• Welcome to COMMUNICATIONS LASER #17. Please log in.

[Datenlecks, Datenpannen und Identitätsdiebstahl...]

Started by Textaris(txt*bot), June 09, 2005, 11:49:19 AM

Previous topic - Next topic

0 Members and 3 Guests are viewing this topic.

Textaris(txt*bot)

Quote[...] Bei einem Angriff auf die Website des Süddeutsche Zeitung Magazins sind mit hoher Wahrscheinlichkeit Daten von Nutzern erbeutet worden. Ein Unbefugter habe sich Mitte Mai 2016 rechtswidrig Zugriff auf einen Datenbankserver des SZ-Magazins verschafft, teilte der Verlag am Montag mit. "Auf diesem sind Profil-Stammdaten gespeichert, mit denen sich Nutzer in der Vergangenheit unter sz-magazin.sueddeutsche.de registriert hatten", etwa um an Gewinnspielen teilzunehmen, hieß es. Außerdem seien Profildaten betroffen, die für eine Kommentarfunktion und die Anmeldung für bestimmte Newletter benötigt wurden.

Neben der E-Mail- und Postadresse der Kunden standen auch verschlüsselte Passwörter in der gehackten Datenbank. Die Passwörter wurden als kryptologischer Hashwert gespeichert. Da es trotzdem möglich sei, gerade einzelne Passwörter zu knacken, forderte der Verlag die betroffenen Kunden auf, ihre Zugangsdaten zu ändern.

Um etwas über die tatsächliche Gefahr für die Passwörter zu sagen, müsste bekannt sein, wie die Hashes erzeugt wurden. Aber genauere Angaben, ob es sich dabei womöglich wie bei LinkedIn etwa um sehr einfach zu knackende, ungesalzene SHA1-Hashes oder um ein tatsächlich sicheres Verfahren wie PBKDF2 oder bcrypt handelt, machte der Verlag nicht. Unsere Anfragen dazu blieben bislang unbeantwortet.

Der Angriff erfolgte dem Verlag zufolge über Blogseiten beziehungsweise. Blogfunktionen, die mittlerweile deaktiviert wurden. "Dadurch wurden die für den Angriff verantwortlichen Schwachstellen geschlossen. Erneute Angriffsversuche wurden daraufhin nicht mehr festgestellt." Alle betroffenen Nutzer seien per E-Mail über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden. Außerdem wurde bei der Kriminalpolizei München Strafantrag gegen Unbekannt gestellt. (mit Material der dpa) / (anw)


Aus: "Angreifer erbeuten Nutzerdaten von sz-magazin.de" (30.05.2016)
Quelle: http://www.heise.de/newsticker/meldung/Angreifer-erbeuten-Nutzerdaten-von-sz-magazin-de-3222586.html


Textaris(txt*bot)

Quote[...] In den USA hat ein Betreiber mehrerer Krankenhäuser zugestimmt, insgesamt 5,55 Millionen US-Dollar zu bezahlen, um die Untersuchung von Verstößen gegen den vorgeschriebenen Schutz von Patientendaten zu beenden. Wie die Chicago Tribune berichtet, beendet das Advocate Health Care Network mit dem Vergleich Ermittlungen, die 2013 begonnen hatten. Dabei ging es demnach um drei verschiedene Verluste von Patientendaten, bei denen unter anderem elektronische Gesundheitsinformationen von vier Millionen Personen verloren gegangen waren – darunter nicht nur medizinische Daten, sondern auch Namen, Kreditkartennummern und Geburtstage.

Wie die US-Zeitung ausführt, seien zuerst vier unverschlüsselte Laptops aus einem Büro gestohlen worden. Später sei das Netzwerk eines Geschäftspartners der Krankenhauskette und möglicherweise Daten zu mehr als 2000 Patienten kompromittiert worden. Schließlich sei im Herbst 2013 erneut ein unverschlüsselter Laptop eines Mitarbeiters gestohlen worden, wieder mit Informationen zu Tausenden Patienten. Die nachfolgenden Untersuchungen hätten ergeben, dass Advocate Health Care die Risiken nicht richtig eingeschätzt und sowohl die Laptops als auch die Netzwerke nicht angemessen geschützt habe. Das Unternehmen, das damit keine Schuld eingestanden hat, verweist darauf, dass es keine Hinweise dafür gebe, dass die Daten missbraucht worden seien. (mho)


Aus: "US-Krankenhaus: 5,5 Millionen US-Dollar Strafe wegen Datenverlust" (05.08.2016)
Quellle: http://www.heise.de/newsticker/meldung/US-Krankenhaus-5-5-Millionen-US-Dollar-Strafe-wegen-Datenverlust-3289330.html


Textaris(txt*bot)

Quote[...] Opfer von Identitätsdiebstahl im Internet können sich bei der Schufa ab sofort gegen weiteren Missbrauch ihrer persönlichen Daten schützen. Die Auskunftei hat dazu eine Datenbank eingeführt, in der entsprechende Merkmale gespeichert werden. Zudem wird die persönliche Schufa-Auskunft um das Verbrauchermerkmal "Identitätsbetrugsopfer" erweitert. Betroffene sollen damit vor Wiederholungsfällen geschützt werden.

Grund für diesen Schritt ist nach einem Bericht der Wirtschaftswoche die stark steigende Zahl solcher Fälle: Vier von fünf Online-Händlern hatten es demzufolge schon mit Betrügern zu tun. In mehr als der Hälfte der Fälle nutzen die Kriminellen dafür eine fremde oder falsche Identität. Meist kaufen sie Waren unter falschem Namen auf Rechnung, Zahlungsaufforderungen und Mahnungen erhält später das ahnungslose Opfer.

Opfer von Identitätsmissbrauch sollten zunächst eine Strafanzeige bei der Polizei erstatten, erklärt ein Schufa-Sprecher. Eine Kopie dieser Anzeige kann dann zusammen mit den Kopien der Ausweise und einem entsprechenden Formular, das auf der Schufa-Homepage heruntergeladen werden kann, eingereicht werden. Nach einer Prüfung der Unterlagen speichert die Schufa die Information. Einen Einfluss auf die Bonitätseinschätzung des Verbrauchers hat ein entsprechender Eintrag nach Angaben der Schufa nicht. (dpa) / (jk)


Aus: "Schufa erfasst ab sofort Identitätsdiebstahl" (02.09.2016)
Quelle: http://www.heise.de/newsticker/meldung/Schufa-erfasst-ab-sofort-Identitaetsdiebstahl-3312239.html

https://www.schufa.de/de/einmeldung-identitaetsmissbrauch.jsp

Identitätsdiebstahl oder -betrug trifft aber nicht nur Promis: Ein Viertel aller Internetnutzer in Deutschland wurde bereits Opfer von Datenmissbrauch oder Internetkriminalität. Das Internet macht es den Betrügern heute relativ leicht: Der Daten- und Identitätsdiebstahl über Schadprogramme auf Web-Seiten oder in E-Mails erfolgt automatisiert und tausendfach, der Betrüger bleibt unsichtbar, die Betrugsmöglichkeiten über den Online-Handel sind schier unendlich. ...
http://www.wiwo.de/finanzen/steuern-recht/betrug-im-internet-neuer-schufa-eintrag-hilft-gegen-identitaetsklau/14481964.html


Textaris(txt*bot)

#143
Quote[...] Das Yahoo-Gate wird immer größer: Erst der mehrere Monate nach Bekanntwerden veröffentlichte massive Datenklau, der viele Fragen offen lässt, dann der von der Regierung verordnete Email-Scan mit noch mehr Fragezeichen.

Das im Auftrag der Regierung durchgeführte Scanning kann nach Berichten von Reuters noch viel weitreichender gewesen sein, als bislang bekannt geworden ist. Datenschützer und der demokratische US-Senator Ron Wyden aus Oregon fordern daher die US-Regierung auf, die Direktive an Yahoo offenzulegen. Es sieht nach Erkenntnissen der Experten so aus, dass nicht nur die Emails gescannt worden sind, sondern das gesamte Yahoo-Netzwerk. Angeblich sollte nur der Pornografie-Filter geändert worden sein, aber der, so die Experten, durchsucht nur Videos und Bilder. Auch den Spam-Filter hätte man nicht verändern können, ohne dass es der nicht eingeweihten Sicherheitsabteilung aufgefallen wäre. Vielmehr habe man nach Aussagen früherer Yahoo-Mitarbeiter ein Kernel-Modul für Linux eingeschleust, das alles überwacht hat, was bei Yahoo über die Netze geht.

Die Behörden betonen, dass es sich dabei nur um bestimmte digitale Signaturen im Zusammenhang mit einer möglichen terroristischen Aktivität gehandelt habe, aber keinesfalls um eine allgemeine Massendurchsuchung von Emails und Telefon-Daten derart, wie sie die NSA gemäß der Veröffentlichung von Edward Snowden durchgeführt habe.

Die US-Datenschützer sehen dennoch in einer Durchsuchung des kompletten Netzwerks einen Verstoß gegen das "Fourth Amendment" zur US-Verfassung.

... Yahoo-Chefin Marissa Mayer gerät damit immer mehr unter Druck. Anders als etwa Tim Cook von Apple habe sie ohne Gegenwehr die Regierungsdirektive akzeptiert.

...

Quoteevilk666, 10.10.2016 12:58

in Deutschland undenkbar

Also nicht der Umstand, dass sich z.B. BND und Telekom zur Massenüberwachung verabreden.
Ich meine, dass Teile der Regierung daran etwas auszusetzen hätten.
Aktuell erleben wir, dass rechtswidrige Taten von BND & Co durch Gesetzesänderung legalisiert werden sollen (die alten Rechtsbrüche bleiben natürlich sanktionsfrei, wie immer). Und wenn die Bundesregierung schon den BND die Totalüberwachung durchziehen lässt, soll das in Zukunft auch niemand mehr rauskriegen können - so wie auch alle anderen Behördentaten, in die das dumme Fußvolk seine Nase nicht reinzustecken hat. Also wird per Archivgesetz das Informationsfreiheitsgesetz ausgehebelt - Behörden müssen nur noch das rausgeben, was sie möchten. Alles andere schicken sie schnell ins Archiv & dann ist da 60 Jahre land der Deckel drauf. BND & Co dürfen "selbst entscheiden", was das Volk sehen darf - zur Not bleibt es eben bis in alle Ewigkeit geheim.

Aber in den USA ist das kaum anders - zum Teil aber trotzdem noch besser als bei uns.
Es wird viel Empörung geben, dann wird der Straftäter Clapper den Strafvereitlern (Parlamentarier) wieder einmal eine Lüge (Straftat) auftischen und ungeschoren (Strafvereitelung) davonkommen. Die Geheimdienste überwachen ja nur wegen der Terroristen. Zwar sammeln die auch Kompromat, gucken euren Kindern im Schlafzimmer beim Ausziehen zu oder tauschen sich deren Nacktfotos aus - aber da muss man dem größeren Ganzen wegen halt mal drüber hinwegsehen. Wo käme man auch hin, wenn diese kleinen Hoppalas alle bestrafen würde..


Quotestephen-falken

238 Beiträge seit 01.09.2015
09.10.2016 13:21

Nur Yahoo? - Die Enthüllungen sind ja schlimm, keine Frage. Doch überraschen kann das eigentlich Niemanden. Snowden hat vieles aufgezeigt. Und die NSA werden sich in den 3 Jahren nicht auf den Lorbeeren ausgeruht haben.

Verschlüsselung greift immer mehr um sich und das reine abgreifen von durchgeleitetem Traffic läuft immer mehr ins Leere. Ein Beispiel ist die gerade angezeigt Seite, Heise.de. Was liegt für die NSA jetzt näher als direkt bei den Anbietern "einzusteigen". Legal oder illegal, das ist nur eine Frage des Standortes. Ist der Anbieter in den USA beheimatet, gehts es ganz bequem und ohne aufsehen, per NSL. Andere Anbieter muss man mühsam einzeln hacken, das wird sicherlich oft genug getan. Ob heise dabei ist? Ob das den Aufwand lohnt? Benutzen die Equipment von Cisco? Egal.

US-Anbieter werden ganz sicher abgeschnorchelt werden. Alles im Sinne der nationalen Sicherheit. Doch nur Yahoo? Kein Hotmail, kein google, kein FB, kein Twitter? IMHO unglaubwürdig. Das findet IMHO bei allen US-Anbietern exakt genauso statt nur weiß davon eben noch niemand. Völlig absurd zu glauben das beträfe nur Yahoo.


Quotedylpes, 09.10.2016 13:27

Wieso sollte sie unter Druck sein? Von Regierungsseite alles Paletti, die Gehaltszahlungen sind auch auf dem Konto und was aus Yahoo wird "wayne interessierts".


...


Aus: "Yahoo-Gate: Offenbar wurden nicht nur Emails gescannt" Andreas Stiller (heise online, 09.10.2016)
Quelle: http://www.heise.de/newsticker/meldung/Yahoo-Gate-Offenbar-wurden-nicht-nur-Emails-gescannt-3343461.html

---

Quote[...] NEW YORK dpa/taz | Vom massiven Datenklau bei Yahoo im Jahr 2013 waren alle drei Milliarden Nutzerkonten bei dem Internet-Konzern betroffen. Bisher war von einer Milliarde Accounts die Rede gewesen – und schon damit war es der Daten-Diebstahl mit dem größten Ausmaß. Man habe kürzlich neue Informationen erhalten, die auf mehr Betroffene schließen ließen, teilte der neue Yahoo-Eigentümer, der Telekom-Anbieter Verizon, in der Nacht zum Mittwoch mit.

Unter den gestohlenen Daten seien keine Passwörter im Klartext sowie keine Kreditkarten- oder Kontoinformationen, bekräftigte Verizon. Nach bisherigen Informationen verschafften sich die Angreifer aber Zugriff auf Namen, E-Mail-Adressen, Telefonnummern sowie unkenntlich gemachte Passwörter. Ein Problem ist, dass auch Antworten auf Fragen bei vergessenen Passwörtern betroffen sein könnten, die auch auf anderen Websites vorkommen könnten.

Nach wie vor ist unklar, hinter wie vielen der Accounts zum Zeitpunkt der Attacke noch aktive Nutzer steckten. Die betroffenen Nutzerkonten verteilten sich auf diverse Yahoo-Dienste.

Yahoo hatte im vergangenen Jahr erst einen Hackerangriff im Jahr 2014 eingeräumt, von dem 500 Millionen Nutzerkonten betroffen waren. Kurz darauf wurde die vorherige, größere Attacke von 2013 bekannt. Die Enthüllungen führten dazu, dass der Kaufpreis für Yahoo um 350 Millionen Dollar gesenkt wurde. Verizon zahlte immer noch knapp 4,5 Milliarden Dollar. Die damalige Yahoo-Chefin Marissa Mayer verzichtete auf Bonuszahlungen.

