[Datenpannen und Identitätsdiebstahl...]

[Textaris(txt*bot)]

[...]  Großbritannien ist nicht nur führend im Sammeln von Daten, sondern vermutlich auch beim Datenverlust. Allein in den letzten drei Monaten wurden dem für Datenschutz zuständigen Information Commissioner’s Office (ICO) 100 Vorfälle gemeldet, bei denen persönliche Daten wie Namen, Adressen, Bankdaten, Informationen über Gehälter oder medizinische Daten verloren gegangen sind oder gestohlen wurden. Das wäre ein Vorfall jeden Tag.

Insgesamt waren es 2008 und bis Ende Januar 2009 insgesamt 376 Vorfälle, 36 Prozent mehr als im Jahr zuvor. Meist kamen Behörden die Daten abhanden, mit 112 Vorfällen traten aber auch fast ein Drittel der Vorfälle in der Privatwirtschaft auf – mit steigender Tendenz. Das ICO fordert die Unternehmen auf, den Datenschutz zu stärken, da sie ansonsten Vertrauen verspielen würden.

Der Datenschutzbeauftragte Richard Thomas sagte, es sei nicht akzeptabel, dass seine Behörde keine Überprüfungen ohne Zustimmung der betreffenden Organisation machen dürfe: "Man würde auch nicht erwarten, dass ein Lebensmittelprüfer erst einmal die Erlaubnis des Restaurants erhalten muss, um eine Inspektion durchzuführen." Während bereits eine gesetzliche Grundlage für Inspektionen ohne Ankündigung bei Behörden vorbereitet wird, schreibt die Times, ist bislang für Privatunternehmen derartiges nicht vorgesehen. (fr/Telepolis)

9. Februar 2009 15:47
++ FT: Datenbank über krimineller Datendiebe gestohlen ++
koboldmaki23 (166 Beiträge seit 31.12.07)

Das britische Innenministerium gab heute in einer Pressekonferenz den
Diebstahl einer geheimen Datenbank für Datendiebe bekannt. Der
Pressesprecher zeigte sich  betroffen über die erschreckende
Rekursivität.
"This recursivity is quite incomprehensible to us. We have hired
security consultants to work on this problem. Astonishingly those
criminals have taken the approach of adding themselves to the
database. We are struggling with self-proclaimed terrorist nicknames
like ""0r1=1--"". This is a disturbing development. If we do not
succeed in containing this, we will have to consider mass
bombardement with 500lb fluffy pidgeons."

9. Februar 2009 16:19
Wirklich erstaunlich
Herr_Mal-Ware (153 Beiträge seit 25.04.08)

Wer hätte damit gerechnet, dass mit den gigantischen Datenbergen,
Kameras an jeder Ecke und beinahe schon einer Komplettüberwachung der
Bürger auch Datenverlust, Datenmissbrauch und Datendiebstähle
ansteigen? Das kommt ja extrem überraschend...

Aus: "In Großbritannien häufen sich Datenverluste und -diebstähle" (09.02.2009)
Quelle: http://www.heise.de/newsticker/In-Grossbritannien-haeufen-sich-Datenverluste-und-diebstaehle--/meldung/127140

[Textaris(txt*bot)]

[...] Der US-Forscher Eric Johnson stieß bei Recherchen im Auftrag des Department of Homeland Security (DHS) in gängigen Peer-to-Peer-Netzwerken (P2P) wie Limewire auf Zehntausende digitale Akten aus US-Krankenhäusern mit sensiblen Informationen, darunter auch aus einer AIDS-Klinik. Dies berichtet der Fachdienst Nextgov. Die Patientendaten, die über gängige Filesharing-Software abrufbar gewesen seien und es offenbar nach wie vor sind, enthielten demnach detaillierte persönliche Angaben über physische oder mentale Krankheitsdiagnosen. Mit den Informationen könnte man nicht nur die betroffenen Patienten bloßstellen, heißt es in der Meldung, sondern auch medizinische Betrügereien begehen.

Der Leiter des Center for Digital Strategies am Dartmouth College in Hanover im US-Bundesstaat New Hampshire hat für den größten bei seiner zweiwöchigen Untersuchung entdeckten Datenverlust ein nicht näher bezeichnetes US-Hospital ausgemacht, dem eine gesamte Datenbank abhanden gekommen sein soll. Darin allein seien Vermerke über 20.000 Patienten einschließlich Namen, Krankenversicherungsnummern, Versicherungspartnern und Codeangaben über Krankengeschichten enthalten gewesen. Aus den Dateien sei etwa hervorgegangen, dass vier der Betroffenen HIV positiv seien. Über 200 weiteren seien Geistesstörungen oder Depressionen, 326 Krebserkrankungen diagnostiziert worden.

Weitere Einzelheiten hat Johnson in einem Papier (PDF-Datei) über "Daten-Hämorrhoiden" im Gesundheitssektor veröffentlicht. So entdeckte der Wissenschaftler etwa auch Datentabellen aus einem auf die Behandlung von AIDS-Kranken spezialisierten Hospital mit personenbezogenen Informationen über 242 Patienten, ein 1718 Seiten umfassendes Dokument aus einem medizinischen Testlabor mit Namen von Probanden sowie psychiatrische Einschätzungen aus einer Klinik für Geisteskranke. Teilweise habe er die Dateien auf Rechnern abgelegt gefunden, die er Auskunfteien zuschrieb, was nahelege, dass mit den Informationen bereits kommerziell gehandelt wird.

Als Ursache für die prekären Datenabflüsse hat Johnson den Umstand ausgemacht, dass viele Angestellte öffentlicher Einrichtungen entgegen anders lautender Auflagen P2P-Software auf ihren Rechnern installieren und dann gemäß den Voreinstellungen mancher Programme alle lokalen Dateien zum Tausch freigeben würden. Für die Suche nach kostenlosen Songs oder Filmen müssten sie so einen hohen Preis zahlen.

US-Regierungsstellen haben bereits wiederholt Datenpannen erlitten, für die Filesharing verantwortlich gemacht wird. Außer dem Gesundheitswesen war unter anderem auch schon das Militär betroffen. US-Präsident Barack Obama will mit seinem Konjunkturprogramm auch die Auflagen für die IT-Sicherheit im Verwaltungsbereich allgemein und im Gesundheitssektor im Besonderen verbessern. Beobachter sind aber skeptisch, ob diese Bemühungen Erfolg haben und prognostizieren weitere große Datenverluste. (Stefan Krempl) / (ad/c't)

28. Februar 2009 18:44
+++Patientenakte von Dr. Schäuble aufgetaucht+++ (Editiert vom Verfasser am 28.02.09 um 18:47)
Stringtheoretiker 3 (689 Beiträge seit 31.08.08)

Berlin

In einem Tauschbörsenring wurde die Patientenakte von Dr. Schäuble
gefunden. Die Word-Datei enthielt detallierte Angaben zum Patienten
Dr. Schäuble. CDU-Politker sind empört und forden härte Strafen gegen
Datenmißbrauch. Dr. Schäuble war zu keiner Aussage zu bewegen.

:-D

Aus: "Daten von zehntausenden US-Patienten im Internet gefunden" (28.02.2009)
Quelle: http://www.heise.de/newsticker/Daten-von-zehntausenden-US-Patienten-im-Internet-gefunden--/meldung/133730

[Textaris(txt*bot)]

[...] Personal information on more than 80,000 current and retired New York police officers was stolen from a supposedly secure data warehouse that stored NYPD pension fund data.

The stolen data, stored on computer bakup tapes in a facility managed by the Port Authority, included names, addresses, Social Security numbers names, bank account numbers and medical records of officers.

The thief, who worked at a different location as a communications director for the pension fund, entered the guarded warehouse on Staten Island on a Saturday morning using an expired ID badge and and disabled a surveillance camera before making off with eight tapes of data.

Authorities discovered that data had been stolen only after the employee made suspicious comments at work.

One point worthy of note in this breach -- the Port Authority facility where the police backup records were stolen also houses backup servers for Google and Yahoo.

From: "Thief Steals Sensitive Data from NYPD Warehouse"
By Kim Zetter Email (March 05, 2009)
Source: http://blog.wired.com/27bstroke6/2009/03/thief-steals-se.html

[Textaris(txt*bot)]

[...] Deutschlands größter Netzbetreiber Kabel Deutschland hat nach Informationen der "Wirtschaftswoche" hunderttausende Kundendaten an dubiose Callcenter weitergegeben. Ein erheblicher Teil der 9,1 Millionen Kundendaten, über die Kabel Deutschland verfügt, kursieren nun offenbar im In- und Ausland.

Kabel Deutschland hatte die Daten an externe Callcenter-Betreiber weitergegeben, um den eigenen TV-Kunden auch einen Telefon- und Internetanschluss schmackhaft zu machen. Offenbar nahmen die externen Unternehmen es teilweise mit dem Datenschutz nicht so genau: Die Informationen gingen an Subunternehmer und sind mittlerweile auf dem illegalen Markt für Kundendaten verfügbar.

