetails.

...


Aus: "Daten von Millionen von Malaysia- und Thailand-Reisenden im Darkweb aufgetaucht" Olivia von Westernhagen (14.07.2020)
Quelle: https://www.heise.de/news/Daten-von-Millionen-von-Malaysia-und-Thailand-Reisenden-im-Darkweb-aufgetaucht-4843462.html (https://www.heise.de/news/Daten-von-Millionen-von-Malaysia-und-Thailand-Reisenden-im-Darkweb-aufgetaucht-4843462.html)