Im Sommer 2016 tauchte die Datenbank wieder auf: Eine Netzsicherheitsfirma InfoArmor stieß auf ein ,,osteuropäisches Hackerkollektiv", das 500 Millionen bis eine Milliarde Yahoo-Konten für 300.000 Dollar anbot. Die Firma konnte drei Verkäufe beobachten, zwei Mal an bekannte Spammer und ein weiteres Mal an einen mutmaßlich staatlichen Akteur, da zur Verifizierung die Daten von US-Regierungsmitarbeitern veröffentlicht wurden. Die Hackergruppe soll zuvor auch weitere soziale Netzwerke gehackt haben.

Im März wurden in den USA vier Männer wegen des kleineren Hacks 2014 angeklagt. Zwei der Angeklagten waren Offiziere des russischen Geheimdienstes FSB. Laut Anklageschrift nutzten sie die Daten um US-Regierungsangestellte und -Militärs zu bespitzeln, aber auch Banken und weitere private Firmen. Die New York Times berichtet, dass Ermittler davon ausgehen, dass auch die Angreifer hinter dem größeren Hack 2013 Verbindungen zur russischen Regierung hatten.

Auch wenn der Yahoo-Hack die meisten Betroffenen hat, könnte die jüngste Cyberattacke auf die Wirtschaftsauskunftei Equifax noch schwerwiegendere Folgen haben. Denn bei den dort betroffenen 145,5 Millionen Amerikanern könnte auch die Sozialversicherungsnummer gestohlen worden sein. Mit der kann man sich in den USA bei Vertragsabschlüssen identifizieren.


Aus: "Hack bei Yahoo war größer als bekannt: Alle 3 Milliarden Kontodaten geklaut" (4. 10. 2017)
Quelle: https://www.taz.de/Hack-bei-Yahoo-war-groesser-als-bekannt/!5451859/

Textaris(txt*bot)

Quote[...] Es gibt einen Ort, an dem die Kanzlerin schimpft und zetert. "Verstehe nicht, was manche Leute mit nem ganzen Kasten Oettinger wollen. Mir reicht schon die eine Flasche in Brüssel", twittert die Satire-Figur @GrumpyMerkel, ein Social-Media-Double mit bitterbösem Humor und 21 000 Followern. Ihr Profilbild weist die Mundwinkel-Heiterkeit des Originals auf. Angela Merkel sagt hier, was manche der Regierungschefin sonst nur an der Mimik ablesen wollen: "Donald Trump – ein Politiker zum Anfassen." Klartext statt Wortwolken.

Fake-Profile wie die mürrische Merkel sind Sender satirischer Kurznachrichten, digitale Handpuppen mit frecher Klappe. Von der Reichweite internationaler Fakes sind sie freilich weit entfernt. Auch ihre Zahl ist unklar, in Deutschland dürften es schätzungsweise mehrere Dutzend sein, die als Politiker unter falschem Namen auftreten. Die Zahl von Justin-Bieber-Fakes hingegen ist schier unüberschaubar, allein auf Facebook lesen Hunderttausende die Posts.

Dagegen zählen Politiker-Fakes klar zu den Netz-Nischen für Liebhaber des politischen Wortspiels: Als "SPDings-Parteiboss" twittert ein Sigmar Gabriel, "Bundesminister für Wirtschaften und Energiedrinks", "BeaTrix von Storch" präsentiert sich als "Alte Naive für Deutschland", und Günther H. Oettinger stellt sich vor als "Kommissar for se Internet and Digital-Irrläuferle. And for Telekom and Schelfdrivingautos. This isch a schboof accountle."

Wissenschaftler wie Elisabetta Ferrari nehmen die virtuellen Karikaturen durchaus ernst. "Ein Fake kann eine machtvolle Kritik des Politischen sein, gerade wenn Politiker vorgeben, authentisch zu wirken", sagt die Kommunikationsforscherin, die die Auftritte italienischer Politiker-Fakes im Netz untersuchte. "Es ist interessant zu beobachten, wie Satire dieser Art zu einem wichtigen Gegenstand in der öffentlichen Auseinandersetzung mit Politik wird."

Das wird besonders deutlich, wenn sich Fakes unmittelbar auf die Realität auswirken. Dem "Gawker"-Blog gelang im Februar ein solch seltener Coup. Die Autoren erstellten einen Twitter-Roboter, der Sprüche des Faschisten Benito Mussolini (@ilduce2016) ausspuckte und adressierten diese an den Twitter-Account Donald Trumps – in der Hoffnung, dass der US-Republikaner irgendwann darauf anspringt, "egal wie dubios oder niederträchtig die Quelle auch ist, so lange sie sich wie eine Huldigung anhört", erklärten sie auf ihrer Website.

Die Falle schlug zu. Trump retweetete den Satz "Es ist besser, einen Tag als Löwe zu leben als 100 Jahre als Schaf" und setzte eine Diskussion in Gang, die auch von der "New York Times" aufgegriffen wurde.

Beispiele gibt es auch in Deutschland. Mit dem #Varoufake erregte der Satiriker Jan Böhmermann maximale "Mittelfinger-Verwirrung" ("Süddeutsche Zeitung"), als er behauptete, der in einem alten Video aufgetauchte und hitzig diskutierte Anti-Deutschland-Stinkefinger des griechischen Finanzministers Giannis Varoufakis sei eine von ihm in Umlauf gebrachte Fälschung.

"Politische Fakes erinnern uns daran, dass wir im Internet alle Fälschungen aufsitzen, das ist Teil unseres Lebens", sagt Ferrari bei einem Treffen der Association of Internet Researchers (AoIR) an der Humboldt-Universität in Berlin. Auch André Haller von der Universität Bamberg sieht eine allgemeine Tendenz zum "Politainment" – einer neuen Spielform, die Politik und Entertainment vermischt. "Medienhacks" wie Varoufake oder Fakeaccounts dienten in diesem Fall der Unterhaltung, sagt Haller. "Sie können aber auch als schwarze Propaganda gezielt zur Rufschädigung benutzt werden."

Doch muss sich Donald Trump – einer, der in Wirklichkeit seiner Karikatur verblüffend gleicht – tatsächlich vor gefälschten Profilen fürchten? Fakes könnten Populisten auch bekannter machen, warnt Haller. Bekräftigen sie die Stimme eines Tabubrechers, stärken sie – wenn auch ungewollt – dessen Image.

Welche medialen Wirkungen die Aussagen von Politiker-Fakes entfalten, lasse sich nur schwer messen, sagt Haller. Es könne aber sein, dass ihre Verbreitung die politische Debatte weiter verschärft. Onlinekommunikationsforscher Wolfgang Schweiger von der Universität Hohenheim hält dagegen: Nur die wenigsten Nutzer würden den Ursprung von Informationen im Internet hinterfragen, gefälschte Botschaften würden die Meinung von Trump-Anhängern daher nur bestärken, sagt er.

Und wie sieht es mit den Persönlichkeitsrechten aus? Der Berliner Rechtsanwalt Thorsten Feldmann hält Fake-Profile für problematisch. "Wenn jemand mit fremdem Namen oder Foto in Erscheinung tritt, könnte dies vor Gericht als Namensanmaßung oder Verletzung des Rechts am eigenen Bild gewertet werden", sagt der auf Urheber- und Medienrecht spezialisierte Anwalt. Bei satirischen Fake-Accounts in sozialen Medien stelle sich nun aber die Frage: "Erhebt ein Account einen Anspruch auf Authentizität? Tut also jemand so, als ob er Angela Merkel ist, oder sieht man dem Account die Satire an?" Dann könnte die Inszenierung als Kunst gedeutet werden – und wäre damit zulässig. (bb)


Aus: "Politiker-Fakes: Virtuelle Doppelgänger ärgern die Mächtigen" David Fischer, dpa (5.10.2016)
Quelle: http://www.heise.de/newsticker/meldung/Politiker-Fakes-Virtuelle-Doppelgaenger-aergern-die-Maechtigen-3351148.html


Textaris(txt*bot)

Quote[...] Laut den Sicherheitsforschern Risk Based Security (RBS) hatten mehrere Hacker Zugriff auf eine Datenbank des Dienstleisters Modern Business Solutions und entwendeten mindestens 58 Millionen Datensätze. Diese umfassen unter anderem Namen, IP-Adressen, Geburtsdaten, E-Mail-Adressen, Fahrzeugdaten und Angaben zur Berufstätigkeit. Modern Business Solutions ist ein US-amerikanischer Anbieter, der sich nach eigenen Angaben sich auf Datenmanagement und -monetarisierung spezialisiert hat. Zu den Kunden zählen unter anderem Unternehmen aus der Automobilbranche und der Arbeitsvermittlung, was zu den veröffentlichten Datensätzen passt.

Der Zugriff erfolgte laut dem Bericht von Risk Based Security über eine ungeschützte MongoDB-Datenbank, die die Hacker über den Suchdienst Shodan.io gefunden haben. Der Twitter-Nutzer 0x2Taylor veröffentlichte Links zu Filesharing-Diensten mit den gestohlenen Datensätzen, die inzwischen jedoch wieder entfernt wurden. Zudem sollen weitere 258 Millionen Daten einer anderen Datenbank von Modern Business Solutions im Umlauf sein. Diese wurde vom Dienstleister aber abgesichert, bevor RBS dies verifizieren konnte. Das Problem offener MongoDB-Datenbanken ist schon länger bekannt. (chh)


Aus: "Offene Datenbank: 58 Millionen Datensätze im Umlauf" Christian Hirsch (15.10.2016)
Quelle: http://www.heise.de/newsticker/meldung/Offene-Datenbank-58-Millionen-Datensaetze-im-Umlauf-3351104.html


Textaris(txt*bot)

Quote[...] Durch einen nicht autorisierten Zugriff auf einen Laptop der HP-Dienstleistungssparte Enterprise Services sind persönliche Daten von mehr als 130.000 aktiven und ehemaligen Marinesoldaten in fremde Hände geraten. Das hat die US-Navy mitgeteilt und erklärt, bei den Daten handle es sich um sensible Daten darunter auch die Namen und die Sozialversicherungsnummern der Soldaten. Die Betroffenen sollen in den kommenden Wochen über verschiedene Kommunikationskanäle informiert werden. Noch gebe es keine Hinweise darauf, dass die erbeuteten Daten missbraucht worden seien.

Man nehme den Vorfall extrem ernst, versichert Vizeadmiral Robert Burke in der Mitteilung. Noch sei man ganz am Anfang der Untersuchung und arbeite jetzt daran, so schnell wie möglich alle Betroffenen zu identifizieren und ihnen zu helfen. Wie genau der Datenzugriff erfolgte, teilt die Navy nicht mit. Hewlett Packard Enterprise Services habe die Verantwortlichen der Teilstreitkraft bereits am 27. Oktober informiert, dass der Rechner eines Angestellten, der an einem Navy-Vertrag arbeitete, kompromittiert worden sei. Anschließend sei eine Untersuchung durch den Naval Criminal Investigative Service (NCIS) eingeleitet worden. (mho)


Aus: "US Navy: Persönliche Daten von 130.000 Marinesoldaten entwendet" Martin Holland (24.11.2016)
Quelle: https://www.heise.de/newsticker/meldung/US-Navy-Persoenliche-Daten-von-130-000-Marinesoldaten-entwendet-3504357.html


Textaris(txt*bot)

Quote[...] Beim Videoportal DailyMotion hat es allem Anschein nach ein Datenleck gegeben und Hacker konnten eine Datenbank mit mehr als 87,6 Millionen Accountdaten abziehen. Das geht aus einem Datenbank-Eintrag des Leaking-Portals Leakedsource.com hervor. Eine offizielle Stellungnahme von DailyMotion steht aktuell noch aus.

Leakedsource zufolge soll der Übergriff am 20. Oktober stattgefunden haben. Zdnet hat eigenen Angaben zufolge Zugriff auf einen Teil der kopierten Datenbank und stuft die Daten als echt ein. Darin sollen sich Nutzer-Namen, E-Mail-Adressen und geschützte Passwörter von 18 Millionen Account-Inhabern befinden.

..


Aus: "DailyMotion anscheinend gehackt: 87,6 Millionen Nutzer betroffen" Dennis Schirrmacher (06.12.2016)
Quelle: https://www.heise.de/newsticker/meldung/DailyMotion-anscheinend-gehackt-87-6-Millionen-Nutzer-betroffen-3559563.html


Textaris(txt*bot)

Quote[...] Namen, Geburtsdaten, Adressen samt geographischer Koordinaten, Telefonnummern und weitere personenbezogene Angaben von 198 Millionen US-Amerikanern standen unverschlüsselt und ohne Passwortschutz auf einem AWS-Server. Das berichtet die IT-Sicherheitsfirma UpGuard, die auf das ungeschützte Verzeichnis gestoßen war. Gelistet waren demnach praktisch alle als Wähler registrierten US-Bürger, von denen es rund 200 Millionen geben dürfte. Nicht einmal die US-Regierung führt ein zentrales Wählerverzeichnis.

Die Datenbank war von der Firma Deep Root Analytics (DRA) online gestellt worden. DRA wird dem Umfeld des Republican National Committee (RNC), der Dachorganisation der Republikanischen Partei, zugerechnet. Die Daten verraten, dass DRA für jeden Wahlberechtigten weitere Informationen errechnet hat, darunter Rasse und Religion, sowie wahrscheinliche Meinungen zu zahlreichen konkreten Themen wie Waffenbesitz, Obamacare, Staatsschulden, Einwanderung, Einstellung zu Donald Trump oder ob sich Pharmafirmen schädlich verhalten.

So kamen Milliarden einzelner Werte zusammen, die insgesamt 1,1 Terabyte füllen. Die Wählerverzeichnisse dürften legal bei den einzelnen US-Staaten oder Wahlbezirken eingesammelt worden sein. Weitere Daten dürften von einer ganzen Reihe von Firmen und Organisationen aus der Republikanischen Sphäre beigesteuert worden sein. Zudem war ein inzwischen gesperrtes Reddit-Forum kopiert und abgelegt worden. UpGuard berichtet über weitere 24 Terabyte an Daten, die nicht frei zugänglich waren und deren Inhalt daher unbekannt ist.

UpGuard fand die falsch konfigurierte Datenbank nach eigenen Angaben am 12. Juni. Der Download der enormen Datenmengen dauerte demnach bis 14. Juni. Dann sperrte DRA nach einem Hinweis UpGuards den Zugriff. DRA hat ihren Fehler eingestanden und gibt an, nicht gehackt worden zu sein. Die Datenbank soll dazu dienen, die Schaltung von Werbung bei lokalen TV-Sendern zu steuern. (ds)


Aus: "USA: Republikaner stellten Daten aller Wähler online, ohne Passwort" Daniel AJ Sokolov (20.06.2017)
Quelle: https://www.heise.de/newsticker/meldung/USA-Republikaner-stellten-Daten-aller-Waehler-online-ohne-Passwort-3747865.html

Textaris(txt*bot)

Quote[...] Dem Fahrdienstvermittler Uber sind bereits vor gut einem Jahr Daten von rund 50 Millionen Fahrgästen gestohlen worden. Das skandalgeschüttelte Start-up verschwieg aber den Vorfall und informierte die Öffentlichkeit erst am Dienstag. Es gehe um Namen, E-Mail-Adressen und Telefonnummern von Nutzern rund um die Welt, erklärte Uber.