Kabel Deutschland hat mittlerweile reagiert und die Verträge mit "auffälligen Callcentern" nach eigenen Angaben gekündigt. Nach Angaben der "Wirtschaftswoche" häufen sich aber die Beschwerden von Kabel-Deutschland-Kunden, die vermehrt Opfer von Werbeanrufen werden: Offenbar haben die Datensätze bereits einen oder mehrere Abnehmer gefunden.

Aus: "Datenskandal bei Kabel Deutschland" (29.03.2009)
Quelle: http://www.inside-digital.de/news/12123.html

[Textaris(txt*bot)]

[...] Bei den Online-Anträgen zur Abwrackprämie ist es Medienberichten zufolge auch zu einer Datenschutzpanne gekommen. Zahlreiche Antragsdaten wurden von den Computern des Bundesamtes in Eschborn versehentlich per E-Mail an andere Antragsteller gesendet, berichteten mehrere Online-Medien unter Berufung auf Leserangaben.

Wohnadresse, Fahrzeugtyp des Neuwagens oder auch die Schadstoffklasse seien damit völlig fremden Personen zugänglich geworden. Das Online-Portal "bild.de" berichtete unter Berufung auf das Amt, Ursache der fehlerhaften E-Mails seien nicht synchronisierte Großrechner gewesen.

...

Aus: "Probleme mit der Abwrackprämie - Auf Computerchaos folgt Datenschutzpanne" (31.03.2009)
Quelle: http://www.tagesschau.de/inland/abwrackpraemie164.html

[Textaris(txt*bot)]

[...] Unbefugten ist es gelungen, sich Zugang zu Plänen eines amerikanischen Kampfflugzeug-Projekts zu verschaffen. Nach Informationen des Wall Street Journals sollen die Computer-Spione "einige Terabytes" an Daten kopiert, bzw. entwendet haben. Da sie mit der Konstruktion und mit dem elektronischen System zu tun haben, vermuten Regierungsmitarbeiter, dass die gestohlenen Daten möglicherweise militärisch relevant sein können, da sie Verteidigungsmaßnahmen gegen den Kampfjet verbessern könnten.

Das Joint Strike Fighter-Projekt ist das bislang teuerste Waffenprogramm des Pentagon, die Kosten zur Entwicklung des Kampfjets F-35 Lightning II belaufen sich auf etwa 300 Milliarden Dollar. Wie groß der Schaden ist, den die Zugriffe der Unbefugten in finanzieller und sicherheitstechnischer Hinsicht angerichtet haben, dazu lieferten die Quellen der Zeitung, "Regierungsmitarbeiter, die mit der Angelegenheit vertraut sind", keine Details. Da die Eindringlinge ihre Spuren gut verwischen konnten, können Ermittler laut dem Zeitungsbericht nicht genau angeben, welche Daten gestohlen wurden. Auch zur Identität der Cyber-Angreifer gibt es nur Vermutungen.

Die Pläne zum F-35 Lightning II-Jet, der federführend von Lockheed Martin entwickelt wird, basieren laut WSJ auf 7,5 Millionen Zeilen Programmcode, die sensibelsten Daten, etwa zur Flugsteuerung, würden allerdings auf Computern gespeichert, die nicht mit dem Internet verbunden sind. Die Cyber-Spione haben sich über undichte Stellen im Netzwerk der am Projekt beteiligten privaten Unternehmen Zugang zu den Daten verschafft. Doch weder Lockheed Martin, noch Northrop Grunman Corp. Oder BAE-Systems, die an der Entwicklung des Kampfjets beteiligt sind, wollten zu Datendiebstahl Aussagen machen.

Versuche, in die Computersysteme einzudringen, die am Joint Strike Fighter-Programm beteiligt sind, werden schon seit zwei Jahren beobachtet. Ermittler gehen "mit großer Wahrscheinlichkeit" davon aus, das die Zugriffsversuche aus China stammen, als Indiz werden chinesische IPs genannt und digitale Fingerabdrücke, die schon bei früheren Angriffen benutzt wurden.

(tpa/Telepolis) 

21. April 2009 12:44
Warum haben sie den Chinesen ...
Achim (mehr als 1000 Beiträge seit 07.01.00)

... nicht einfach ein rotes VdL-Stoppschild eingeblendet? Das löst
doch alle Probleme.

21. April 2009 13:04
In Deutschland wär' das nicht passiert...
Anday (174 Beiträge seit 06.10.04)

...denn hier sind ja zum Glück die bei dem Angriff verwendeten
Hackertools VERRBOTTEN!

21. April 2009 13:40
Absolut Krank
dremolo (mehr als 1000 Beiträge seit 19.06.01)

>Das Joint Strike Fighter-Projekt ist das bislang teuerste
Waffenprogramm des >Pentagon, die Kosten zur Entwicklung des
Kampfjets F-35 Lightning II belaufen >sich auf etwa 300 Milliarden
Dollar.

Was könnte man mit dem Geld nicht alles anfangen, von Hilfs- und
Wissenschaftsprojekte aller Art bis hin zu einer Mondbasis bzw. einen
bemannten Flug zum Mars. Das Ding hat doch nur den Zweck zu töten, und das alles hinter dem
Argument Arbeitsplatz und Sicherheit versteckt. In anderen Industrieländer ist
es auch nicht besser, leider .

dremolo

Aus: "Datenklau bei US-Kampfjet-Projekt" (21.04.2009)
Quelle: http://www.heise.de/newsticker/Datenklau-bei-US-Kampfjet-Projekt--/meldung/136463

[Textaris(txt*bot)]

[...] Der britische Geheimdienst MI6 musste einem Bericht des Fachmagazins Secure Computing nach im Jahr 2006 eine Millionen Pfund teure, verdeckte Anti-Drogenermittlung einstellen, nachdem eine Agentin einen USB-Stick, auf dem streng geheime Daten gespeichert waren, verloren hatte. Die Serious Organised Crime Agency (Soca) bestätigte den Fall nun Ende April.

Die Agentin "T" hatte den besagten USB-Stick in ihrer Handtasche aufbewahrt, als sie sich auf dem Weg nach Kolumbien befand. Den Stick ließ sie dann im Reisebus liegen. Der Verlust bedrohte dutzende Agentenleben und die Leben von Informanten, weshalb alle beteiligten Personen in Sicherheit gebracht und neu stationiert werden mussten.

2006 erhielt die Soca Staatsgelder in der Höhe von 416 Millionen Pfund. Wie viel von diesem Kapital durch die gescheiterte Mission aus dem Fenster geworfen wurde, wollte man aber nicht erläutern.

Das Prekäre an dem Vorfall: Die Ermittlung der Agenten musste nur deshalb eingestellt werden, weil sie keine Verschlüsselungsmechanismen einsetzten. Die Behörde betont, aufgrund des Vorfalls hätte man begonnen Handhabungsstandards für mobile Datenträger einzuführen und die Daten würden seit 2006 immer verschlüsselt. (zw)

Aus: "USB-Stick verloren - MI6 musste millionen-schwere Undercover-Operation platzen lassen" (03. Mai 2009)
Quelle: http://derstandard.at/?url=/?id=1240550379811

[Textaris(txt*bot)]

[...] Kriminelle sollen US-Medienberichten zufolge die Daten von 8 Millionen amerikanischen Schmerzpatienten vom Server des Virginia Prescription Monitoring Program gestohlen haben und nun 10 Millionen US-Dollar Lösegeld fordern. Der Server dient Ärzten zur Überwachung der Herausgabe von Rezepten für Schmerzmittel wie Opiate und soll den Drogenmissbrauch verhindern.

Nach Angaben von Brian Krebs von der Washington Post drangen die Kriminellen auf unbekanntem Weg in den Server ein, verschlüsselten die Daten, löschten die Originale anschließend auf dem Server und hinterließen den Erpresserbrief. Dieser wurde auch auf Wikileaks veröffentlicht:

"I have your shit! In *my* possession, right now, are 8,257,378 patient records and a total of 35,548,087 prescriptions. Also, I made an encrypted backup and deleted the original. Unfortunately for Virginia, their backups seem to have gone missing, too. Uhoh :(For $10 million, I will gladly send along the password."

Der Server ist derzeit nicht mehr erreichbar. Nach Angaben des Virginia's Department of Health Professions sind die Ermittlungsbehörden bereits eingeschaltet. (dab/c't)

Aus: "Cracker fordern 10 Millionen US-Dollar für Patientendatenbank" (05.05.2009)
Quelle: http://www.heise.de/security/Cracker-fordern-10-Millionen-US-Dollar-fuer-Patientendatenbank--/news/meldung/137281

#2 http://voices.washingtonpost.com/securityfix/2009/05/hackers_break_into_virginia_he.html

[Textaris(txt*bot)]

[...] Cyber-Kriminelle klauten vom 9. Oktober bis 9. April personenbezogene Daten von knapp 160'000 Studenten und Eltern, die in den letzten zehn Jahren bei der Universität registriert wurden. Die Sprecherin der University of California at Berkeley bestätigt den Hackerangriff, der sogar auf der offiziellen Uni-Website vermeldet wird.