Außerdem hätten sich die Angreifer auch Zugriff auf Daten von etwa sieben Millionen Uber-Fahrern verschafft. Es seien nach bisherigen Erkenntnissen aber keine Kreditkarten-Daten oder Informationen zu Fahrten gestohlen worden, betonte die Firma.

Statt Behörden oder Betroffene zu informieren, bezahlte Uber den Hackern 100.000 Dollar (rund 85.000 Euro), damit sie die gestohlenen Daten vernichten, berichteten der Finanzdienst Bloomberg und die ,,New York Times". Die New Yorker Staatsanwaltschaft leitete ein Ermittlungsverfahren zum Hacker-Angriff ein.

Uber gehe davon aus, dass die Informationen nicht verwendet worden seien, hieß es. Die Hacker seien im Oktober 2016 durch eine schlecht geschützte Datenbank in einem Cloud-Dienst an die Daten gekommen. Uber-Sicherheitschef Joe Sullivan und ein weiterer Manager verloren ihre Jobs, wie Uber weiter mitteilte. Sullivan war zuvor Sicherheitschef bei Facebook.

Die Vertuschung wirft einen weiteren Schatten auf die Ära des langjährigen Uber-Chefs Travis Kalanick, die von vielen Skandalen um den aggressiv auftretenden Fahrdienstvermittler geprägt war. Uber hatte bei der rasanten internationalen Expansion in vielen Ländern gegen geltende Regeln verstoßen. Zuletzt sorgte auch eine Klage der Google-Schwesterfirma Waymo für Aufsehen, in der Uber der Einsatz gestohlener Roboterwagen-Technologie vorgeworfen wird. Kalanick räumte im Sommer unter dem Druck von Investoren den Chefposten. Der Datenklau-Skandal dürfte seine Ambitionen, irgendwann wieder an die Spitze zurückzukehren, endgültig durchkreuzen.

Der neue Uber-Chef Dara Khosrowshahi erklärte am Dienstag zum Hackerangriff und dem nachfolgenden Schweigen: ,,Nichts davon hätte passieren dürfen und wir werden nicht nach Ausreden dafür suchen." Er selbst habe erst vor kurzem von dem Datendiebstahl erfahren, schrieb der seit Anfang September amtierende Khosrowshahi. ,,Ich kann die Vergangenheit nicht ausradieren, aber ich kann im Namen aller Uber-Mitarbeiter versprechen, dass wir aus unseren Fehlern lernen werden." Uber ändere die Art, wie es sein Geschäft führe.

Was das Ausmaß und dem Wert der gestohlenen Daten betrifft, verblasst der Uber-Hack neben anderen Fällen. So verschafften sich bei der Wirtschaftsauskunftei Equifax Unbekannte Zugriff auf die wichtigen Sozialversicherungsnummern von mehr als 40 Prozent der US-Bevölkerung. Und beim Internet-Konzern Yahoo waren 2013 Daten zu allen drei Milliarden Nutzer-Accounts gestohlen worden. Doch es ist außergewöhnlich, dass ein Unternehmen einen Datendiebstahl in dieser Dimension Behörden und Nutzern wissentlich verschwieg und einen Deal mit den Angreifern einging.

Besonders brenzlig für Uber könnte werden, dass die Hacker sich auch Zugriff auf Namen und Fahrerlaubnis-Nummern von rund 600.000 Fahrern in den USA verschaffen konnten. Führerscheine werden in Amerika oft als Ausweisdokumente verwendet, was die Daten für Betrüger wertvoll machen kann. Uber werde den Betroffenen nun helfen, nach einem möglichen Missbrauch der gestohlenen Daten Ausschau zu halten, kündigte Khosrowshahi an. Zugleich erklärte er, Uber habe seinerzeit die Zusicherung erhalten, dass die gestohlenen Daten vernichtet worden seien.

Als weitere Maßnahme engagierte Khowrowshahi einen früheren Chefjuristen des US-Geheimdienstes NSA, Matt Olsen, als Berater. Er solle dabei helfen, die Sicherheit bei Uber neu zu gestalten. (dpa)


Aus: "Datenskandal bei Fahrdienstleister: Uber vertuscht Hackerangriff auf Fahrgastdaten" (22.11.2017)
Quelle: http://www.tagesspiegel.de/wirtschaft/datenskandal-bei-fahrdienstleister-uber-vertuscht-hackerangriff-auf-fahrgastdaten/20615792.html

Textaris(txt*bot)

Quote[...] Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen.

Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf. Mittlerweile soll die Datenbank abgesichert sein. Unklar ist, wer vor der Absicherung darauf zugegriffen hat. Eine offene, von persönlichen Infos überlaufende Datenbank ist ein gefundenes Fressen für Kriminelle.

Installiert man die App etwa auf einem iPhone, fordert sie vollen Zugriff auf das Gerät ein. Mit den Rechten ausgestattet kann sie zum Beispiel alle Keyboard-Eingaben mitschneiden – auch aus der Vergangenheit. Zudem kann die App in dieser Position so ziemlich alles auslesen, was auf einem Gerät liegt, warnen die Sicherheitsforscher. Wer die App nutzt, sollte sie aufgrund der heftigen Datensammelei schleunigst deinstallieren.

In der Datenbank finden sich MacKeeper zufolge umfangreiche persönliche Daten wie Namen, Informationen aus Social-Media-Profilen, Kontaktdaten aus Adressbüchern, IMSI-, IMEI- und Telefonnummern, Standorte, E-Mail-Adressen und noch viele weitere Infos. Die Sicherheitsforscher geben zudem an, dass in dem Leak 373 Millionen Einträge liegen, die Einträge aus mit Google-Accounts synchronisierten Adressbüchern enthalten.

...


Aus: "Daten von 31 Millionen Nutzern der App ai.type Keyboard geleakt" Dennis Schirrmacher (06.12.2017)
Quelle: https://www.heise.de/security/meldung/Daten-von-31-Millionen-Nutzern-der-App-ai-type-Keyboard-geleakt-3910522.html


Textaris(txt*bot)

Quote[...] Eine Datenhandelsfirma mit Profilen von mehr als 200 Millionen Menschen musste in der vergangenen Woche ein großes Datenleck eingestehen. Medienberichten zufolge war die Datenbank des US-Vertriebsdienstleisters Apollo offenbar wochenlang frei im Internet zugänglich. Zu den vermutlich abgegriffenen Daten gehören mehr als 125 Millionen E-Mailadressen.

Der Nachrichtenseite Techcrunch zufolge bestand die Sicherheitslücke seit Juli. Entdeckt wurde das Datenleck von dem IT-Sicherheitsunternehmer Vinny Troia im August. Gegenüber seinen Geschäftskunden hat Apollo inzwischen eingestanden, dass es mindestens einen unbefugten Zugriff auf die Daten gab. Das geht es aus einem Schreiben des Gründers Tim Zheng hervor, aus dem Wired zitiert.

Apollos Geschäftsmodell basiert darauf, Unternehmen zur Optimierung von Marketing und Vertrieb Kontaktdaten und Analysen über potenzielle Kunden zur Verfügung zu stellen.
Dem Brief zufolge sammelt die Firma für dieses Microtargeting personenbezogene Daten aus öffentlichen und nicht-öffentlichen Quellen. Unter anderem werden mit Webcrawlern Daten aus dem offenen Netz in Profilen zusammengeführt. Dazu gehören Informationen wie Namen und E-Mailadressen und Daten aus Twitter-Profilen. Doch auch LinkedIn-Profile, die nicht offen zugänglich sind, wurden von der Firma im großen Stil ausgelesen. ,,Ermöglichen Sie Ihrem Team, die richtigen Kontakte zur richtigen Zeit zu erreichen, mit der perfekten Botschaft, die intelligent, schnell und reichweitenstark umgesetzt wurde", wirbt die Firma auf ihrer Webseite. Je mehr Daten Apollo hat, desto genauer kann die Ansprache zugeschnitten werden.

Neben den Daten von Endverbrauchern sind jedoch auch hunderte Firmen betroffen, die eigene Vertriebsdaten über potenzielle Kunden in das System von Apollo gespeist haben.

Für Betroffene ergibt sich aus dem Malheur unter anderem das Risiko, dass sie Opfer gut gemachter Betrugsversuche werden. Kriminelle könnten die erbeuteten Informationen für ihr eigenes Microtargeting in Form von Scam- und Phishing-Mails nutzen, bei denen Menschen beispielsweise auf Fake-Versionen bekannter Webseiten gelockt werden, um dort ihre Kontodaten oder Passwörter abzugreifen. Mit der Kombination aus Name, E-Mailadresse, Arbeitgeber und weiteren Daten kann die Zielgenauigkeit solcher Angriffe erhöht werden.

Nach einer Einschätzung zu dem Vorfall gefragt, verweist der Wiener Privacy-Forscher Wolfie Christl auf die lange Geschichte von Datenlecks bei Big-Data-Firmen:

    Dass hier durch eine Sicherheitslücke digitale Profile von über 100 Millionen Menschen frei zugänglich waren, ist natürlich ein Desaster. Aber das war nicht die erste derartige Datenpanne und wird wohl auch nicht die letzte sein. Wo Fahrlässigkeit im Spiel ist, muss es hohe Strafen geben, anders wird sich hier nichts ändern. Datensammelfirmen handeln oft völlig verantwortungslos. Die Nutzung von Daten, die durch Sicherheitsprobleme für andere zugänglich geworden sind, muss klar als illegal betrachtet werden.

Die Kunden von Apollo sitzen überwiegend in den USA. Dass auch Menschen in Europa betroffen sind, ist angesichts der Größe des Datenlecks und der weiten Verbreitung von LinkedIn in Europa jedoch wahrscheinlich. Wer prüfen möchte, ob sich auch die eigene Mailadresse in dem Apollo-Datensatz befindet, kann dies bei HaveIBeenPwned checken. Der Dienst gleicht eingegebene E-Mailadressen mit dutzenden Datenlecks wie jenen von Yahoo, Adobe, Dropbox, Adult Friend Finder oder Kickstarter ab. Über den aktuellen Fall sagt HIBP-Betreiber Troy Huntt zu Wired, es handele sich um einen der größten in der Geschichte: ,,Es ist eine geradezu atemberaubende Menge an Daten. Insgesamt geht es um 125.929.660 eindeutige E-Mail-Adressen. Das werden wahrscheinlich die meisten E-Mail-Benachrichtigungen sein, die HaveIBeenPwned je für einen Verstoß gesendet hat."

Der Fall wirft ein erneutes Schlaglicht auf die Schattenindustrie, die mit Daten über Menschen auf der ganzen Welt Milliarden verdient. Apollo betont, dass durch das Datenleck keine Informationen über die finanzielle Situation von Menschen oder ihre Sozialversicherungsnummern kompromittiert wurden. Andere Firmen aus der Branche sammeln auch solche Informationen, wie ein Bericht der US-Federal Trade Commission über das Databroker-Business [PDF] 2014 feststellte. Sie können aus den Daten Rückschlüsse über deren Vorlieben, Interessen und Lebenssituation ziehen und verkaufen diese Analysen ebenso wie die Originaldaten. E-Mail-Adressen sind dabei besonders begehrt, weil sie als Identifier dienen, mit denen Daten aus unterschiedlichen Quellen in individuellen Profilen zusammengeführt werden können. Gegenüber netzpolitik.org problematisiert Wolfie Christl die Undurchsichtigkeit dieser Branche:

    Sicherheitspannen sind das eine. Viel problematischer allerdings die Tatsache, dass es überhaupt derartige Firmen gibt, von denen noch kaum jemand gehört hat, die aber hunderte Millionen von Datensätzen sammeln und kommerziell verwerten. Die umfangreichen Verbraucherdatenbanken von sogenannten Drittparteien, die keine direkten Beziehungen mit Kundinnen und Kunden haben, müssen dringend systematisch rechtlich unter die Lupe genommen werden.


Aus: "Datenleck bei Big-Data-Firma: Mehr als 100 Millionen Profile offen im Netz" Ingo Dachwitz (08.10.2018)
Quelle: https://netzpolitik.org/2018/datenleck-bei-big-data-firma-mehr-als-100-millionen-profile-offen-im-netz/

Textaris(txt*bot)

Quote[...] In Frankreich ist ein massiver Fall des Missbrauchs sensibler Daten aus Überwachungssystemen der Sicherheitsbehörden aufgeflogen. Nachdem der französische Zoll im Juni den illegalen Darknet-Marktplatz "Black Hand" hochgenommen und zerschlagen hatte, stießen die Ermittler zu ihrer Überraschung auch auf sensible Dokumente und Informationen etwa aus nationalen Polizei-Datenbanken, die ein Nutzer der Plattform unter dem Pseudonym "Haurus" verscherbelte.

Den Fahndern gelang es mittlerweile unter anderem anhand spezifischer, in die Dateien eingebauter Codes, die Identität des Verkäufers herauszubekommen. Laut der Zeitung Le Parisien handelt es sich dabei um einen französischen Geheimdienstmitarbeiter.

Der Agent arbeitete demnach für den Inlandsnachrichtendienst Direction générale de la sécurité intérieure (DGSI), der sich eigentlich um den Kampf gegen Terrorismus und Cybercrime kümmern soll. Der Spion sei Ende September verhaftet worden unter der Anklage, vertrauenswürdige Daten über das Online-Forum verkauft zu haben, heißt es. Sollte er verurteilt werden, drohen ihm bis zu sieben Jahre Haft sowie eine Geldstrafe von bis zu 100.000 Euro.

Für rund 300 Euro je Auskunft soll der Beschuldigte etwa zu beliebigen Handynummern die Aufenthaltsorte und Anruflisten des jeweiligen Inhabers angeboten haben. Dem Vernehmen nach hat der Agent auch einen Service beworben, über den er Kunden darüber informieren wollte, ob sie von der Polizei gesucht werden und was gegebenenfalls gegen sie vorliegt.