Den Hackern fielen Sozialversicherungs-Nummern und weitere gesundheitsbezogene Daten in die Hände: Krankenkassenbelege, Blutgruppen sowie Adressen der entsprechenden Hausärzte. Der Systemadministrator entdeckte den Datenklau per Zufall. «Wie es aussieht haben die Hacker Nachrichten für den Systemadministrator hinterlassen, um ihn mit ihrem Einbruch aufzuziehen», sagte Shelton Waggener, Vizerektor für Informations-Technologie. Die Spur der Diebe habe man auf Computer im Ausland zurückverfolgen können – unter anderem nach China. Nun ermittelt das FBI. (ah)

Lorenz Amstutz
11.05.2009, 20:36 Uhr
Kommentar melden

Zum Glück sind ja dann unsere biometrischen Daten ganz sicher gespeichert. Jedenfalls so, dass nur clevere Hacker dahinter kommen. Oder allenfalls korrupte Beamte sie verkaufen können. Tja, so sieht Datensicherheit aus im realen Leben. Aufwachen liebe SchweizerInnen.

...

Beat Hartmann
11.05.2009, 13:30 Uhr
Kommentar melden

Nicht erklärt ist, welches System die Uni verwendet hat, MS Windows, Free BSD, Linux ... und wie der Datendiebstahl konkret zustande kommen konnte.

Thomas Schmid
11.05.2009, 12:58 Uhr
Kommentar melden

Womit wieder mal offensichtlich wird, dass man die zentrale Datenbank für unsere biometrischen Personen-Passdaten und die entsprechende Abstimmungsvorlage ablehnen sollte. Es gibt keine sichere Datenbank....

Aus: "Daten-Gau an der Elite-Universität Berkeley" (11.05.2009)
Quelle: http://bazonline.ch/digital/internet/DatenGau-an-der-EliteUniversitaet-Berkeley/story/19189624

[Textaris(txt*bot)]

[...] Am Mittwoch musste [ ] der Chief Information Officer des Ministeriums für Heimatschutz gegenüber dem Branchendienst Federal Computer Week eingestehen, dass die Internet-Plattform, über die das Ministerium "sensible Daten" mit anderen Behörden austauscht, Ende März und Anfang April gleich zweimal von Unbekannten geknackt worden war.

Gestohlen wurden Datensätze, die Telefonnummern und E-Mail-Adressen von Angehörigen der angeschlossenen Behörden beinhalteten.

...

Aus: "Atomraketen gegen Datensaboteure" (18.05.2009)
Quelle: http://futurezone.orf.at/stories/1603331/

[Textaris(txt*bot)]

[...] Im September 2008 wurden aus dem RAF-Stützpunkt in Innsworth, Gloucestershire, drei Festplatten mit, je nach Quelle, 50.000 bis 70.000 Personaldatensätzen gestohlen. Während Luftwaffe und Verteidigungsministerium diesen Diebstahl mitteilten, verschwiegen sie allerdings, dass sich auf den Festplatten rund 500 Datensätze aus Personalbefragungen für die Zulassung zu höheren Sicherheitsstufen befanden.

Das haben die BBC und die Tageszeitung "The Guardian" am Montag berichtet. Die Datensätze standen zum Transfer ins RAF-Hauptquartier in High Wycombe, Buckinghamshire, bereit.

Diese Dateien, die noch dazu nicht verschlüsselt worden waren, enthielten sehr sensible Details zu den befragten Personen, berichtet die BBC. Bei den Sicherheitschecks wurde nach Details in den Biografien der Kandidaten gefragt, die diese erpressbar machen könnten, etwa nach Vorstrafen, Drogenabhängigkeit, Gesundheitszustand, Schulden und Sexualleben.

Dieser Datenverlust wurde nun bekannt, nachdem sich ein ehemaliger RAF-Offizier auf Grundlage der britischen Transparenz- und Datenschutzgesetze (Freedom of Information Act bzw. Data Protection Act) vom Verteidigungsministerium eine interne Notiz hatte herausgeben lassen, in der die Datensätze und deren Verschwinden dokumentiert sind.

Aus der internen Notiz gehe auch hervor, dass die beteiligten Beamten des Verteidigungsministeriums beschlossen haben, "aufgrund der mangelnden medialen Aufmerksamkeit" den mutmaßlichen Diebstahl der Sicherheitscheck-Daten nicht dem Parlament mitzuteilen. Auch der damalige Verteidigungsminister Des Browne, der allerdings bereits am 3. Oktober von John Hutton abgelöst worden war, sei nicht über den Verlust der 500 Sicherheitsprüfungsdatensätze informiert worden, ebenso wenig die Datenschutzbehörde.

Der "Guardian" zitiert ein Antwortschreiben des Ministeriums, in dem dieses darauf hinweist, dass die betroffenen Personen aus den Sicherheitschecks in Gesprächen unter vier Augen auf den Datenverlust aufmerksam gemacht worden seien. Für die Betroffenen aus den restlichen Datenverlusten sei eine telefonische Hotline eingerichtet worden.

Das Ministerium bestätigte, dass vom Verlust der Sicherheitsprüfungsdaten auch höchste Offiziere betroffen seien. Bisher sei allerdings noch kein Versuch unternommen worden, besagte Personen mit den gestohlenen Daten zu erpressen.

Auch wenn es für die Betroffenen unangenehm ist

cyana, vor 16 Stunden, 12 Minuten

... was Besseres könnte gar nicht passieren, als wenn die RAF durch Erpressung (oder die Furcht davor) nahezu handlungsunfähig wird. Denn eins ist klar: würden diese Daten erst gar nicht gesammelt, könnten sie nicht gestohlen und missbraucht werden. Datenschutz schützt nicht nur die Betroffenen Individuen, sondern auch datenhungrige Institutionen. Vielleicht kommt durch as böse Erwachen jetzt wenigstens die Einsicht, dass die umfassende Paranoia, die unsere Politiker derzeit verbreiten, viel mehr zerstört als sie vermeintlich schützt.

#
da muss man einen Unterschied machen

fenris79, vor 16 Stunden, 4 Minuten

Daten in gewissen Bereichen wie bei der RAF müssen erhoben und gesammelt werden in genau definierten Bereichen ist sowas auch erwünscht und notwendig. Hier ist eher der Umgang mit den Daten das Erschreckende.

Die pauschale Datensammlung über die Bevölkerung ist aber zu 100% zu verurteilen.

worauf ich hinaus wollte

cyana, vor 15 Stunden, 36 Minuten

je mehr Institutionen unkontrolliert Daten sammeln, desto mehr sensible Daten werden entwendet werden. Die rechtlichen Implikationen sind ebenso mannigfaltig (bin ich als Betroffener gegenüber der Institution schadensersatzberechtigt ?) wie die gesellschaftlichen (eine Institution wie die RAF manöviert sich selbst ins Abseits und wird zum Sicherheitsrisiko für das eigene Land) ...

Eine kurze Frage

beart, vor 21 Stunden, 28 Minuten

für welche Sicherheitsüberprüfung der Welt werden die sexuellen Vorlieben abgefragt und gespeichert? Und wer lässt sich sowas gefallen?

Oh, und im übrigen würd ich es sehr begrüßen, wenn der Urheber der Notiz ("aufgrund mangelnden medialen Interesses") aufgrund des jetzt wohl massiven medialen Interesses seinen Schreibtisch ausräumen müsste. ...

Aus: "Datenskandal erschüttert Royal Air Force" (25.05.2009)
Quelle: http://futurezone.orf.at/stories/1603639/

[Textaris(txt*bot)]

[...] Die US-Regierung hat versehentlich einen streng vertraulichen Report über Hunderte zivile Atomanlagen und Atomlabore sowie nukleare Programme veröffentlicht. Das berichten "New York Times" und "Washington Post". Das Dokument beinhalte auch detaillierte Informationen über die Lagerorte von Material für Atomwaffen. Darunter seien auch präzise Landkarten. Der Bericht sei aus zunächst ungeklärten Gründen auf die Website der US-Staatsdruckerei geraten und inzwischen von dort wieder verschwunden.

...

Aus: "USA stellen vertraulichen Atombericht ins Netz" (03.06.2009)
Quelle: http://www.spiegel.de/politik/ausland/0,1518,628221,00.html

[Textaris(txt*bot)]

[...] Zwei Kurierfahrer, die ein Päckchen mit einem Weihnachtsstollen vertauscht und damit in Deutschland im vergangenen Dezember einen bundesweiten Datenskandal ausgelöst hatten, sind vom Frankfurter Amtsgericht am Dienstag zu Geldstrafen verurteilt worden. Einer müsse 720 und der andere 960 Euro zahlen, berichtete ein Gerichtssprecher.

Die Kurierfahrer hatten vor Weihnachten das an die "Frankfurter Rundschau" gerichtete Paket mit dem Christstollen geöffnet. Zur Vertuschung ihres Diebstahls klebten sie dann das Etikett des Stollenpakets auf eine von sechs Sendungen, die für die Landesbank Berlin (LBB) bestimmt waren. Die Daten von über 130.000 Kreditkartenbesitzern landeten so bei der Zeitung. Die Männer hatten nach eigenen Angaben gedacht, es handle sich bei der Sendung um bedeutungslose Briefumschläge. Das Auftauchen der LBB-Daten bei der Zeitung hatte die Debatte über Datenschutz bei privaten Unternehmen angeheizt.

Aus: "Kuriere nach Datenskandal verurteilt" (02.06.2009)
Quelle: http://futurezone.orf.at/stories/1603910/

[Textaris(txt*bot)]

[...]  Ein Sprecher von T-Mobile USA hat zwar die Echtheit der am Wochenende auf der E-Mail-Liste Full Disclosure veröffentlichten Daten bestätigt. Er widersprach aber Behauptungen, wonach sie aus einem Einbruch in T-Mobiles Netzwerk stammen.

Ein unbekannter Hacker hatte erklärt, er sei im Besitz von Datenbanken, vertraulichen Dokumenten, Skripten und Programmen sowie Finanzunterlagen des Anbieters. Die Daten wolle er an den Meistbietenden verkaufen. Als Beweis für seinen Einbruch listete er in seiner Nachricht Programme, Betriebssysteme und IP-Adressen auf.

T-Mobile konnte nach eigenen Angaben inzwischen ein Dokument identifizieren, aus dem die veröffentlichten Daten stammen. Der Datenverlust stelle jedoch keine Gefahr für die Kunden dar. "Wir führen eine gründliche Untersuchung durch", heißt es in einer Erklärung des Unternehmens. "Derzeit haben wir keine Beweise dafür, dass Kundendaten oder andere Informationen aus unserem Netzwerk gestohlen wurden." T-Mobile machte keine Angaben dazu, wie der Hacker an die Daten gekommen ist.

Aus: "Datenleck bei T-Mobile USA" Lutz Poessneck (Mittwoch, 10. Juni 2009)
Quelle: http://www.silicon.de/mobile/wireless/0,39039018,41005195,00/datenleck+bei+t_mobile+usa.htm

[Textaris(txt*bot)]

[...] Unbekannte haben beim Registrar und Hosting-Provider Network Solutions über 500.000 Datensätze mit Kreditkartennummern gestohlen. Offenbar gelang es ihnen in 4,343 dort gehostete Shop-Systeme speziellen Code einzuschleusen, der die Transaktionsdaten klaute.

Der eingeschleuste Code wurde offenbar am 12. März aktiviert und erst am 8. Juni entdeckt. In dieser Zeit konnte er die Details von 573,928 Bezahlvorgängen in Webshops ausspionieren, die die von Network Solutions bereitgestellte Infrastruktur nutzten. Einzelheiten dazu, wie die Angreifer eindringen konnten, sind bislang nicht bekannt.

Da in vielen US-Staaten gesetzlich vorgeschrieben ist, dass betroffene Kunden von solchen Vorfällen benachrichtigt werden müssen, stehen jetzt viele kleine Shop-Betreiber vor beträchtlichen organisatorischen Problemen; nicht zuletzt weil sich die einschlägigen Gesetze von Staat zu Staat unterscheiden. Dabei will ihnen jedoch Network Solutions unter die Arme greifen und bietet an, dies kostenlos über eine darauf spezialisierte Firma namens Trans Union abwickeln zu lassen.

Endkunden, deren Kreditkartendaten gestohlen wurden, bietet Network Solutions an, Transaktionen zwölf Monate kostenlos auf Auffälligkeiten überwachen zu lassen, um Missbrauch rechtzeitig zu entdecken. Dieses Angebot gilt jedoch laut der eigens eingerichteten Info-Seite nur für Kunden in den Vereinigten Staaten. Ob auch Kunden aus anderen Ländern betroffen sind, war bislang nicht in Erfahrung zu bringen. In den Kunden-FAQs steht zwar, dass diese dann ebenfalls durch Trans Union benachrichtigt würden, in den Händler-Infos ist jedoch konsequent nur von "U.S.-based customers" die Rede. (ju/c't)

27. Juli 2009 23:05
Mich wundert die mangelnde Kritik am Beitrag. "Geklaut"?
Ron Jarzombek (mehr als 1000 Beiträge seit 29.01.04)

Die Daten wurden lediglich vervielfaeltigt, es ist (noch) nichts
abhanden gekommen, was soll also die Aufregung????

28. Juli 2009 08:18
Re: Mich wundert die mangelnde Kritik am Beitrag. "Geklaut"?
Ansgar Hellwig, Ansgar Hellwig (637 Beiträge seit 15.03.00)

Trollalarm! Trollalarm!

Aus: "Eine halbe Million Kreditkartendaten bei Network Solutions geklaut" (27.07.2009)
Quelle: http://www.heise.de/newsticker/Eine-halbe-Million-Kreditkartendaten-bei-Network-Solutions-geklaut--/meldung/142614

[Textaris(txt*bot)]

[...] Albert Gonzalez wird von Gerichten in Boston und New York Verschwörung, Betrug und Datendiebstahl vorgeworfen. In Boston soll sich Gonzales nun in 19 Fällen für schuldig erklärt und zugestimmt haben, dass die Anklagen in Boston und New York gemeinsam verhandelt werden. Auch in New Jersey läuft ein Verfahren gegen ihn, das davon allerdings nicht betroffen ist.

Gonzalez wird vorgeworfen, mit Komplizen im großen Stil Kreditkartendaten von US-Handelsketten gestohlen zu haben, die er dann weiterverkauft sowie zur persönlichen Bereicherung genutzt haben soll. In dem Fall in New Jersey werden über 130 Millionen Kreditkartendaten angeführt, in Boston rund 40 Millionen.

Aus: "US-Datendieb bekennt sich schuldig" (29.08.2009)
Quelle: http://futurezone.orf.at/stories/1625627/


-.-

[...] Der 28-jährige Mann, der hinter dem bisher größten aufgedeckten Datendiebstahl in den USA stecken soll, hat sich laut Gerichtspapieren der ihm angelasteten Taten für schuldig bekannt. Ihm drohen bis zu 25 Jahre Haft und fünf Jahre Internet- und Computerentzug nach der Entlassung.

Albert Gonzalez werden von Gerichten in Massachusetts und New York Verschwörung, Betrug und Datendiebstahl vorgeworfen. In Boston soll sich Gonzalez nun in 19 Fällen für schuldig erklärt und zugestimmt haben, dass die Anklagen in Boston und New York gemeinsam verhandelt werden. Auch in New Jersey läuft ein Verfahren gegen ihn, das davon allerdings nicht betroffen ist.

Gonzalez wird vorgeworfen, mit Komplizen im großen Stil Kreditkartendaten von US-Handelsketten wie TJX Cos Inc gestohlen zu haben, die er dann weiterverkauft sowie zur persönlichen Bereicherung genutzt haben soll. In dem Fall in New Jersey werden über 130 Millionen Kreditkartendaten angeführt, in Boston rund 40 Millionen.

Am Freitag fand eine Anhörung statt, bei der Gonzalez knappe Antworten gab. Gonzalez bestätigte, den Namen "Sevgvec" für seine Aktivitäten verwendet zu haben.

Richterin Patti Saris will das Urteil im Dezember verkünden. Davor müsse geklärt werden, wie die Opfer, darunter Banken, Privatpersonen und Einzelhändler, entschädigt werden sollen.

Die Behörden hatten Geld, Computer, eine Handfeuerwaffe und Gonzalez' Eigentumswohnung im Wert von 1,6 Millionen US-Dollar beschlagnahmt.

...

Aus: "US-Datendiebstahl: Verdächtiger erneut verhört" (11.09.2009)
Quelle: http://futurezone.orf.at/stories/1626876/

[Textaris(txt*bot)]

[...] Wie der Hörfunksender NDR Info am Freitag berichtet, wurden ihm 27.000 Datensätze zugespielt. Diese enthielten Kundennummer, Adresse, Telefonnummer, Berufsbezeichnung, Geburtstag und die Vertragsabschlüsse der einzelnen Kunden.

Daraus sei auch ersichtlich, welche Kunden eine Lebensversicherung abgeschlossen und wie viel Geld sie angelegt haben. Zusätzlich gebe der Datensatz Auskunft über die Laufzeit der Verträge. Ein großer Teil der Verträge sei nach wie vor gültig. Wie die Informationen in Umlauf geraten konnten, sei unklar.