Die Ermittler gehen davon aus, dass Kriminelle von Haurus verkaufte Papiere genutzt haben, um Dokumente zu fälschen. Datenschützer warnen seit Langem vor dem großen Missbrauchspotenzial der zunehmenden staatlichen Überwachung. Hierzulande sorgten zuletzt Mitarbeiter der Berliner Polizei für Schlagzeilen, die Dritte unberechtigt über das System Poliks ausgespäht haben sollen. Die Berliner Datenschutzbeauftragte Maja Smoltczyk untersucht aktuell noch, ob es Sicherheitslücken gibt. (Stefan Krempl) / (tiw)


Aus: ""Haurus": Französischer Agent verkauft Überwachungsdaten übers Darknet" (08.10.2018)
Quelle: https://www.heise.de/newsticker/meldung/Haurus-Franzoesischer-Agent-verkauft-Ueberwachungsdaten-uebers-Darknet-4183392.html

Quotenonexistent, 08.10.2018 14:00

Aber wir, die genau sowas befüchten, sind alles Aluhutträger ...
Eigentlich sollte ich mich gut fühlen, weil meine Theorie bestätigt wurde.


QuoteFrogmasterL, 08.10.2018 14:30

Ja Moment mal. Ist das etwa nicht verboten in Frankreich?

Da gibt es wohl eine Schutzlücke. Einfach den Handel mit Überwachungsdaten verhindern und schon ist das Problem behoben. Gut, die Zusicherung, dass die Daten sicher sind und nur in so eng begrenzten Ausnahmefällen verwendet werden, dass sie praktisch nutzlos sind und jeder, der nichts zu verbergen hat auch nichts zu befürchten hat ... dieser Datendiebstahl ist natürlich nur ein höchst bedauerlicher Einzelfall



Textaris(txt*bot)

Quote[...] Ein Berliner Sicherheitsforscher hat nun offenbar die komplette SMS-Datenbank des US-Anbieters Vovox entdeckt – lesbar für jeden und sogar mit einem Suchinterface.

Wie das Magazin Techcrunch berichtet fanden sich insgesamt 26 Millionen Textnachrichten auf dem ungeschützten Server. Dank der gleichfalls installierten Elasticsearch von Amazon und dem Kibana-Frontent konnte jedermann die Datenbank nach Namen, Telefonnummern und sogar nach übermittelten Inhalten durchsuchen. Das kalifornische Unternehmen wickelt Kommunikationsdienste für Firmenkunden ab und liefert laut Eigenwerbung SMS in 180 Ländern aus.

Eine flüchtige Suche durch den Datenbestand offenbarte brisante Inhalte. So fand Techcrunch beispielsweise ein Klarwort-Passwort, das der chinesische Dating-Anbieter Badoo an einen Kunden geschickt hatte. Dazu fanden sich zahlreiche Codes, die zur Zwei-Faktor-Authentifizierung verschickt worden waren – von Google-Accounts bis zum Zugang zu den internen Systemen großer Konzerne. Hinzu kamen noch zahlreiche Nachrichten, mit denen Services die Identität ihrer Kunden zu verifizieren versuchten.

Die Offenlegung dieser Daten hätte ernste Folgen haben können: Angreifer können mit diesen Codes die Identität eines Opfers stehlen oder sich Zugang zu anderen Systemen erschleichen. So haben es Kriminelle in der Vergangenheit öfters geschafft, die SMS-Authentifizierung auszuhebeln, um Zugriff auf interne Firmendatenbanken zu bekommen oder die Konten deutscher Bankkunden zu plündern. Die Möglichkeiten unverschlüsselte SMS abzufangen sind dabei vielfältig.

Da die Daten von Vovox laut Techcrunch nahezu in Echtzeit in die offene Datenbank eingetragen wurden, hätten Angreifer Nachrichten lesen können, noch bevor ein Nutzer selbst Gelegenheit hatte, den Authentifizierungscode zu nutzen. Oder sie hätten eine Authentifizierung unter fremder Telefonnummer gleich selbst in Gang setzen können.

Auf Anfrage von heise online bestätigt Vovox den Vorfall: "Die Sicherheitslücke hätte es Unbekannten erlaubt, Zugriff auf SMS-Nachrichten zu bekommen, die von oder an unser Netzwerk geschickt wurden", heißt es in dem Statement. Nachdem Vovox von der Lücke informiert worden sei, habe man sie innerhalb von Minuten gestopft.

"Nach einer internen Untersuchung und der gründlichen Auswertung der Zugangs-Logs sind wir zuversichtlich, dass keine Daten von einem böswiligen Dritten gesehen oder heruntergeladen wurden", schreibt Vovox in seinem Statement. Auf der eigenen Website und den Social-Media-Kanälen schweigt sich das Unternehmen derweil über den Vorfall aus. (Torsten Kleinz) / (mho)


Aus: "Vovox: Millionen SMS offen und durchsuchbar im Netz" Torsten Kleinz (20.11.2018)
Quelle: https://www.heise.de/newsticker/meldung/Vovox-Millionen-SMS-lagen-offen-im-Netz-4225824.html

Textaris(txt*bot)

Quote[...] Das soziale Netzwerk Knuddels.de muss ein Bußgeld in Höhe von 20.000 Euro zahlen, weil Passwörter von Nutzern unverschlüsselt gespeichert worden sind. Damit habe das Unternehmen aus Karlsruhe gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte Stefan Brink am Donnerstag in Stuttgart mit. Laut Brink ist dies die erste Strafe nach DSGVO in Deutschland.

Er hielt dem Unternehmen zugute, dass es sich nach einem Hackerangriff an die Datenschutzbehörde wandte und die Nutzer sofort und umfangreich über den Angriff informierte. Erst dadurch sei dem Datenschutzbeauftragten bekannt geworden, dass Knuddels.de die Passwörter im Klartext vorgehalten hatte. Infolge des Angriffs im September waren nach Darstellung des Unternehmens im Internet rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter veröffentlicht worden.

... Knuddels ist 1999 eröffnet worden und hat nach eigenen Angaben mehr als zwei Millionen registrierte Mitglieder.

...


Aus: "Passwörter im Klartext: 20.000 Euro Bußgeld nach DSGVO gegen Knuddels.de" (22.11.2018)
Quelle: https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html

Textaris(txt*bot)

Quote[...] Das Karrierenetzwerk LinkedIn hat in Europa die E-Mail-Adressen von 18 Millionen Personen gesammelt, die keine Mitglieder des Netzwerks waren. Diese Daten wurden ohne Zustimmung der Nutzer im US-Sitz des Konzerns weiterverarbeitet und für gezielte Werbung an Facebook übertragen. Das hat eine Prüfung der irischen Datenschutzbehörde ergeben, meldet The Irish Times.

Zunächst habe sich ein Benutzer bei der irischen Datenschutzbehörde (Data Protection Commissioner, DCP) darüber beschwert, dass er auf Facebook zielgerichtete Werbung erhalten habe, obwohl er nicht Mitglied von LinkedIn sei. Daraufhin habe die Behörde beim EU-Hauptquartier von LinkedIn in Irland eine Untersuchung eingeleitet, schreibt die Irish Times.

Demnach seien die E-Mail-Adressen von 18 Millionen Nicht-Mitgliedern des mittlerweile zu Microsoft gehörenden Netzwerks gesammelt und vom US-amerikanischen Hauptquartier LinkedIn Corp weiterverarbeitet worden, ohne die Zustimmung der Nutzer einzuholen. LinkedIn Corp habe die Adressen zu Facebook übertragen und den Nutzern dort zielgerichtete Werbung gezeigt. Die US-Konzernmutter verarbeitet Daten im Auftrag von LinkedIn in Europa, habe aber in diesem Fall ohne Anweisung auf den EU-Datenbestand zugegriffen und die Adressen weitergegeben.

Man habe die Angelegenheit schließlich beilegen können, weil LinkedIn die Datenverarbeitung zum Zweck der Werbung in diesem Fall unterbunden habe, sagte die irische Datenschutzbeauftragte Helen Dixon. LinkedIn Europa habe den US-Konzern aufgefordert, die Verarbeitung dieser EU-Daten einzustellen und sie zu löschen. Der Vorfall ereignete sich 2017 und wird im Datenschutzbericht der irischen Behörde erwähnt.

Allerdings zeigte sich die Datenschutzbeauftragte auch besorgt über"weitergehende systembedingte Aspekte" solcher Datenverarbeitung, die durch die Untersuchung aufgezeigt worden seien. LinkedIn solle geeignete Sicherheitsmaßnahmen anwenden – auch in den Fällen, in denen das Unternehmen Daten von Nicht-Mitgliedern verarbeite.

In einer Stellungnahme sagte ein Sprecher von LinkedIn Europa, man habe bei der Beschwerde über die Werbekampagne mit dem DCP kooperiert. Bedauerlicherweise seien die strengen Vorschriften und Verfahren des Unternehmens in diesem Fall nicht zum Tragen gekommen. Das Unternehmen habe seine Arbeitsweise verbessert und dafür gesorgt, dass sich Vergleichbares nicht wiederholen werde. Bei der Prüfung durch den DCP habe man außerdem einen weiteren Bereich entdeckt, bei dem der "Datenschutz für Nicht-Mitglieder verbessert" werden konnte.

(tiw)



Aus: "LinkedIn nutzte 18 Millionen Adressen von Nicht-Mitgliedern für Facebook-Werbung" (24.11.2018)
Quelle: https://www.heise.de/newsticker/meldung/LinkedIn-nutzte-18-Millionen-Adressen-von-Nicht-Mitgliedern-fuer-Facebook-Werbung-4232092.html

Quote

    pehar


24.11.2018 23:37

Zahnpasta

Schön, dass man mal einen erwischt hat, aber ich fürchte, der Zug ist längst abgefahren. Die Versuche, jetzt noch irgendwelchen Datenschutz durchzusetzen, sind ungefähr so erfolgversprechend wie Zahnpasta zurück in die Tube zu drücken.

Spätestens mit all den staatlichen Datensammlungen, die unaufhaltsam aus dem Boden sprießen, bleibt eigentlich nur noch Resignation.

Unsere Daten gehören uns schon lange nicht mehr. Der Streit geht höchstens noch darum, wer welche Daten gegen unsere Interessen verwenden darf - und er wird über unsere Köpfe hinweg ausgefochten.


...

Textaris(txt*bot)

Quote[...] Der Hotelkette Marriott sind Daten von bis zu einer halben Milliarde Gästen der Tochtermarke Starwood gestohlen worden. Im Fall von 327 Millionen Hotelgästen gehe es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum, teilte das Unternehmen mit. Die Hacker hätten bei einigen Gästen auch verschlüsselte Kreditkartendaten erbeutet. Marriott konnte bisher nicht ausschließen, dass auch die Dateien gestohlen worden seien, die zur Entschlüsselung der Daten nötig sind.

Unerlaubten Zugang zur Starwood-Datenbank gab es bereits seit 2014, wie Marriott weiter mitteilte. Zu den Starwood-Häusern gehören unter anderem Westin, Sheraton, Le Méridien, St. Regis und W Hotels. Marriott hatte Starwood 2016 für 13,6 Milliarden Dollar gekauft – und damit offensichtlich auch die Sicherheitslücke gleich mit. Die IT-Systeme von Starwood sollen nun ausgemustert werden.

Erste Hinweise auf einen Angriff auf die Starwood-Datenbank seien Anfang September von einem internen Sicherheitssystem gekommen, hieß es von Marriott. Bei der Untersuchung sei festgestellt worden, dass "eine nicht autorisierte Partei Informationen kopiert und verschlüsselt hatte". Am 19. November habe Marriott die Informationen entschlüsseln und feststellen können, dass sie aus der Starwood-Datenbank für Gästereservierungen stammten.

Die Behörden seien eingeschaltet worden, hieß es weiter. Das Unternehmen hat eine Website und ein Callcenter eingerichtet, an das sich Gäste wenden können, die betroffen sein könnten. Von Freitag an werde Marriott zudem E-Mails an jene verschicken, deren Daten betroffen sind.

In den vergangenen Jahren hatte es immer wieder Hackerattacken mit Hunderten Millionen Betroffenen gegeben. Den Rekord hält der Internetkonzern Yahoo, bei dem sich unbekannte Angreifer 2013 Zugang zu Daten von allen drei Milliarden Nutzeraccounts verschafften. Dabei ging es um Namen, E-Mail-Adressen, Telefonnummern und unkenntlich gemachte Passwörter.

Bei eBay gelangten Hacker bei einer im Mai 2014 bekannt gewordenen Attacke an Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Ein Hack der Kassensysteme des US-Supermarktbetreibers Target machte Kreditkartendaten von 110 Millionen Kunden zur Beute.



Aus: "Daten von 500 Millionen Hotelgästen gestohlen" (30. November 2018)
Quelle: https://www.zeit.de/wirtschaft/unternehmen/2018-11/hackerangriff-marriott-hotelkette-personenbezogene-daten-diebstahl-cyberkriminalitaet


Quotefrei sozial und rational #7

Immer mit der Ruhe. Wer nichts zu verbergen hat, hat ja auch nichts zu befürchten.

^^


...

Textaris(txt*bot)

Quote[...]     Gleich zwei Mal innerhalb kürzester Zeit enthüllt die «New York Times» problematische Geschäftspraktiken von Facebook. Einmal wird Mitte November 2018 bekannt, dass der Konzern PR-Firmen engagiert hatte, um Facebook-Gegner zu verleumden. Im Dezember 2018 wird dann öffentlich, dass man anderen Tech-Firmen wie Netflix und Spotify sogar Zugang zu den privaten Nachrichten von Usern gab.

    Ende September 2018 musste Facebook bekanntgeben, dass mehr als 30 Millionen Facebook-Profile gehackt worden seien. Die unbekannten Eindringlinge konnten sich Zugriff auf personenbezogene Daten von Facebook-Anwendern verschaffen.

    Mitte März 2018 enthüllten «The Guardian», «The New York Times» und der britische TV-Sender «Channel 4 News», dass persönliche Informationen von Facebook-Anwendern von einem Beratungsunternehmen namens Cambridge Analytica für Zwecke der Polit-PR missbraucht worden waren. Betroffen waren rund 50 Millionen Facebook-Anwender.


Aus: "Und noch ein Skandal - die neuesten Enthüllungen zu Facebook" Stefan Betschon (19.12.2018)
Quelle: https://www.nzz.ch/digital/facebook-skandale-die-neusten-enthuellungen-ld.1438692

-

Quote[...] 2018 war für Facebook ein veritables Krisenjahr: Datenskandale, Manipulationsvorwürfe, Fake-News-Krise, Nutzerschwund in Europa. Und das Unglücksjahr ist für die grösste Social-Media-Plattform der Welt noch nicht zu Ende. «Wir verkaufen keine Daten an niemanden», sagte Facebook-Chef Mark Zuckerberg im April vor dem US-Kongress. Das stimmt zwar weiterhin. Doch mit der Datenfreigabe an ausgewählte Partnerfirmen nimmt es sein Konzern nicht so genau.