Ein AWD-Sprecher bestätigte dem Sender, dass es sich um Daten seines Unternehmens handelt. Zu weiteren Angaben sah sich das Unternehmen noch nicht in der Lage. Aus dem Umfeld des Finanzdienstleisters hieß es laut NDR Info jedoch, dass nur hochrangige Mitarbeiter Zugriff auf eine derart große Menge an Datensätzen hätten. AWD habe mittlerweile Strafanzeige gegen unbekannt gestellt.

Wie der Landesbeauftragte für den Datenschutz in Niedersachsen, Joachim Wahlbrink, mitteilte, hat ihn AWD bereits über den Vorfall informiert. Sollte es sich bestätigen, dass die Daten direkt aus der Firma kamen und nicht etwa durch ein Call-Center in Umlauf gebracht wurden, sei dieser Fall von besonderer Bedeutung.

...

Aus: "Finanzdienstleister AWD wurden Zehntausende Kundendaten entwendet" (16.10.2009)
Quelle: http://www.spiegel.de/wirtschaft/unternehmen/0,1518,655482,00.html

http://de.wikipedia.org/wiki/AWD_Holding

[Textaris(txt*bot)]

[...] Aus anonymer Quelle wurden der Website Netzpolitik.org Listen von zahlreichen SchülerVZ-Nutzern zugeschickt. Ein Satz umfasst mehr als eine Million Datensätze mit den Feldern Profil-ID, Name und dazugehörige Schule samt ID. Ein kleinerer Datensatz zeigt detailliertere Informationen mit den Feldern Profil-ID, Name, Schule samt ID, Geschlecht, Alter und Profil-Bild (einschließlich Link zum Bild) an.

Zwar enthalten die Datensätze keine direkten Kontaktdaten wie E-Mail-Adresse oder Postanschrift. Dies betonte auch SchülerVZ, das den Vorfall mittlerweile bestätigt hat. Markus Beckedahl von Netzpolitik.org betont, dass der Vorfall dennoch keine Bagatelle darstellt:

"Mit den Listen lassen sich einfache Datenabfragen erstellen wie 'alle Schüler aus Berlin', oder 'alle Schülerinnen im Alter von 13, die in Siegen wohnen samt Bild und ihrer Schule'. Man kann sich vorstellen, dass diese Daten nicht aus den Datenbanken von SchülerVZ in einer solchen Größe ausgelesen werden dürfen."

SchülerVZ verlautbarte auch prompt: "Wir haben sofort Maßnahmen ergriffen, um weitere illegale Zugriffe auszuschließen. Die VZ-Netzwerke haben die Datenschutzbehörden umgehend informiert und werden rechtliche Schritte gegen Unbekannt einleiten."

Die gesammelten Daten sind zwar grundsätzlich allen Mitglieder der Community zugänglich und somit öffentlich. In dieser Größenordnung lassen sie sich in endlicher Zeit aber nur automatisch mit einem Crawler zusammentragen. SchülerVZ erklärt allerdings unter "Sicherheit " auf seiner Website: "Deine persönlichen Daten sind auf unseren Servern bestmöglich geschützt. Sie können z.B. nicht von Suchmaschinen wie Google ausgelesen werden und tauchen somit nicht außerhalb vom SchülerVZ auf."

Folglich seien die Daten offenbar mittels einer automatisierten Abfrage über eine ungesicherte Schnittstelle bei SchülerVZ ausgelesen worden, argumentiert Beckedahl. Das weise auf ein großes Sicherheitsloch bei SchülerVZ hin – und dass man aus den Erfahrungen mit StudiVZ vor drei Jahren nichts gelernt habe. Damals wurde bekannt, dass man auf ähnliche Weise aus der StudiVZ-Datenbank viele Informationen aus den Profilen auslesen konnte. Bei SchülerVZ sieht Beckedahl das Problem aber bedrohlicher: "Hier handelt es sich um Kinder und Jugendliche, die einen besonderen Schutzraum brauchen." (gr/c't)

17. Oktober 2009 15:00
*seufz* Jede Datensammlung wird irgendwann mal missbraucht
OS-9 (647 Beiträge seit 27.10.08)

Ist doch bekannt ebenso die einzige immer funktionierende Abwehr
dagegen:

Keine Daten sammeln

17. Oktober 2009 15:39
Äh, na und?
seniler alter Zirkusaffe (mehr als 1000 Beiträge seit 02.10.03)

Nette Profilierungsmöglichkeit für netzpolitik.org, aber so wie's
aussieht doch weder ein "Hack" noch ein Skandal.
Es wurden mit einem Crawler die Daten abgefischt, die ohnehin jedem
Mitglied zugänglich sind. Private Profildaten, die nur dem eigenen
Freundeskreis zugänglich sein sollen, waren nicht betroffen (lese ich
so aus dem Artikel, ich selbst habe dieses Portal noch nie von innen
gesehen).

Was soll *VZ bitte dagegen tun? Grundregel: Alles, was ein Benutzer
kann, kann auch ein Programm. Wenn also für registrierte Mitglieder
sämtliche Fotos und Schulzugehörigkeiten aller anderen Mitglieder
zugänglich sind, das ist das nunmal so. War aber vermutlich auch bei
der Anmeldung klar. Jetzt könnte SchülerVZ ihre Logs durchforsten,
gucken welches registrierte Mitglied die Daten gesammelt und damit
gegen die AGB verstoßen hat, und aufgrund dessen Anzeige erstatten.
Aber dann würden sie wohl sofort wieder einen auf den Deckel kriegen,
weil diese Logs in einer solchen Detailliertheit gar nicht vorhanden
sein dürften.

Verhindern können sie sowas nicht, die jetzige Gegenmaßnahme bremst
einen Crawler lediglich aus, ein Datenschutzgewinn ist das nicht.

Viel Lärm um ganz ganz wenig.

18. Oktober 2009 19:04
Ursel hilf uns!
Lochkartenstanzer (mehr als 1000 Beiträge seit 16.09.03)

Da hat sicher ein Pädophiler eine Datenbank aufgebaut, wo er seine
nächsten Opfer abgreifen kann.

Daher sollte Ursel ganz schnell ein Stoppschild vor SchülerVZ
stellen, damit da nichts mehr passieren kann.

lks

17. Oktober 2009 18:03
Die Ironie der Sache ist ja
tiefschwarz (476 Beiträge seit 02.07.09)

dass es hauptsächlich die Achso-Datenschutzinteressierten betrifft -
handelt es sich doch hier um das Hauptklientel der Piratenpartei.

17. Oktober 2009 15:40
Selber schuld!
Exxtreme2 (168 Beiträge seit 18.10.08)

Wer sich bei sowas anmeldet, der muss damit rechnen, daß die Daten
irgendwannmal geklaut werden.

18. Oktober 2009 13:02
Weltfremde Heise User hier!
oetzi_83 (203 Beiträge seit 03.12.07)

Hackt ihr wirklich auf Kindern und Jugendlichen rum, die ihre Daten
im Internet Preis geben??

Was glaubt ihr eigentlich hättet ihr gemacht, wenn es xyVZ schon
gegeben hätte, als ihr 10-18 Jahre alt gewesen ward?

Jeder der sich ein bischen mit der menschlichen Psyche und
Entwicklung im Allgmeinen auseinander gesetzt hat,sollte wissen, dass
vorallem Kinder und Jugendliche die Konsequenzen ihrer Handlungen
noch gar nicht einschätzen können.

Also hört doch mit diesem dummen Geschwätz hier auf.

Aus: "Über 1 Million Datensätze bei SchülerVZ abgesaugt" (17.10.2009)
Quelle: http://www.heise.de/newsticker/meldung/Ueber-1-Million-Datensaetze-bei-SchuelerVZ-abgesaugt-832232.html

[Textaris(txt*bot)]

[...] DUBLIN taz | "Datenschutz ist wichtig für uns", heißt es auf der irischen Webseite der deutschen Supermarktkette Lidl. In der Praxis scheint das nicht zu funktionieren. Wie der Spiegel gestern berichtete, waren hochsensible Daten auf dem zentralen Server des Unternehmens für jedermann innerhalb des Konzerns vorübergehend zugänglich.

Nicht nur die Umsatzzahlen und Einkaufsplanungen waren einsehbar, sondern auch Abmahnungen, Krankmeldungen sowie die Korrespondenz zwischen dem Unternehmen und den behandelnden Ärzten. Insgesamt handelt es sich um mehr als 200.000 Dokumente.

[...] Ärger mit dem Datenschutz ist Lidl gewöhnt. Vor einem Jahr ist der Discounter in Deutschland wegen der Bespitzelung von Angestellten zur Zahlung eines Bußgeldes in Höhe von 1,5 Millionen Euro verurteilt worden. Und im April fand man die Krankheitsdaten der Lidl-Belegschaft in dem Mülleimer einer Autowaschanlage in Bochum.

...

Aus: "Ungeschützte Personalakten - Offene Datenbanken bei Lidl" VON RALF SOTSCHECK (26.10.2009)
Quelle: http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/offene-daten-bei-lidl/


-.-

[...] Von dem jetzt betroffenen Server soll auch eine Kopie erstellt worden sein, die einem ehemaligen deutschen Lidl-Beschäftigten für das Irland-Geschäft zugespielt wurde. Die Festplatte enthalte mehr als 200.000 Dokumente. Der Mitarbeiter habe nach eigener Darstellung versucht, die Festplatte an Lidl auszuhändigen. Allerdings habe der Konzern kein Interesse bekundet, da die Daten angeblich nicht heikel seien.
 
Doch nun soll Lidl seinen ehemaligen Mitarbeiter aufgefordert haben, den Datenträger bei der Staatsanwaltschaft abzugeben. Um diesem Wunsch Nachdruck zu verleihen, wolle das Unternehmen möglicherweise auch rechtliche Schritte einleiten. (pen/c't)

Aus: "Datenmalheur bei Lidl" (24.10.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenmalheur-bei-Lidl-838404.html

[Textaris(txt*bot)]

[...] Laut Bericht waren im Unterschied zu den 500.000 Rechnungen in den einzelnen Shop aber mehr private und gewerbliche Daten einzusehen. Ursache des erneuten Problems ist, dass Libri nach dem Anlegen eines Kontos für einen Shopbetreiber das Passwort standardmäßig vorbelegt hat und die Kunden dies anschließend nicht änderten.

Laut Libri lässt sich aber nicht mehr feststellen, welcher Händler sein Passwort geändert hat, da diese verschlüsselt gespeichert werden. Aus Sicherheitsgründen hat Libri gestern abend daher alle Passwörter durch neu (und sicher) generierte ersetzt. Künftig wird der Anwender nach dem ersten Login dazu gezwungen, sein Passwort zu ändern.

Erneut stellt sich die Frage, wie das vorherige, unsichere Vergabesystem mit der Zertifizierung des Systems durch den TÜV Süd in Einklang steht.

Frank Rosengart von Chaos Computer Club meint gegenüber netzpolitik.org zu den Vorfällen: "Libri.de hat bewiesen, dass sie nicht einmal über Grundkenntnisse in IT-Sicherheit verfügen. Das Vergeben von solchen Initialpasswörtern darf einfach nicht passieren, und in Kombination mit dem PDF-URL-Dingens muss man leider davon ausgehen, dass personenbezogene Daten bei libri.de nicht gut aufgehoben sind. Das Unternehmen hielt es bisher auch nicht für notwendig, seine Kunden über das Problem zu informieren, was das Mindeste in einer solchen Situation gewesen wäre."

30. Oktober 2009 11:37
Dreiste Email an Partnerbuchhändler
Free Mind (87 Beiträge seit 28.05.09)

Das grenzt an Falschdarstellung, folgendes in Kommentaren zu
http://www.netzpolitik.org/2009/exklusiv-die-libri-shops-der-anderen/
#more-9400 gefunden:

"E-Mail von Libri.de an die Partnerbuchhändler

Liebe Partnerbuchhändler,

gestern hat der Internetblog Netzpolitik.org versucht sich illegal
Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen.
Dies ist ihm in drei Fällen, in denen Buchhändler das initiale
Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres
Passwort ausgetauscht haben, durch systematisches Raten gelungen.

Die drei Buchhändler wurden durch uns informiert. Alle anderen
Buchhändler waren nicht betroffen. Ebenso wurden keine Kundendaten
verbreitet.

Vor diesem Hintergrund haben wir den Partnermanager zentral gesperrt
und die Anmeldemethode so überarbeitet, dass Nutzer des
Partnermanagers technisch gezwungen werden, sich beim ersten Login
ein eigenes sicheres Passwort anzulegen. Zusätzlich wird jetzt
technisch sichergestellt, dass die Passwörter lang genug sind und
eine maschinelle Eingabe unmöglich wird.

In diesem Zusammenhang bitten wir Sie, uns ein Anfoderungsfax mit
Ihrem Firmenstempel und Ihrer Telefonnummer zu schicken, Wir rufen
Sie dann zurück und teilen Ihnen Ihre neuen Zugangsdaten nach
erfolgter Authentifizierung mit. Mit dieser umfassenden Maßnahme
wollen wir zukünftig illegale Zugangsversuche quasi unmöglich machen.

Wir bitten um Ihr Verständnis. Für Rückfragen stehen wir jederzeit
zur Verfügung.

Mit freundlichen Grüßen

Per Dalheimer Petra Gortzewitz

_______________________________________
Petra Gortzewitz I Sales Manager
Libri.de Internet GmbH
Friesenweg 1 I D-22763 Hamburg
Telefon: (040) 8 51 94 – 108 | Telefax: (040) 8 51 94 – 113
Email: pgortzewitz@libri.de
http://www.libri.de
__________________

Geschäftsführung: Per Dalheimer, Dr. Pascal Zimmer
AG Hamburg HRB 75623
Umsatzsteuer ID: DE 812809727
__________________

Kundenservice: service@libri.de

Schneller Versand – über 400.000 Titel innerhalb von 24h lieferbar
Flexible Lieferung – Postversand, Abholung in einer Buchhandlung oder
Download
Auswahl mit Format – über 3 Mio. Bücher, Hörbücher, Downloads & mehr

Libri.de – Bücher I Hörbücher I Downloads"

30. Oktober 2009 11:46
Re: Dreiste Email an Partnerbuchhändler
tervara (509 Beiträge seit 10.12.03)

> Dies ist ihm in drei Fällen, in denen Buchhändler das initiale
> Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres
> Passwort ausgetauscht haben, durch systematisches Raten gelungen.

Ein größeres Armutszeugnis kann man sich selber hinsichtlich der
eigenen IT-(In-)Kompetenz kaum ausstellen...

30. Oktober 2009 17:47
Gefunden bei "Libri"
WeirdKong (43 Beiträge seit 22.05.09)

"Libri.de wurde vom TÜV mit dem Safer-Shopping Zertifikat
ausgezeichnet!"

Verfolgt man den Link zum TÜV-Zertifikat:
"Mit geprüfter Qualität, Sicherheit und Transparenz ist www.libri.de
in hohem Maße vertrauenswürdig."

...

Aus: "Datenleck bei Libri zieht weitere Kreise" (30.10.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenleck-bei-Libri-zieht-weitere-Kreise-846052.html

[Textaris(txt*bot)]

[...] Bei der britischen Telekom-Tochter T-Mobile ist ein Datenskandal aufgedeckt worden. Datensätze tausender Kunden seien von Angestellten an Zwischenhändler verkauft worden, teilte ein Sprecher des Unternehmens mit. Millionen von Einträge – Namen, Adressen, Telefonnummern und zentrale Vertragsinformationen – seien ohne Wissen von T-Mobile weitergegeben worden. Demnach handelte es sich um Kunden, deren Vertrag bald auslief und die die Konkurrenz abwerben wollte.

Die Telekom hatte in den vergangenen Wochen auch mit diversen Datenskandalen in Deutschland zu kämpfen, bei denen ebenfalls Kundendaten der Telekom über Vertriebspartner entwendet und missbraucht wurden.

T-Mobile habe die Telekommunikationsbehörde ICO über den Verstoß gegen das Datenschutzgesetz informiert, "als es offensichtlich wurde, dass Informationen über Vertragsverlängerungen an Dritte weitergegeben wurden", sagte der Sprecher. Die Tochter der Deutschen Telekom bedauere den Diebstahl der Daten "zutiefst". Mit dem Problem der illegalen Datenweitergabe hätten auch Konkurrenten zu kämpfen.

Nach Angaben der Behörde verkauften die Zwischenhändler die Daten an die Wettbewerber der Telekom-Tochter weiter. Es gehe um erhebliche Summen. Gegen die Verdächtigen solle rasch Anklage erhoben werden.

ICO und T-Mobile hatten erst vereinbart, den Datenskandal nicht öffentlich zu machen. ICO-Chef Christopher Graham beschwerte sich jedoch in einer Vorlage an die Regierung, dass das Strafmaß von 5000 Pfund (derzeit 5600 Euro) für Datenverstöße zu gering sei – und nannte in der BBC am Dienstag den Fall als Beispiel. Er wolle keine Namen nennen, um das Gerichtsverfahren nicht zu beeinträchtigen. Alle Mobilfunkanbieter außer T-Mobile bestritten, der Schuldige zu sein.

...