In einer weiteren Recherche zeigt die «New York Times» auf, dass Facebook mehr als 150 Firmen umfassenden Zugriff auf die Daten seiner Nutzer gewährte – teilweise ohne diese zu informieren. Profiteure der Datenfreigabe waren insbesondere Unternehmen aus dem Silicon Valley, von Amazon über Netflix bis Microsoft und Apple. Der Bericht basiert auf über 270 internen Dokumenten sowie Interviews mit rund 60 früheren Facebook-Mitarbeitern.

    Interne Dokumente von Facebook zeigen, wie die Firma Daten mit anderen Tech-, Medien-, und E-Commerce-Giganten geteilt hat — teilweise gegen den expliziten Willen von Nutzerinnen und Nutzern.
    — Go buy a news subscription, friend. (@derjarjour) December 19, 2018

Wie funktionieren diese Praktiken von Facebook? Vier Beispiele

    1) Die Streaming-Plattformen Spotify und Netflix hatten Zugriff auf die privaten Nachrichten der Nutzer. Die Firmen konnten diese Nachrichten nicht nur lesen, sondern theoretisch auch bearbeiten und löschen. Bei Spotify funktioniert der Datenaustausch bis heute, weil der Streaming-Dienst seinen Nutzern anbietet, Musik über den Facebook Messenger zu teilen. Netflix hat diese Berechtigungen heute nicht mehr.

   2) Yahoo und neun grosse Medienhäuser (genannt wird im Artikel lediglich die «New York Times» selbst) genossen ebenfalls exklusiven Zugang zum Newsfeed, zur Freundesliste und zu allen persönlichen Informationen wie Geburtsdatum oder Wohnort. Diese Schnittstellen reichen teilweise zurück bis ins Jahr 2009, als Apps noch viel stärker als heute mit Facebook vernetzt waren. Und obwohl Yahoo die Schnittstelle seit 2012 nicht mehr braucht, hat die Firma noch immer Zugriff auf rund 100 000 Nutzerdaten pro Monat.

    3) Microsoft oder Amazon haben bis heute jeden Monat Zugriff zu den persönlichen Daten von mehr als 100 Millionen Menschen. Dazu gehören unter anderem E-Mail-Adresse und Telefonnummer. Mehr als 60 Gerätehersteller wie Apple, Blackberry oder Huawei haben ähnliche Privilegien.

    4) Besonders heikel sind die Zugriffsrechte von Yandex, der grössten Suchmaschine Russlands. Der Konzern hat bis heute Zugang zur User-ID. Und das, obwohl Facebook diesen Zugriff bei anderen Applikationen schon vor Jahren deaktiviert hatte. Dieser Zugang ist besonders wertvoll, da so sämtliche Facebook-Konten extern verwertet werden können. Yandex wird vorgeworfen, eng mit dem Kreml zusammenzuarbeiten. Das hätte dann wiederum einen Einfluss auf die Russland-Affäre.

Mitte März hatte der Cambridge-Analytica-Skandal rund um Facebook die Öffentlichkeit aufgeschreckt. Damals wurde bekannt, dass Nutzerdaten von einem Beratungsunternehmen namens Cambridge Analytica für Zwecke der Polit-PR und im Wahlkampf in den USA missbraucht worden waren. Betroffen waren rund 50 Millionen Facebook-Anwender.

Die oben beschriebenen Partnerfirmen allerdings hatten – oder haben teilweise bis heute – viel grössere Zugriffsrechte als Cambdridge Analytica damals. Netflix, Spotify und Co. nutzen diese Daten zwar nicht für politische Zwecke, dafür aber kommerziell. Am schlimmsten aber wiegt die Tatsache, dass Facebook seine Nutzer nicht über alle Praktiken informiert hat – nicht einmal versteckt in der Datenschutzerklärung. Eine Stellungnahme von Facebook zu den neusten Enthüllungen steht noch aus.


Aus: "Wie Facebook zuliess, dass Firmen wie Netflix sogar private Nachrichten lesen konnten" Reto Stauffacher (19.12.2018)
Quelle: https://www.nzz.ch/international/wie-facebook-zuliess-dass-firmen-wie-netflix-sogar-private-nachrichten-lesen-konnten-ld.1446128

Textaris(txt*bot)

Quote[...]  Erneut ist eine riesige Menge gehackter Nutzeraccounts ins Netz gelangt: Nach der Passwort-Sammlung "Collection #1" kursieren nun auch die Collections #2 bis #5.

Diese sind deutlich umfangreicher als Teil 1, einer ersten Einschätzung von heise Security zufolge sind sie insgesamt über 600 GByte groß. Nach Angaben des Hasso-Plattner-Institus kursieren durch die Collections #1 bis #5 nun rund 2,2 Milliarden Mail-Adressen und die dazugehörigen Passwörter.

Die Daten sind offenbar nicht komplett neu, sondern stammen zu einem einem Großteil aus älteren Leaks. Dennoch dürfte durch die Zusammenstellung und erneute Veröffentlichung die Wahrscheinlichkeit steigern, dass die Zugansdaten von Cyber-Ganoven ausprobiert werden. Zunächst wurden die gigantischen Datenpakete in einem einschlägigen Online-Forum gehandelt, inzwischen sind sie auch über den Hoster Mega öffentlich zugänglich.

...


Aus: "Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroffen" Ronald Eikenberg  (25.01.2019)
Quelle: https://www.heise.de/security/meldung/Neue-Passwort-Leaks-Insgesamt-2-2-Milliarden-Accounts-betroffen-4287538.html

QuoteDerLinkshaender, 26.01.2019 11:48

Enthalten sind auch vielen Politiker-Datensätze

enthalten sind übrigens auch schon in Collection #1 vielen @bundestag.de Adressen und die diverser anderer Partei-Domains. Womit auch klar sein dürfte, dass wohl noch viel mehr Material abgeschöpft worden sein durfte, als von @0rbit auf twitter zu Weihnachten veröffentlicht wurde.Die 600 GB beziehen sich auf den gepackten tar.gz Zustand der Daten. Entpackt sind es über 1TB reiner Text! und es sind auch nicht nur Collection #1 - Collection #5 sondern noch 2 weitere Pakete, deren Aktualität bis 01/2019 reicht. Darüber hinaus wurden die Daten icht erst jetzt, sonden schon vor 2 Wochen über Bittorent und diverse filhoster veröffentlicht und nicht erst jetzt.

Ich hatte darauf vor 2 Tagen schon mal hingewiesen:
https://www.heise.de/forum/heise-Security/News-Kommentare/Passwort-Sammlung-mit-773-Millionen-Online-Konten-im-Netz-aufgetaucht/Collection-1-ist-nur-ein-Teil-von-insgesamt-6-oder-7/posting-33823819/show/

ein großer Teil der Passwörter liegt aber nur in gehashter Form vor.

Ich kann nur noch mal auf das kostenlose KeePass / KeePassX / KeePassXC verweisen und darauf, das man für jeden Account ein eigenes Passwort verwendet. KeePass gibt es für alle Plattformen und selbst die Synchronisation der Passwort-Datennbank lässt sich mit wenig Aufwand und einem Raspeberry Pi mit eigener Nextcloud bewerkstelligen.

Das Posting wurde vom Benutzer editiert (26.01.2019 12:13).


...

Textaris(txt*bot)

Quote[...] Auf der Schwarzmarkt-Website Dream Market bietet ein Verkäufer eine mehrere Gigabyte große Datenbank mit aus Hacks erbeuteten persönlichen Daten für 20.000 US-Dollar an. Der Marktplatz befindet sich nicht im öffentlichen Internet – er ist über das Tor-Netzwerk erreichbar.

The Register berichtet in einer Meldung über das Datenleak. Stichproben zufolge seien die Daten echt. ...


Aus: "Gehackte Websites: 620 Millionen Accounts zum Verkauf im Darknet" (12.02.2019)
Quelle: https://www.heise.de/security/meldung/Gehackte-Websites-620-Millionen-Accounts-zum-Verkauf-im-Darknet-4305517.html

Textaris(txt*bot)

Quote[...] Dutzende Dateien mit sensiblen personenbezogenen Informationen von Strafverfolgern und weiteren Ermittlern des FBI sind Hackern in die Hände gefallen. Die Übeltäter sollen einen Teil der abgezogenen Daten auch auf ihrer Webseite veröffentlicht haben, schreibt der Online-Dienst Techcrunch. Es handle sich um rund 4000 Einzeleinträge mit Klarnamen, privaten und dienstlichen E-Mail-Adressen, Berufsbezeichnungen, Telefonnummern und Postanschriften.

Die Hackergruppe und ihre Webadresse nennt das Magazin nicht angesichts der Sensibilität der publizierten Daten. Die Verantwortlichen sollen dem Bericht nach drei Seiten geknackt haben, die mit der FBI National Academy Association (FBINAA) in Zusammenhang stehen. Die Organisation hat es sich zum Ziel gesetzt, Standards, Know-how und die Zusammenarbeit von Strafverfolgungsbehörden in den USA und weltweit zu verbessern. Sie unterhält unter anderem das FBI-Ausbildungszentrum in Quantico im Bundesstaat Virginia.

Offenbar haben sich die Hacker Zugang zu geschlossenen Mitgliederbereichen der FBINAA und verschiedener Untergruppen der Vereinigung verschafft. In einem verschlüsselten Chat mit Techcrunch sollen sie angegeben haben, bekannte Sicherheitsschwachstellen in Form von "öffentlichen Exploits" verwendet zu haben.

Die von ihnen ins Visier genommenen Webseiten scheinen demnach nicht ganz auf dem aktuellen Sicherheitsstand gewesen zu sein und veraltete Plugins verwendet zu haben. Einzelne der betroffenen Homepages verunstaltete die Gruppe auch, die nach eigenen Angaben über zehn Mitglieder zählt. Welche Hacking-Methoden das FBI und andere US-Sicherheitsbehörden verwenden, wollen derweil Bürgerrechtler per Klage herausfinden.

Angeblich haben die Angreifer insgesamt über 1000 Seiten gehackt und sind noch dabei, die erbeuteten Daten zu strukturieren. Die publik gemachten Informationen sollen als Lockvogel für Interessenten dienen, die weiteres Material kaufen wollen. Insgesamt wollen die Hacker über eine Million Datensätze aus den verschiedensten US-Behörden und Wohlfahrtsorganisationen in ihren Besitz gebracht haben. Sie schließen nicht aus, weitere Informationen davon zunächst gratis auf ihrer Seite verfügbar zu machen. Letztlich gehe es ihnen darum, Erfahrungen zu sammeln und die Daten zu Geld zu machen.

In dem Messenger-Austausch hat die Gruppe laut der Meldung auch Nachweise erbracht, die Sicherheitsmechanismen anderer Webauftritte umgangen zu haben. Dazu sollen Seiten des südostasiatischen Tech-Zulieferers Foxconn gehören. Ein angebotener Link habe zu einem Lotus-basierten Webmail-System mit tausenden Mitarbeitereinträgen inklusive Mail-Adressen und Telefonnummern geführt. (bme)



Aus: "FBI-Hack: Rund 4000 Datensätze von US-Polizisten im Netz" Stefan Krempl  (13.04.2019)
Quelle: https://www.heise.de/newsticker/meldung/FBI-Hack-Rund-4000-Datensaetze-von-US-Polizisten-im-Netz-4399128.html


Textaris(txt*bot)

Quote[...] Die beiden Sicherheitsforscher und Hacktivisten Noa Rotem und Ran Locar sind bei einem Web-Mapping-Projekt auf eine ungeschützte Datenbank im Web gestoßen, die rund 80 Millionen Datensätze von Haushalten in den USA enthalten soll. Das berichtet vpnMentor in einem Blogbeitrag. Demnach umfasse die auf einem Microsoft Cloud Server gehostete, rund 24 GByte große Datenbank teilweise detaillierte Informationen zu etwa 65 Prozent aller US-Haushalte.

Konkret enthalte ein Datensatz die Anzahl der in einem Haushalt lebenden Personen, ihre Namen, ihren Familienstand, ihr Alter, die Geburtsdaten, die Wohnadresse inklusive GPS-Daten zur Lokalisierung und das Haushaltseinkommen. Einige der Daten lägen dabei in kodierter Form vor, wie beispielsweise das Geschlecht, der Familienstand und das Haushaltseinkommen. Da mehrere Personen in einem Haushalt leben können, halte es das Sicherheitsteam von vpnMentor für möglich, dass mehrere hundert Millionen Personen betroffen sein könnten.

Nach Ansicht der Sicherheitsforscher von vpnMentor sei diese Datenbank aufgrund ihres Umfangs und der enthaltenen Detailinformationen einzigartig und damit "eine Goldgrube für Identitätsdiebe und andere Angreifer" sei. Sie könnten mit diesen Daten leicht die E-Mail-Adressen ermitteln und mit frei verfügbaren Daten aus dem Web wie beispielsweise aus sozialen Medien verknüpfen. Damit könnten nach Alter und Einkommen gezielt Personen identifiziert und beispielsweise per Telefon oder Phishing-E-Mail angegriffen, weitere Daten ermittelt und damit deren Identität genutzt werden.

Die Sicherheitsforscher konnten den Besitzer der Datenbank bisher nicht ermitteln. Da die Datenbank auf einem Cloud Server, dessen IP-Adresse nicht zwangsläufig mit dem Besitzer verknüpft sei, tappe man noch im Dunkeln. Aufgrund der Datenstruktur und der Kodierung beispielsweise des Einkommens sei es wahrscheinlich, dass die Datenbank einem Versicherungsunternehmen oder einer Firma aus dem Gesundheits- oder Hypothekenwesen zuzuordnen ist. Auch die Tatsache, dass die Datensätze nach einer stichprobenartigen Durchsicht offensichtlich nur Daten von über 40-Jährigen enthalte und damit auf eine bestimmte Gruppe beschränkt sei, deute darauf hin. Es würden auch Informationen wie Sozialversicherungsnummern oder Kontendaten fehlen, sodass Banken und Finanzmakler aller Voraussicht nach nicht als Besitzer der Datenbank in Frage kommen.

Um dem Rätsel auf die Spur zu kommen und den Leak möglichst schnell schließen zu können, bitten die Sicherheitsexperten von vpnMentor um Mithilfe bei der Identifizierung. Dabei interessiert die Forscher besonders, welche Unternehmen die darin enthaltene spezielle Datenstruktur verwenden, um den möglichen Besitzer der Datenbank eingrenzen, ermitteln und verständigen zu können. (olb)


Aus: "Mysteriöse Datenbank mit Daten von Millionen US-Bürgern ungeschützt im Netz" Oliver Bünte (29.04.2019)
Quelle: https://www.heise.de/newsticker/meldung/Mysterioese-Datenbank-mit-Daten-von-Millionen-US-Buergern-ungeschuetzt-im-Netz-4409824.html

Textaris(txt*bot)

Quote[...] Eine Datenbank mit persönlichen Kontaktdaten von mehr als 49 Millionen Instagram-Nutzern soll zeitweise öffentlich im Internet abrufbar gewesen sein. Neben öffentlich verfügbaren Informationen zu den Inhabern der Accounts soll die Datenbank auch private Daten, unter anderem Telefonnummern und E-Mail-Adressen, enthalten haben, berichtet das Online-Tech-Magazin Techcrunch. Unter den betroffenen Konten sollen sich auch solche mehrerer Millionen Influencer – unter anderem bekannter Food-Blogger, Prominente und weiterer Social-Media-Beeinflusser – befunden haben. Ihnen war teilweise ihr Marktwert zugeordnet. Die Datenbank ist mittlerweile nicht mehr öffentlich verfügbar.

Entdeckt hat die Datenbank, die auf einem Server von Amazon Web Services abgelegt war, der Sicherheitsforscher Anurag Sen. Dem Bericht nach soll er das indische Marketingunternehmen Chtrbox als Besitzer der Datenbank ausgemacht haben. Das Unternehmen ist ein Mittler zwischen Werbetreibenden und Influencern. Influencer werden von Chtrbox dafür bezahlt, bestimmte Werbebotschaften unter das Social-Media-Volk zu bringen. Wie Techcrunch berichtet, sei den Influencern in der Datenbank ihr Marktwert aufgrund ihrer Follower, Likes und geteilten Posts zugeordnet gewesen. Techcrunch habe außerdem die Stimmigkeit persönlicher Daten durch Telefonanarufe überprüfen können, heißt es in dem Bericht.

Chtrbox hat auf ihrer Website mittlerweile eingeräumt, dass die Datenbank "unbeabsichtigt" für 72 Stunden öffentlich im Netz verfügbar war. Dies sei nach dem Entdecken sofort behoben worden. Das Marketingunternehmen bestreitet jedoch, die Anzahl der öffentlich zugänglichen Datensätze. "In den mehr als drei Jahren unserer Geschäftstätigkeit hatten wir noch nie Daten von mehr als 350.000 Influencern." Die Behauptung, Chtrbox sei für die Weitergabe von mehreren Millionen Daten verantwortlich, sei "unmöglich und falsch".

Das Unternehmen bestreitet außerdem, dass die Datenbank persönliche Daten wie "Passwörter, Bankdaten, Privatadressen oder andere sensible persönliche Daten oder Informationen" enthalten habe. Es wären lediglich öffentlich verfügbare Informationen wie die "Anzahl der Follower und Kennzahlen für das Engagement" enthalten sowie Angaben, die die Influencer selbst gemacht haben sollen. Es wurden keine Daten verwendet, die aus Hacks stammen, noch wurden die Daten verkauft oder weitergeben. Die Datenbank sei lediglich für interne Zwecke bestimmt, um dem eigenen Team die Vermittlung zu erleichtern.

Unklar ist noch, welche Version stimmt. Facebook, dessen Tochterunternehmen Instagram ist, hat nach Angaben von Techcrunch eine Untersuchung eingeleitet. Facebook wolle Chtrbox zu dem Vorfall befragen und herausfinden, woher die persönlichen Daten stammen. Das Ergebnis der Ermittlungen steht derzeit noch aus. Auch Anurag Sen hat sich noch nicht zum Dementi von Chtrbox geäußert.

Im März hatte Facebook eine Datenpanne einräumen müssen. Damals waren mehrere Hundert Millionen Passwörter im Klartext gespeichert und für Mitarbeiter des Konzerns einsehbar gewesen. Davon waren auch mehrere Millionen Instagram-Accounts betroffen. (olb)


Aus: "Möglicherweise Kontaktdaten von 49 Millionen Instagram-Nutzern öffentlich" Oliver Bünte (22.05.2019)
Quelle: https://www.heise.de/newsticker/meldung/Moeglicherweise-Kontaktdaten-von-49-Millionen-Instagram-Nutzern-oeffentlich-4428378.html

QuoteBaneus, 22.05.2019 13:34

Wer diese "Dienste" nutzt, muss mit der Wahrheit leben: "Ist es umsonst, bist du die Ware, die verkauft wird."

...


Textaris(txt*bot)

Quote[...] Am Freitag, dem 14. Juni, informierten die Büchereien Wien in einer knappen Mitteilung, dass der Onlinekatalog außer Betrieb sei. Als Grund wurde ein Hackerangriff angegeben. Zunächst klang es nach einem kurzen Ausfall. Doch über eine Woche später ist die Datenbank immer noch nicht zurück im Netz, und der Hack entpuppt sich als einer der bisher größten Datendiebstähle in Österreich. Denn bisher gab es hierzulande kaum vergleichbare Angriffe, bei denen die Daten so vieler Personen gestohlen wurden. Entdeckt wurde die Hackerattacke am 11. Juni. Doch wie sich herausstellte, kam es schon im Vorfeld zu mehreren Angriffen, bei denen zumindest Teile der Datenbank mit den Nutzerinformationen kopiert wurden. Wer meint, dass die Informationen, die eine Bücherei über ihre Mitglieder sammelt, nicht kritisch sein können, täuscht sich. Denn die gestohlenen Dateien enthalten umfassende personenbezogene Daten zu den Mitgliedern sowie teilweise auch höchstpersönliche Vermerke der Bibliotheksmitarbeiter über einzelne Personen. ...


Aus: "Büchereien Wien: Daten von über 713.000 Nutzern geleakt" Birgit Riegler (26. Juni 2019)
Quelle: https://derstandard.at/2000105453775/Buechereien-WienDaten-von-ueber-713-000-Nutzern-geleakt


Textaris(txt*bot)

Quote[...] Bulgariens staatliche Finanzbehörde, die alle Steuern und Abgaben für Rentenbeiträge verwaltet, hat ein Datenproblem. Hacker sollen am Montag an eine Vielzahl persönlicher Daten gelangt sein, die bei der NAP genannten Behörde gespeichert werden.

"Es gibt tatsächlich einen nicht erlaubten Zugriff auf einen Server der NAP", sagte Bulgariens Innenminister Mladen Marinow am Dienstag dem Fernsehsender bTV und bestätigte damit eine anonyme Nachricht, die Medien zugespielt worden war. Der Nachricht zufolge verfügen die Hacker über persönliche Daten sowie Angaben zu Steuern und Sozialversicherungsabgaben von mehr als fünf Millionen Menschen. Bulgarien hat rund sieben Millionen Einwohner.

Die E-Mail war laut bulgarischen Medien von Servern des russischen Mailanbieters Yandex verschickt worden - was allerdings auch ein Versuch sein könnte, eine Spur in Richtung Russland zu legen. In der Nachricht werde die Freilassung von WikiLeaks-Gründer Julian Assange gefordert, heißt es weiter. Die Zeitung "24 Tschasa" berichtet, ihr seien Daten von 1,1 Millionen Menschen geschickt worden, die unter anderem Angaben zum jeweiligen Einkommen enthielten.

Innenminister Marinow vermutet einen politischen Hintergrund für den Angriff. Er verwies darauf, dass Bulgariens Regierung am Montag den Kauf von acht US-Kampfjets vom Typ F-16 für 1,25 Milliarden Dollar bekanntgemacht habe. Diese sollen die bisher verwendeten und in die Jahre gekommenen sowjetischen MiG-29-Jets ersetzen. Ministerpräsident Boiko Borissow berief den Sicherheitsrat der Regierung zusammen.

Jassen Tanew, Experte für Cybersicherheit, bezeichnete den Hacker-Angriff als den ersten dieser Art in Bulgarien. Die NAP hatte bereits am Montag eine Untersuchung Montag eines möglichen Vorfalls auf ihrer Website angekündigt.

cva/dpa/Reuters


Aus: "Hacker erbeuten persönliche Daten von Millionen Bulgaren" (16.07.2019)
Quelle: https://www.spiegel.de/netzwelt/netzpolitik/bulgarien-hacker-erbeuten-persoenliche-daten-von-millionen-bulgaren-a-1277522.html

Textaris(txt*bot)

Quote[...] Eine große Datenpanne beim IT-Dienstleister SyTech hat den russischen Geheimdienst FSB in Mitleidenschaft gezogen. Die Hackergruppe 0v1ru$ hat Berichten zufolge bei dem Auftragnehmer des KGB-Nachfolgers 7,5 Terabyte an Daten zu laufenden Projekten und Operationen der Moskauer Spionagebehörde entwendet. Daraus geht etwa hervor, wie der Inlandsgeheimdienst Nutzer des Anonymisierungsdienstes Tor zu identifizieren sucht, selbst im großen Stil Informationen aus sozialen Netzwerken abzweigt und Russland gegebenenfalls vom Internet abkoppeln will.

0v1ru$ hatte am 13. Juni zunächst die derzeit nicht funktionierende SyTech-Website mit einem Yoba-Emoticon verziert sowie darauf andere Hinweise auf den Hack gestreut. Später gab das Kollektiv die erbeuteten Daten an die größere Hackergruppe Digital Revolution weiter, die das Material an diverse Pressevertreter weitergab und Hinweise darauf über Twitter verbreitete. Die Hacker ätzten, dass der FSB seine enthüllten Aktivitäten am besten in "Operation Küchensieb" umbenennen sollte.

BBC Russland, die als erste über den Fall berichtete, spricht vom voraussichtlich "größten Datenleck in der Geschichte der russischen Geheimdienste". Die offenbarten Projekte hätten Namen wie "Arion", "Relation" oder "Hrywnia", wobei letzterer für die ukrainische Währung steht. Mit der Operation "Nautilus" soll der FSB gezielt mehr oder weniger öffentliche Daten etwa von Facebook oder LinkedIn abfischen, die Variante "Nautilus-S" steht für die Deanonymisierungsoffensive der Agenten mit eigenen Tor-Exit-Nodes. Diese soll schon seit 2012 mithilfe des FSB-nahen Forschungsinstitut Kvant laufen, dessen Schwerpunkt auf der Quantentechnologie liegt. Digital Revolution will die Einrichtung bereits zu einem früheren Zeitpunkt gehackt haben.

"Mentor" ist laut Forbes darauf ausgerichtet, Informationen von russischen Firmen zu klauen. "Hope" und "Tax-3" sollen dabei helfen, das russische Netz vom Rest des Internets etwa bei einer großen Cyber-Attacke abzutrennen, wie es ein jüngst beschlossenes Gesetz vorsieht.

Größere Staatsgeheimnisse konnten die Hacker offenbar nicht in die Hände bekommen. Überraschender ist der Umfang des abgeflossenen Materials und die Tatsache, dass die digitalen Einbrecher bei SyTech offenbar kein allzu schweres Spiel hatten. Externe Dienstleister haben sich bereits wiederholt als Schwachstelle für Geheimdienste entpuppt. So arbeitete der NSA-Whistleblower Edward Snowden etwa zuletzt beim Auftragnehmer Booz Allen Hamilton.

Über Hintergrund und Herkunft der ursprünglichen Hacker 0v1ru$ ist bislang nichts bekannt, ihr Twitterkonto ist schon wieder offline. Russische Aktivisten liefern sich seit Jahren einen "zivilen Cyberkrieg" mit der Regierung aufgrund der zunehmenden Zensur des Internets und der Blockade von Messenger-Diensten wie Telegram. Genauso gut könnten mittelbar aber etwa auch westliche Geheimdienste wie die NSA hinter dem Angriff auf SyTech stehen. Der FSB antworte nicht auf Medienanfragen rund um den Vorfall. (tiw)


Aus: "Russischer Geheimdienst: Massiver Datenverlust beim KGB-Nachfolger FSB" Stefan Krempl (21.07.2019)
Quelle: https://www.heise.de/newsticker/meldung/Russischer-Geheimdienst-Massiver-Datenverlust-beim-KGB-Nachfolger-FSB-4476027.html

QuoteAlAdler, 21.07.2019 18:39

Danke für den süffisanten Hinweis auf Booz Allen Hamilton ..

Danke Heise, für den süffisanten Hinweis auf Booz Allen Hamilton und deren Ruhm-reichen ex-Mitarbeiter - unsere Liebe, sein Lohn!
Wenn man die zeitliche Dimension beachtet, dass ist die Menge der abgeflossenen Daten bei FSB und NSA doch ungefähr in der gleichen Größenordnung. Liegen ja 6 Jahre dazwischen ..

Erstaunlich finde ich, wie schnell die Terabytes offenbar gesichtet und analysiert werden konnten ;-) Das hat bei den Daten von Snowden doch etwas länger gedauert - vielleicht waren die ja wertvoller. Fefe unkte ja schon, dass das vielleicht auch nur ein Honeypot war.

Wie dem auch sei: Anders als bei Snowden werden unsere Medien von den Transatlantikern nun sicher aktiviert, um uns aus dem ex-FSB-Datenschatz darüber zu informieren, was für ein feindliches Land dieses Russland doch sei.

Bei Snowden - wir erinnern uns - gab es ja Zensur- und Sanktionierungs-Bestrebungen seitens der Amerikaner, die dazu geführt haben, dass Herrn Snowden selbst heute noch nicht in Deutschland auftreten und und den Beschiss an unserer Demokratie und an unserer Freiheit berichten darf: Die transatlantischen Herrscher-Clans haben ihre momentan maximal-mögliche Strafe für die Veröffentlichung der Wahrheit verhängt: Die Exkommunikation aus der neoliberalen Werte-Diktatur.

Al


Quotecooregan, 21.07.2019 19:21


Re: Wirklich lustig

Windows12 schrieb am 21.07.2019 18:05:

    ich könnte mich kugeln vor lachen, wenn noch nicht mal die Geheimdienste ihre Daten sicher verstauen können.

Richtig. Könnte man. Wenn das alles nicht so ernst wäre.

Genauer: wenn nicht andauernd irgendwelche Marktschreier ihre Lügen verbreiten würden, das könne 'bei uns', 'mit unseren Behörden' oder 'mit unseren Systemen' nicht passieren. Und wenn nicht so viele Leute auf diese Lügen hereinfallen würden.

Es gibt keine sicheren Daten. Genauer: die einzig sicheren Daten sind die, die gar nicht erst erhoben und gespeichert werden. Ganz gleich, ob es um Geheimdienstdaten, Kommunikations-Vorratsdaten, Fluggastdaten, eGK/TI-Daten, facebook-Daten, Bankdaten oder Fussballvereinsdaten geht.

gruß
cooregan

Das Posting wurde vom Benutzer editiert (21.07.2019 19:21).



Textaris(txt*bot)

Quote[...] Bei einer Hackerattacke auf die US-Großbank Capital One sind sensible Daten von mehr als 100 Millionen Kunden gestohlen worden. Die Bundespolizei FBI nahm am Montag die mutmaßliche Hackerin fest, eine 33-jährige Informatik-Ingenieurin aus Seattle, wie die Behörden mitteilten. Sie hatte demnach im Internet mit dem Datendiebstahl geprahlt.