18. November 2009 14:18
Ich freu mich auf die PKW-Maut und Gesundheitskarte ...
lamilu (802 Beiträge seit 25.07.08)

Bankdaten sind, siehe Lichtenstein und jetzt Kreditkarten, schon
lange Allgemeingut. Dank der Vorratsdatenspeicherung und der
öffentlich zugänglichen Kundendaten, wie man heute gerade bei
T-MobileUK wieder sehen kann, ebenfalls öffentliches Gut. Daß die
Bahn Kundendaten und sogar deren Bankverbindungen abgleicht ist auch
nicht neu. Und dank der Arbeitsagentur kann man ebenfalls alle
arbeitslosen HartzIV-Empfänger lokalisieren, man muß sich nur als
personalsuchender Arbeitgeber einmelden.
Ja, momentan gibt es nur noch Wissenslücken bezüglich meiner
Gesundheit, man müßte sich bei meinem Hausarzt einloggen und meiner
PKW-Fahrten - wenn nicht gerade mal in Hessen mein Kennzeichen
gescannt wird, kann ich noch relativ unauffällig rumfahren. Sobald
eine OBU auch bei mir eingebaut ist, wird das Abrechnen der
Steuerpauschale bei der Einkommenssteuer auch viel einfacher. Vor
allem kann ich dann auch bald mit der ersten Personenbezogenen Mails
aufgrund meines Bewegungsprofiles rechnen, die mich gezielt auf am
Wegesrand liegende für mich interessante Zielpunkte hinweisen. Denn
Dank meiner Gesundheitsdaten kann die richtige Wellnesklinik genauso
genannt werden, wie auch der Elektronikmarkt mit den von mir
bevorzugten Geräten. Und dank meiner Spuren im Internet bekomme ich
sogar die Etablisemts genannt welche meine bevorzugten Praktiken
anbieten.

...

Aus: "Datenskandal bei T-Mobile UK" (18.11.2009)
Quelle: http://www.heise.de/newsticker/meldung/Datenskandal-bei-T-Mobile-UK-862340.html

[Textaris(txt*bot)]

[...] das Gesetz zur eAuskunft schreibt vor, dass man nicht nach der Tätigkeit alleine suchen darf. Deshalb fehlt diese Funktion auch in der eAuskunft. Wir haben nach einzelnen Tätigkeiten gesucht, die uns etwas heikel vor kamen. Alleine aus den Suchbegriffen “Prostitution”, “Begleit-Service” (Davon sind manche auch nur Senioren-Begleitung, etc.) und “Erotik” haben wir knapp 1850 Datensätze heraus gefischt.

...

[...] Einzelne Personen, die z.B. legal ein Gewerbe auf Prostitution angemeldet haben, konnten wir auch in sozialen Netzwerken als Privatperson entdecken, wo nichts von ihrer Berufstätigkeit zu finden war. Mit der Liste hätten wir auch problemlos ein Google -Maps Mash-Up bauen können, wo auf einer Berliner Landkarte die Standorte aller legal angemeldeten Prostituierten angezeigt werden.

...

#  Simon
Dez 13th, 2009 @ 11:27

Was ist an Prostitution so schlimm? Das ist ein anerkannter Beruf und die Kundschaft ist hoch. Viele Manager und Politiker nehmen die Dienste von Prostituierten in Anspruch.

#  sm
Dez 13th, 2009 @ 23:05

... Dass Betriebe sich der Veröffentlichung entziehen können, wäre für mich eher der Skandal als diese Sache hier.

#  Marc
Dez 13th, 2009 @ 11:40

...

Transparenz heißt nicht, dass man seine Daten überall herumschleudern muss … Oder es zulassen muss.

#  Nimsa
Dez 13th, 2009 @ 12:40

@sm

Das Problem ist, daß die Tätigkeitsbeschreibung nicht im Wissen abgegeben wird, daß diese im Web erscheint, resp. dort durchsuchbar ist. Da stehen echt die kuriosesten Sachen drin. Ist ja nur für die Verwaltung gedacht.

Aus: "Datenleck bei der Berliner Online-Gewerbeauskunft"
von markus um 10:00 am Sonntag, 13. Dezember 2009
Quelle: http://www.netzpolitik.org/2009/datenleck-bei-der-berliner-online-gewerbeauskunft/


-.-

[...] Bei der Berliner Online-Gewerbeauskunft gibt es laut einem Bericht des Online-Magazins Netzpolitik.org eine Datenpanne, von der rund 350.000 Unternehmen betroffen sind. Kritisiert wurde das "riesige Datenleck" am Sonntag auch von der Grünen-Fraktion im Berliner Abgeordnetenhaus. Die Senatsverwaltung für Wirtschaft hat unterdessen angekündigt, das Problem zu prüfen.

"Mit nur geringem Aufwand wurde jetzt die gesamte Gewerbeauskunft ausgelesen und die Daten Netzpolitik.org zugespielt", sagte der Grünen-Sprecher für Datenschutz, Benedikt Lux, am Sonntag in einer Pressemitteilung. So sei etwa die Datenbankrecherche nach Tätigkeitsfeld möglich, was laut Gewerbeordnung nicht erlaubt sei. In bestimmten Gewerbebereichen – etwa bei erotischen Dienstleistungen – sei das heikel. Zudem könnten die Angaben mit anderen Daten im Netz verknüpft werden. Lux zufolge wäre es "ein Leichtes gewesen, Sicherungen gegen das automatische Auslesen von Datenbanken einzubauen".

Das Magazin Netzpolitik.org hat die Senatsverwaltung für Wirtschaft auf das Problem hingewiesen. "Wir nehmen die Datensicherheit sehr ernst und werden den Fall genau prüfen", sagte Sprecher Stephan Schulz am Sonntag. Die Hinweise seien seit Freitag bekannt. Schulz hofft, in der kommenden Woche genauere Aussagen machen zu können. Die Datenbank werde aber vorerst nicht vom Netz genommen. (dpa) / (anw)

Aus: "Bericht: Datenpanne bei Berliner Gewerbeauskunft" (14.12.2009)
Quelle: http://www.heise.de/newsticker/meldung/Bericht-Datenpanne-bei-Berliner-Gewerbeauskunft-884550.html

[Textaris(txt*bot)]

[...] Unbekannte Täter haben sich Zugriff auf die Datenbestände des Mailing-Dienstleisters AWeber Communications verschafft. Kurz vor Weihnachten gestand das Unternehmen aus dem US-Bundesstaat Pennsylvania den Lesern seines Blogs, dass vermutlich eine Bande aus Übersee Listen von E-Mail-Adressen abgegriffen habe, die AWeber-Kunden für deren Newsletter-Aussendungen hinterlegt hatten.

Wann und wie lange die nach eigenen Angaben inzwischen geschlossene Sicherheitslücke existierte, ließ AWeber offen. Das eigene Versandsystem sei nicht missbraucht worden. Man habe jedoch Hinweise darauf erhalten, dass bereits einige der ehemals intern vorgehaltenen Mailadressen zum Ziel von Spam-Aussendungen Dritter geworden seien. Laut AWeber sind ausschließlich Mailinglisten betroffen, also E-Mail-Adressen von Werbeempfängern, und keinerlei andere persönliche Daten wie Kreditkartennummern. Auch die Daten der Auftraggeber seien nicht in falsche Hände geraten, beruhigt das Unternehmen seine Kunden.

Dennoch dürfte denen nun eine unruhige Zeit bevorstehen. Sie müssen den Empfängern der eigenen Mailings erklären, warum sie eventuell plötzlich ganz andersartige und viel mehr Werbung erhalten. Wie viele Mail-Anwender letztlich betroffen sind, ist noch offen. Die Branchenbeobachter von Deliverability.com vermuten, dass es sich um den bisher schwerwiegendsten Fall dieser Art handelt. (un)

30. Dezember 2009 04:41
@Heise.de macht mal einen Einkauf bei www.conrad.de, dort schiebt
ma. (67 Beiträge seit 08.08.07)

man dem Kunden Vertragsklauseln unter, die das Abfließen der Daten
heimtückisch legalisieren.

Während beim Einloggen/Adresseingabe noch mit
"Ihre persönlichen Daten werden SSL-verschlüsselt übertragen und
nicht an Dritte weitergegeben." der Kunde beruhigt wird,
nickt der Kunde unfreiwillig in den AGB dann den Verkauf seiner Daten
ab:

"13.3
Wir behalten es uns vor, anderen Unternehmen in zulässiger Weise Ihre
Daten zur postalischen Versendung von Informationsmaterial zu
überlassen und behalten uns vor, diese postalisch auch zu eigenen
Werbezwecken zu nutzen. ..."

Verärgert habe ich conrad.de zum Löschung meiner Daten aufgefordert.
Das hat man dann angeblich auch gemacht.
Jedoch, ein Einkauf nach 2 Monaten in einem  Conrad-Geschäft vor Ort
zeigte dann, dass meine Daten sehr wohl noch in der Conrad-EDV sind.

Vielleicht haben Sie ja Lust das Kundenunfreundliche Verhalten von
Conrad öffentlich zu machen.

30. Dezember 2009 06:46
Re: @Heise.de macht mal einen Einkauf bei www.conrad.de, dort schiebt
Doronava (mehr als 1000 Beiträge seit 05.11.02)

Deine Kundendaten dürfen die nicht einfach
löschen. Auch wenn du das 100x verlangst.