Capital One zufolge wurden Daten von rund 100 Millionen Kunden in den USA und weiteren sechs Millionen Kunden in Kanada gestohlen. Die Hackerin erbeutete unter anderem Namen, Postadressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Angaben zum Einkommen von Kunden, die sich für Produkte im Zusammenhang mit einer Kreditkarte interessierten oder eine Bankkarte von Capital One wollten. Nicht gestohlen wurden demnach aber Kreditkartennummern oder Zugangsdaten.

Die Hackerin nutzte offenbar eine Sicherheitslücke bei einer Cloud von Capital One, um an die Daten zu gelangen. Der Diebstahl fiel erst auf, als ein Internetnutzer Mitte Juli auf der Website GitHub einen Post der Frau sah, in dem diese mit dem Datendiebstahl prahlte, und die auf Kreditkarten spezialisierte Großbank informierte. Diese fand bei Nachforschungen heraus, dass sie seit März Ziel eines Hackerangriffs war - und schaltete das FBI ein.

Capital-One-Chef Richard Fairbank entschuldigte sich bei den Kunden für den Datendiebstahl. Die Bank ist der fünftgrößte Anbieter von Kreditkarten in den USA. Der festgenommenen Hackerin drohen bei einer Verurteilung fünf Jahre Haft und 250.000 Dollar Geldstrafe. (AFP)


Aus: "Hackerin erbeutet Daten von 100 Millionen Bankkunden" (30.07.2019)
Quelle: https://www.tagesspiegel.de/wirtschaft/attacke-auf-us-grossbank-capital-one-hackerin-erbeutet-daten-von-100-millionen-bankkunden/24851318.html

Textaris(txt*bot)

Quote[...] Die Dating-App ,,3fun" verspricht einen ,,privaten Raum", in dem man ,,lokale kinky, offene Menschen" findet. Doch jetzt wurde eine Sicherheitslücke gefunden, durch die Daten von mehr als 1,5 Millionen Menschen des Gruppen-Dating-Diensts an die Öffentlichkeit gelangen könnten.

Ken Munro von Pen Test Partners hat am Donnerstag seine Sicherheitsforschung dazu präsentiert, berichtet TechCrunch. Er spricht von der ,,unsichersten Security-Lösung, die er je bei einer Dating-App gesehen hat".

Die App hat sowohl die genaue Location als auch Fotos der Mitglieder und Details von Nutzern aus der Nähe geleakt. Man konnte jedoch auch gezielt Daten von bestimmten Locations eingeben, inklusive Regierungssitze oder Militärbasen, und sensible Informationen von jedem zusammensammeln, heißt es.

Techcrunch gab an, die Koordinaten des Weißen Hauses und der CIA eingegeben zu haben. Man habe Nutzer bei beiden Orten gefunden, inklusive ihrer sexuellen Vorlieben, Alter, Username und den Usernamen des Partners. Auch der Volltext der Biografie, die manche sehr ausführlich ausgefüllt haben, war zu finden sowie das dazugehörige Profilbild in hoher Auflösung. Auch das Geburtsdatum haben manche Nutzer angegeben.

Laut dem Bericht von Techcrunch war keine dieser Daten verschlüsselt. Die Forscher von Pen Test Partners bezeichnen die App als ,,Privatsphäre-Wrack". Man habe ,,3fun" am 1. Juli kontaktiert, um die Fehler zu melden. Der App-Hersteller haben die Fehler mittlerweile behoben, aber es habe Wochen gedauert, so Munro.


Aus: "Dating-App für Dreier verrät Daten von 1,5 Millionen Nutzern" (08.08.2019)
Quelle: https://futurezone.at/apps/dating-app-fuer-dreier-verraet-daten-von-15-millionen-nutzern/400573754

Textaris(txt*bot)

Quote[...] Sicherheitsforscher aus Israel haben eine riesige Datenbank mit rund einer Million Fingerabdrücken und anderen biometrischen Daten aufgespürt, die quasi ungeschützt und unverschlüsselt im Web abgerufen werden konnten. Die Daten stammen vom System Biostar 2 der koreanischen Sicherheitsfirma Suprema, die nach eigenen Angaben Marktführer in Europa bei biometrischen Zutrittskontrollsystemen ist.

Biostar 2 arbeitet mit Fingerabdrücken oder Gesichtsscans auf einer webbasierten Plattform für intelligente Türschlösser, mit der Unternehmen die Zugangskontrolle für ihre Büros oder Lagerhallen selbst organisieren können. Wie der Guardian berichtet, wird das System auch von der britischen Polizei sowie mehreren Verteidigungsunternehmen und Banken genutzt.

Entdeckt wurde die Sicherheitslücke von den israelischen Hackern Noam Rotem und Ran Lokar, die für den Dienst vpnMentor arbeiten. Die Schwachstelle habe dazu geführt, dass man die vollständige Kontrolle über die Konten im System erhalten konnte, sagte Rotem dem Portal Calcalist

Die beiden Hacker hatten Zugriff auf 27,8 Millionen Datensätze und 23 Gigabyte Daten. Darunter waren Fingerabdruck- und Gesichtserkennungsdaten, Gesichtsfotos von Benutzern, unverschlüsselte Benutzernamen und Passwörter, Protokolle über den Zugang zu den Einrichtungen, Sicherheitsstufen und -freigabe sowie persönliche Daten des Personals. Außerdem hätten sie Datensätze in den Firmenkonten neu anlegen und manipulieren können.

Entsetzt zeigten sich die Hacker darüber, dass in dem System die vollständigen biometrischen Daten meist unverschlüsselt abgespeichert wurden. "Anstatt einen Hash des Fingerabdrucks zu speichern, der nicht rückentwickelt werden kann, speichern sie die tatsächlichen Fingerabdrücke der Menschen, die für bösartige Zwecke kopiert werden können", sagten die Hacker dem Guardian. Überrascht waren Rotem und Lokar darüber, wie schlecht die Suprema-Kunden zum Teil ihre Konten abgesichert haben: "Viele Konten enthielten lächerlich einfache Passwörter wie "Passwort" und "abcd1234". 

Nach Angaben des Marketingleiters von Suprema, Andy Ahn, wurde die Sicherheitslücke inzwischen geschlossen. Dem Guardian sagte er, das Unternehmen habe eine "eingehende Bewertung" der von vpnMentor bereitgestellten Informationen vorgenommen. Man würde die Kunden im Falle einer Bedrohung informieren.


Aus: "Biometrische Daten von Millionen Nutzern offen im Netz" (14. August 2019)
Quelle: https://www.zeit.de/digital/datenschutz/2019-08/hacker-israel-sicherheitsfirma-suprema-datenschutz

Quotesphex #1

Mal sehen, was die "Ich habe nichts zu verbergen! Fraktion" hierzu postet...
Das ist genauso finster, als ween fremde Leute ohne Erlaubnis meine Wohnung durchwühlen.
Datenschutz ist ein sehr wichtiges Thema - aber für manche wohl noch immer zu abstrakt ...


QuoteJohanna88 #2

Eine Sicherheitsfirma? Ist jetzt Satire, oder?


Quote
Dolferl #3

Offensichtlich nicht.
Da sollten sich unsere Politiker und ihr feuchter Traum von der totalen Überwachung ( natürlich nur gegen den Terror) mal gewaltige Gedanken machen.
Wird aber wohl nicht der Fall sein. Außer sie sind selbst mal betroffen.


...

Textaris(txt*bot)

Quote[...] heise Security wurde auf eine Liste mit den persönlichen Daten von fast 90.000 Personen aufmerksam gemacht, die von dem Mastercard-Bonusprogramm Priceless Specials stammen soll. Die Excel-Tabelle enthält jeweils Vor- und Zuname, Geburtsdatum, Mail-Adresse und häufig auch Postanschrift und Handynummern der Personen. Einer ersten Analyse von heise Security zufolge scheinen die Daten echt zu sein – wenn sie es nicht sind, dann hat sich jemand große Mühe mit der Fälschung gegeben.

Auf der Liste befinden sich fast ausschließlich Personen mit Postanschrift in Deutschland, darunter fast 60 Einträge, die anscheinend von Mastercard-Mitarbeitern stammen. Einige hundert Datensätze scheinen sich Mitarbeitern deutscher Geldinstitute zuordnen zu lassen.

Am Montagnachmittag war das Bonusprogramm von Mastercard noch erreichbar. Als heise Security das Unternehmen auf das mögliche Datenleck aufmerksam machte, sperrte Mastercard die Seite umgehend. "Mastercard wurde auf ein Problem im Zusammenhang mit unserer Priceless Specials-Plattform aufmerksam gemacht", erklärte die Kreditkartenfirma gegenüber heise online. "Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck. Vorsorglich haben wir die Priceless Specials-Plattform umgehend geschlossen." Zugleich versichert das Unternehmen, dass das Datenleck "nicht im Zusammenhang mit dem Zahlungsnetzwerk von Mastercard" stehe.

Wenn die Daten echt sind, dann handelt es sich bei der Excel-Tabelle um einen wertvollen Datenschatz für Online-Ganoven. Üblicherweise werden solche Informationen etwa für Phishing-Mails missbraucht. Der Online-Gauner weiß in diesem Fall, dass sein Opfer in spe eine Mastercard besitzt und würde wahrscheinlich eine Phishing-Mail im Mastercard-Design verschicken. Sobald die Kreditkartenfirma weitere Details zu dem potenziellen Datenleck bekanntgibt, werden wir darüber berichten.


Aus: "Leck bei Mastercard? Daten von fast 90.000 Personen kursieren im Netz" Ronald Eikenberg (19.08.2019)
Quelle: https://www.heise.de/security/meldung/Datenleck-bei-Mastercard-Daten-von-fast-90-000-Personen-kursieren-im-Netz-4500593.html

Textaris(txt*bot)

Quote[...] Den eigenen Klarnamen in einer Mailadresse zu benutzen, mit der man sich auf einer Pornoseite anmeldet, ist in vielen Fällen keine gute Idee. Sicherheitsforscher:innen des VPN-Testportals vpnMentor haben Mitte August ein Datenleck der pornographischen Community-Seite luscious.net entdeckt. Sie konnten fast 1,2 Millionen Profile mit E-Mail-Adressen, Nutzernamen, Standorten und allen getätigten Aktivitäten wie eigenen Uploads, Logininformationen oder Kommentaren einsehen. In vielen Fällen waren Rückschlüsse auf reale Personen möglich.

Auf luscious.net (nsfw) können Nutzer:innen pornografisches Material tauschen und kommentieren. Zu den Betroffenen, deren Daten unverschlüsselt und ungeschützt eingesehen werden konnten, gehören 50.000 deutsche Accounts.

Wie das Forscherteam berichtet, benutze ein Großteil der Nutzer:innen Mailadressen, aus denen ihr richtiger Name ablesbar ist. Einige Nutzer:innen aus Australien, Italien, Brasilien und Malaysia hatten sich sogar mit einer offiziellen Regierungsmailadresse angemeldet. Nach Schätzungen der Forschergruppe nutzten nur 20 Prozent der Personen Mailadressen mit Fake-Namen.

Das kann für einen sehr entspannten Umgang mit Pornographie sprechen. Oder aber für einen sehr naiven Umgang mit Online-Sicherheit. Die Forscher:innen betonen, dass sie in vielen Fällen hochsensible Daten einzelnen Personen zuordnen konnten. ,,Einige dieser Blog-Posts waren äußerst persönlich – einschließlich depressiver oder anderweitig sensibler Inhalte – und blieben anonym." schreibt vpnMentor. Durch Sicherheitslücken wie diese könnten die Identitäten der Autor:innen leicht enthüllt werden.

VpnMentor warnt davor, dass über die erbeuteten Mailadressen leicht auf andere Online-Profile geschlossen werden kann. Betroffene werden nicht selten mit einer Veröffentlichung der Daten erpresst. Auch werden gehackte Profildaten für Phishing-Mails missbraucht, in denen versucht wird, den Opfern noch weitere sensible Informationen zu entlocken.

Luscious.net ist längst nicht das erste Pornoportal, von dem persönliche Nutzerdaten erbeutet wurden. Auch Sicherheitslücken auf Pornoseiten wie Xhamster und Brazzers.com wurden von Hackern genutzt, um an Nutzerdaten zu gelangen.

Ob die Daten von Luscious auch Dritten in die Hände gefallen sind, ist nicht bekannt. Luscious.net schloss die Sicherheitslücke drei Tage, nachdem vpnMentor das Unternehmen darauf aufmerksam gemacht hatte. ...


Aus: "Datenschutz - Porno-Community Luscious: Daten von mehr als einer Millionen Mitglieder im Netz" Alexandra Ketterer (23.08.2019)
Quelle: https://netzpolitik.org/2019/porno-community-luscious-daten-von-mehr-als-einer-millionen-mitglieder-im-netz/

Textaris(txt*bot)

Quote[...] Facebook muss sich wieder wegen eines Vorfalls mit den Daten seiner Nutzer rechtfertigen. Offenbar waren Telefonnummern von etwa 420 Millionen Anwendern im Internet offen zugänglich. Ein IT-Sicherheitsexperte hatte die Datei mit den persönlichen Informationen entdeckt und das Technologieblog TechCrunch informiert.

Unter den Telefonnummern sollen 133 Millionen von Facebook-Nutzern aus den USA gewesen sein. Die Gefahr bei solchen Daten ist, dass Online-Kriminelle sie nutzen könnten, um Account-Passwörter zurückzusetzen und die Profile zu kapern. Die Datei soll inzwischen entfernt worden sein.

Unklar ist bisher, wer sie erstellt und hochgeladen hat. Hinweise darauf, dass die Accounts gehackt worden sind, habe es keine gegeben, teilte Facebook mit. Es soll sich um alte Daten handeln, die anscheinend gesammelt worden seien, bevor das Unternehmen vergangenes Jahr die Möglichkeit abschaffte, Freunde mithilfe ihrer Telefonnummern zu finden.

Facebook hatte bereits im April 2018 eingeräumt, dass die Freunde-Suche nach Telefonnummern dazu missbraucht wurde, Daten abzugreifen, und schaltete die Funktion ab.


Aus: "Telefonnummern von 420 Millionen Facebook-Nutzern einsehbar" (5. September 2019)
Quelle: https://www.zeit.de/digital/datenschutz/2019-09/datenschutz-telefonnummern-millionen-facebook-nutzer

Textaris(txt*bot)

Quote[...] Durch eine unsachgemäß konfigurierte Datenbank waren zahlreiche vertrauliche persönliche Daten von nahezu allen Einwohnern Ecuadors frei im Internet zugänglich. Zwei israelische Sicherheitsspezialisten entdeckten die Datensätze und wandten sich an das Magazin ZDnet, mit dem sie gemeinsam den Bestand analysierten und auf Authentizität prüften sowie den Urheber recherchierten. Ungefähr 20,8 Millionen Datensätze sollen insgesamt auf dem Elasticsearch-Server verfügbar gewesen sein, schreibt ZDnet.

Das südamerikanische Land hat ungefähr 17 Millionen Einwohner – die deutlich höhere Zahl an Datensätzen in dem Fund erklärt sich laut dem Bericht aus doppelten Einträgen sowie aus Daten zu bereits verstorbenen Personen. Die untersuchten Daten waren auf mehrere Elasticsearch-Indizes verteilt, deren Namen bereits 'sprechend' waren. Der Inhalt der Datensätze enthüllt persönliche Informationen der Einwohner samt Familienverhältnissen und Verwandtschaftsbeziehungen, Einwohnermeldedaten, Finanzdaten, Informationen zum Arbeitsplatz sowie zu angemeldeten Fahrzeugen.

Außerdem gehen aus den Indizes auch deren mutmaßliche Quellen hervor, die teils bei Behörden und teils bei privaten Firmen liegen sollen – vermutlich wurden die Daten von dort importiert. Der größte Teil der Daten stammt laut ZDnet demnach von den ecuadorianischen Standesämtern. Hier sind nicht nur Anschrift, Familienstand, Geburtsort- und -datum und Bildungsabschluss einsehbar, sondern auch die Ausweisnummer und die Telefonnummer.

Einige der kontaktierten Betroffenen bestätigten laut dem Bericht die Echtheit der Angaben, deren Aktualität bis ins Jahr 2019 reicht. In dem Leak befinden sich sogar Informationen zu Ecuadors Präsident sowie zu dem in Australien geborenen Wikileaks-Gründer Julian Assange, dem nach seiner Flucht in die Botschaft Ecuadors in London 2012 im Dezember 2017 die ecuadorianische Staatsbürgerschaft zugesprochen worden war. Im April dieses Jahres hatte das Land jedoch Assange den Asylstatus aberkannt und die Londoner Polizei in das Botschaftsgebäude gelassen, wo diese Assange festnahm.

Besonders brisant wird dieser Leak durch die Angabe von Verwandtschaftsbeziehungen: Da sich Daten zu Eltern und Kindern in der Datenbank finden, lassen sich damit ganze Familienbäume rekonstruieren. Insgesamt fanden die Spezialisten 6,77 Millionen Datensätze zu Kindern unter 18 Jahren, bei denen unter anderem der Wohnort vermerkt ist.

Einige Indizes verweisen auf ihren Ursprung in einem Privatunternehmen, etwa eine Bank, die von der ecuadorianischen Sozialversicherungsbehörde ausgegründet wurde. In diesen ca. 7 Millionen Datensätzen finden sich Kontostände, Kreditinformationen und Daten zum Arbeitsverhältnis. In einem Index zu Kraftfahrzeug-Anmeldungen mit immerhin 2,5 Millionen Einträgen stehen die Fahrzeugmodelle samt Kennzeichen sowie deren Eigentümer.

Als Urheber der offenen Datenbank ermittelten Noam Rotem und Ran Locar von vpnMentor gemeinsam mit ZDnet ein örtliches Unternehmen namens Novaestrat, das nach Eigenauskunft Analysen für den Finanzsektor erstellt. Jedoch erwies es sich als schwierig, mit dem Unternehmen Kontakt aufzunehmen: Auf der Website wurden weder Telefonnummern noch E-Mail- Adressen genannt, und auf Anfragen über Facebook und LinkedIn reagierte die Firma nicht. Der Versuch, im Support-Forum der Website ein Konto zu erstellen, endete mit einer PHP-Fehlermeldung.

Nachdem sich vpnMentor an das ecuadorianische Computer Emergency Response Team (CERT) gewendet hatte, wurde der Zugriff auf die Datenbank aus dem Internet schließlich unterbunden. Vor allem der lockere Umgang mit Daten von Minderjährigen zeigt die datenschutzrechtliche Brisanz dieses Leaks. ZDnet weist zurecht darauf hin, dass ein solcher Datenbestand geradezu 'paradiesische' Aussichten für Kriminelle bietet – damit ließen sich etwa reiche Familien mit Kindern identifizieren, die dann womöglich Opfer von Entführung mit Lösegeldforderung werden könnten, oder es ließe sich das gewünschte Automodell samt Kennzeichen und Besitzeranschrift ausfindig machen, das dann von Dieben entwendet werden könnte.

Ein solcher Leak durch eine – mutmaßlich vom Dienstleister – dilettantisch konfigurierte Datenbank lässt sich wahrscheinlich nie ganz ausschließen, wie zahlreiche ähnliche Fälle der jüngsten Zeit zeigen. Prominentes Beispiel ist etwa die Hotelkette Marriott, deren Kundendaten Ende 2018 Hackern in die Hände fielen. Der Fall zeigt jedoch auch, welche immensen Gefahren vom zentralen Sammeln und Vorhalten von Einwohnerdaten ausgehen. Projekte dieser Art gibt es in zahlreichen Ländern. In Indien etwa sind biometrische Einwohnerdaten mit Finanzinformationen in einem Datenbankprojekt verknüpft – das System wurde prompt gehackt und die Daten gegen Geld angeboten. (tiw)


Aus: ""Gläserne" Bürger: Riesiger Leak enthüllt komplette Bevölkerung Ecuadors" Tilman Wittenhorst (16.09.2019)
Quelle: https://www.heise.de/newsticker/meldung/Glaeserne-Buerger-Riesiger-Leak-enthuellt-komplette-Bevoelkerung-Ecuadors-4523780.html

Quotecooregan, 16.09.2019 15:29

Komplette Kernschmelze

Wo ist sie nun, die Fraktion derer, die nichts zu verbergen haben?

Und es möge niemand behaupten, so was könne nur in einem - Entschuldigung - weniger entwickelten Staat in Südamerika, nicht aber hier passieren.
Ein Schaustück für alle Datenhehler, STASI-Schergen, und jene, die Datenkraken verharmlosen und falsche Sicherheitsversprechen machen.

gruß
cooregan

...

Textaris(txt*bot)

Quote[...] Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Diese Datensätze von weltweit mehreren Millionen Patienten liegen auf Servern, die nicht geschützt sind. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden. Das hat eine gemeinsame Auswertung des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica ergeben.

Die Bilder sind hochauflösend und gespickt mit zahlreichen Informationen. Fast alle davon sind personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

In Deutschland sind laut BR-Recherchen mehr als 13.000 Datensätze von Patienten betroffen, in mehr als der Hälfte sind Bilder enthalten: Sie waren noch bis vergangene Woche zugänglich und stammen von mindestens fünf verschiedenen Standorten. Der größte Teil der Datensätze entfällt auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.

Weltweit ist die Dimension deutlich größer, Server auf der ganzen Welt sind ungeschützt: In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein. Besonders betroffen sind Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor.

Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landen auf diesen Servern. 

Sind die Server nicht ausreichend gesichert, ist es trivial, an die Daten heranzukommen, erklärt der Experte für Informationssicherheit Dirk Schrader. Er kontaktierte die Investigativ- und Datenjournalisten des Bayerischen Rundfunks, nachdem er weltweit mehr als 2300 Rechner gefunden hatte, auf denen diese Datensätze lagen. Die Server waren ungeschützt. 

Schrader spricht von einem "near realtime-access". Ein Zugriff, beinahe in Echtzeit also. "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen", sagt er.

Journalisten von BR Recherche/BR Data haben das Vorgehen von Schrader nachvollzogen. Es wurden auch stichprobenartig Betroffene kontaktiert und so die Echtheit der Daten bestätigt.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, spricht von einem "verheerenden ersten Eindruck", als ihm die Reporter einen Patientendatensatz in anonymisierter Form zeigen. Er warnt vor möglichen Folgen: "Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt." Diese Daten würden unsere digitale Identität ausmachen, "sie gehören nicht in die Hände Dritter".

Auch Sebastian Schinzel, Professor für IT-Sicherheit an der FH Münster, spricht von einem "handfesten Skandal". Er arbeitet derzeit in einem Projekt des Bundeslandes Nordrhein-Westfalen daran, die Cybersicherheit für die Gesundheitswirtschaft zu verbessern: "Diese Daten sind hochsensibel, und ich möchte natürlich auf keinen Fall, dass das im Internet steht, ohne Passwort-Authentifizierung. Ich finde das katastrophal."

Dirk Schrader kontaktierte auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf Anfrage teilte ein Sprecher mit, dass man 17 Fällen nachgehe und "drei betroffene Einrichtungen direkt über den Sachverhalt" informiert habe.

Das BSI darf aus rechtlichen Gründen nicht selbst auf die Daten zugreifen. In den restlichen 14 Fällen, in denen die IP-Adresse alleine nicht ausreichte, um das Leck zu identifizieren, habe man die Internetprovider kontaktiert. Diese seien nun angehalten, die betroffenen Einrichtungen zu informieren. Außerdem habe man Behörden in 46 Ländern kontaktiert.

Mehrere Server mit sensiblen Patientendaten waren nach BR-Informationen bis vergangene Woche erreichbar, darunter ein Server mit 7000 Untersuchungsdaten von Patienten in Bayern. Das Bayerische Landesamt für Datenschutzaufsicht steht mit dem Betreiber des Servers in Kontakt, wie ein Sprecher auf Anfrage schriftlich mitteilt. Nun würden nächste Schritte geprüft: "Dies kann von offensichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen." Der BR hat ihm bekannte Standorte kontaktiert. Mittlerweile sind die Server vom Netz.

Bereits im Jahr 2016 veröffentlichte Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, eine Studie zu ungeschützten PACS-Servern. Er hatte damals mehr als 2700 offene Systeme ausfindig machen können: "Wir haben ein Riesenproblem mit medizinischen Geräten, die komplett ungesichert und ungeschützt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Geräten verbinden und die Patientendatensätze kompromittieren", sagt Pianykh im Interview mit dem BR und ProPublica.

In Fachkreisen nahm man die Studie von Pianykh zwar zur Kenntnis, doch offenbar sah niemand Grund zum Handeln. Schließlich habe der US-Forscher nicht überprüft, ob sich echte Daten auf den Servern befanden, heißt es aus der Branche. So sind viele Datensätze von Patienten bis heute ungesichert im Netz.

Recherche-Kooperation

Die Recherche ist eine Kooperation des Bayerischen Rundfunks mit dem US- amerikanischen Recherchebüro "ProPublica".
Team: Pia Dangelmayer, Arne Meyer-Fünffinger, Ulrich Hagmann, Uli Köppen, Steffen Kühne, Verena Nierle, Oliver Schnuck, Josef Streule, Hakan Tanriverdi, Tatjana Thamerus, Maximilian Zierer sowie Jack Gillum, Jeff Kao und Jeff Larson von ProPublica.




Aus: "Patienteninformationen: Millionen Daten ungeschützt im Netz" (17.09.2019)
Quelle: https://www.tagesschau.de/investigativ/br-recherche/patientendaten-101.html

Textaris(txt*bot)

Quote[...] Mehrere vornehmlich in Spanien beliebte Porno-Websites haben durch eine offen im Internet zugängliche Datenbank mit den Inhalten von Logdateien hochsensible Informationen über die Betrachter der Videos enthüllt, aber auch über die Sexarbeiterinnen, die für das Angebot an Inhalten sorgen. Die Datenbank war über mehrere Wochen erreichbar. Das hat das Online-Magazin Techcrunch enthüllt.

Betreiber der Websites ist das in Barcelona ansässige Unternehmen VTS Media, unter den betroffenen URLs sind 'sprechende' Bezeichnungen wie webcampornoxxx.net und placercams.com sowie die Website amateur.tv, die laut dem Techcrunch-Bericht in Traffic-Statistiken eine der beliebtesten in Spanien ist. Allerdings fanden sich auch zahlreiche Nutzer aus anderen europäischen Ländern in der Datenbank. Die pornografischen Inhalte liefern zumeist Frauen, die sich selbst per Webcam filmen sowie mit Kunden chatten und daher auch als "camgirls" bezeichnet werden.

IT-Security-Spezialisten des Unternehmens Condition:Black entdeckten eine Back-end-Datenbank, die frei und ohne Passwort im Internet zugänglich war. Sie enthielt die aus Logdateien stammenden Daten über die Aktivitäten auf den Websites über einen Zeitraum von mehreren Monaten. Aufgeführt waren unter anderem Anmeldungen samt Nutzernamen, teilweise mit Useragent-Information und IP-Adresse, private Chat-Nachrichten zwischen Benutzern der Websites sowie Werbe-E-Mails, die die Nutzer von den Websites erhielten, woraus teils auch die E-Mail-Adresse der Benutzer hervorging. Solche Informationen können ausreichen, um einen Benutzer persönlich zu identifizieren.

Insbesondere war aus den Daten auch ersichtlich, welche Videos ein Benutzer betrachtete oder mietete – woraus sich beispielsweise sexuelle Präferenzen ableiten lassen. Doch damit nicht genug: Bei fehlgeschlagenen Login-Versuchen zeichneten die Systeme sogar Nutzernamen und Passwort im Klartext auf. Außerdem waren teilweise die Nutzerdaten der Sexarbeiterinnen einsehbar, die die Videos für die Websites bereitstellen. Die Zahl der betroffenen Personen aus dem Leak gibt Techcrunch etwas vage mit mehreren Millionen an.

Wie Techcrunch schreibt, wurde die Datenbank vergangene Woche vom Netz genommen. Ein Kontaktversuch mit VTS Media per E-Mail scheiterte. Die Spezialisten von Condition:Black verwiesen darauf, dass die Datenschutzrichtlinie der Websites nicht auf eine derart detaillierte Informationssammlung an Nutzerdaten hinweist. Da sich das verantwortliche Unternehmen und die betroffenen Server in der EU befinden, fallen das mutmaßlich unberechtigte Sammeln der Nutzerdaten und natürlich das unbeabsichtigte Offenlegen unter die EU-Datenschutzgrundverordnung. Ein Bußgeld nach DSGVO kann bis zu 4 Prozent des Jahresumsatzes eines Unternehmens betragen; mittlerweile sind die ersten Bußgelder verhängt worden.

Wie heikel das Veröffentlichen persönlicher Informationen – insbesondere aus den intimsten Bereichen der Privatsphäre – sein kann, zeigt unter anderem der Fall des Seitensprung-Portals Ashley Madison im Jahr 2015. Damals waren Daten von ca. 36 Millionen Nutzern von einer Hackgruppe publik gemacht worden. In der Folge waren einige von ihnen Opfer von Verbrechen geworden, zwei Personen sollen Suizid begangen haben. (tiw)


Aus: "Logdatei-Leak: Spanische Pornowebsites enttarnen Betrachter und Sexarbeiterinnen" Tilman Wittenhorst (03.11.2019)
Quelle: https://www.heise.de/newsticker/meldung/Logdatei-Leak-Spanische-Pornowebsites-enttarnen-Betrachter-und-Sexarbeiterinnen-4574338.html