Denn wie du vielleicht weisst, muss ein
Unternehmen(und nicht nur) alle geschäftlichen
Vorgänge und Unterlagen(und dazu gehören eben
auch alle Käufe die du bei Conrad getätigt
hast...inkl. deiner Kundendaten) bis zu
10 Jahre aufbewahren.
Das ist gesetzlich vorgeschrieben.
Damit der Fiskus überprüfen kann, ob Conrad
auch schön brav und korrekt seine Steuern zahlt.

Du kannst nur der Weitergabe deiner Daten an
Dritte widersprechen und dir unerwünschte Werbung
verbitten. Ansonsten hilft nur:  10 Jahre lang nix
mehr bei Conrad kaufen...dann verschwindest du von
ganz  alleine aus deren Datenbestand.

Und das ist nicht nur bei Conrad so, sondern bei *jeder*
Firma, bei der du mal irgend einen Geschäftsvorgang
ausgelöst hast.Und sei es auch nur der Supermarkt um
die Ecke, bei der du einen Einkauf mit deiner EC-Karte
bezahlt hast. Auch dort bist zu 10 Jahre lang gespeichert.

30. Dezember 2009 14:38
welche Weitergabe ist denn "zulässig"?
bgks (mehr als 1000 Beiträge seit 10.02.03)

> Ja, ist aber doch schon ein Ding, dass man da erst widersprechen
> muss, oder? Ich finde generell, da läuft was falsch.

findet der Gesetzgeber ganz generell auch, was das "in zulässiger
Weise" auf in etwa null reduziert. Genau deswegen mußt du da nicht
extra widersprechen. Ist in gewisser Weise technikermäßig
überkorrekt, daß sie überhaupt fragen.

Aus: "Marketing-Dienstleister ließ Daten abfließen" (29.12.2009)
Quelle: http://www.heise.de/newsticker/meldung/Marketing-Dienstleister-liess-Daten-abfliessen-893650.html

[Textaris(txt*bot)]

[...] Es geht um einen der größten Datenskandale in der Geschichte Deutschlands. Als die WirtschaftsWoche im Dezember 2008 aufdeckte, dass auf dem Schwarzmarkt die Daten und Kontoverbindungen von 21 Millionen Deutschen vagabundieren, gab es erste Hinweise auf gravierende Lücken bei der Deutschen Telekom (WirtschaftsWoche 50/2008). Inzwischen gehen Experten davon aus, dass große Teile des Datenbestandes des Konzerns in Deutschland – 39 Millionen Mobilfunk-, 27 Millionen Festnetz- und 11 Millionen Internet-Kunden – in irgendeiner Form in dubiose Hände geraten sind. Der Diebstahl und Missbrauch von 20 Millionen Kundendaten ist bereits Gegenstand von Ermittlungen der Staatsanwaltschaft Bonn.

...

Aus: "Deutsche Telekom  Telekom-Skandale: Die Ermittlungsakten der Staatsanwälte" (11.01.2010)
Michael Kroker (Düsseldorf), Jürgen Berke (Düsseldorf)
Quelle: http://www.wiwo.de/unternehmen-maerkte/telekom-skandale-die-ermittlungsakten-der-staatsanwaelte-418662/

[Textaris(txt*bot)]

FRANKFURT/BERLIN (dpa) [...] Nach Recherchen des TV-Magazins hatte die Krankenkasse eine externe Firma mit der Betreuung ihrer Telefonhotline betraut. Diese habe ein Subunternehmen angeheuert, das ungelernte Hilfskräfte beauftragte. Die Hilfskräfte hätten von privaten Computern oder Laptops unter anderem medizinische Diagnosen abrufen und speichern können. Der Datenschutzbeauftragte Schaar sagte dem Magazin, bei der Krankenkasse sei beim Schutz personenbezogener Daten offensichtlich vieles versäumt worden. Ein so leichtfertiger Umgang mit Sozialdaten sei ihm noch nicht untergekommen.

Die BKK Gesundheitskasse hat nach eigenen Angaben die Staatsanwaltschaft eingeschaltet. Ein unbekannter Mann habe in der vergangenen Woche telefonisch Unterlagen zum Kauf angeboten, sagte der Sprecher der Kasse. Konkrete Angaben zu den Daten seien nicht gemacht worden. Der Mann habe damit gedroht, die Unterlagen zu veröffentlichen. Auf das Angebot sei man jedoch nicht eingegangen, so der Sprecher. Wie viel Geld der Unbekannte fordert, sei nicht bekannt.

Ob tatsächlich Daten in unbefugte Hände gelangt sind, sei derzeit nicht bewiesen. Allerdings habe die Krankenkasse der Firma, die mit der Betreuung der Telefonhotline beauftragt war, den Zugang zu ihrem Rechner am Dienstag entzogen. Das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte und das Bundesversicherungsamt seien informiert worden.

Aus: "Offenbar großes Datenleck bei BKK Gesundheitskasse" (Ärzte Zeitung, 11.02.2010)
Quelle: http://www.aerztezeitung.de/praxis_wirtschaft/recht/article/588250/offenbar-grosses-datenleck-bkk-gesundheitskasse.html

[Textaris(txt*bot)]

[...] In Lettland ist eine gigantische Datensicherheitslücke bei der staatlichen Steuerbehörde aufgeflogen. Laut einem Fernsehbericht könnten Millionen sensibler Datensätze in die Hände von Internet-Kriminellen geraten sein.

Der lettische Wirtschaftsminister Einars Repse erklärte das Leck am Montag für gestopft und versprach Aufklärung. Am Mittwoch will sich das Nationale Sicherheitskomitee in Riga mit der Affäre beschäftigen.

...

Aus: "Datenleck bei lettischem Finanzamt - Freier Web-Zugriff auf Millionen Steuerdatensätze" (16.02.2010)
Quelle: http://futurezone.orf.at/stories/1639483/

[Textaris(txt*bot)]

[...] In Deutschland sollen rund 200.000 vertrauliche Kundendaten des Telekommunikationsanbieters Vodafone und weiterer Firmen über dubiose Callcenter-Betreiber auf dem Schwarzmarkt gelandet sein.

Die Daten stammten aus dem Jahr 2000 und umfassten Name, Adresse und Telefonnummer, berichtete das Wirtschaftsmagazin "Capital" unter Berufung auf Ermittlungen der Staatsanwaltschaft Bonn. Informationen über Kontodaten seien nicht in Umlauf gekommen. Datenlecks gab es "Capital" zufolge auch beim Kabelnetzbetreiber Unitymedia. Der Bonner Oberstaatsanwalt Fred Apostel bestätigte dem Magazin, dass "verschiedene Telekommunikations- und Kabelnetzanbieter betroffen" seien.

Vodafone Deutschland räumte dem Bericht zufolge ein, von den Behörden schon im November 2009 über den Datenklau informiert worden zu sein. Man habe aber bisher nichts unternommen, da die Datensätze bisher nicht übermittelt worden seien. Daher konnten betroffene Kunden nicht durch Vodafone informiert werden." Es handelt sich um Daten der Arcor AG, die 2008 von Vodafone übernommen wurde.

Dem Magazin zufolge sei zudem heikel, dass nicht die Strafverfolgungsbehörden, sondern die Deutsche Telekom den Datenmissbrauch entdeckte. Die Ermittler hatten dem Konzern Stichproben der sichergestellten Datensätze zur Prüfung zugeschickt. Erst dabei fiel auf, dass darunter auch Kunden der Wettbewerber waren. "Wir sind davon ausgegangen, dass es sich ausschließlich um Telekomdaten handelt", erklärte Staatsanwalt Apostel.

Im Oktober 2008 war der bisher größte Datenklau bei der Telekom bekanntgeworden. Dort waren im Jahr 2006 Datensätze von 17 Millionen Mobilfunkkunden entwendet worden. Der Konzern hatte damals zwar die Staatsanwaltschaft eingeschaltete, die Betroffenen aber nicht informiert.

Aus: "Datenlecks auch bei Vodafone" (15.03.2010)
Quelle: http://futurezone.orf.at/stories/1641798/

http://www.capital.de/unternehmen/100028948.html

[Textaris(txt*bot)]

[...] Unbekannte sollen aus der Konzernzentrale des Flugzeugbauers Airbus tragbare Computer mit sensiblen Daten gestohlen haben. Die Diebe drangen nachts bei dem Unternehmen im französischen Toulouse ein und entwendeten zwei Laptops, berichtete die Zeitung Le Parisien. Auf ihnen sollen sich unter anderem Baupläne und Daten zu den Flugzeugmodellen A330, A340 und A350 befunden haben.

Nach Informationen der Zeitung ist der französische Inlandsgeheimdienst DCRI eingeschaltet. Industriespionage könne nicht ausgeschlossen werden, berichtet das Blatt. Airbus hat sich dazu bislang nicht geäußert. (dpa) / (anw)

Aus: "Bericht: Unbekannte stehlen sensible Airbus-Daten" (11.04.2010)
Quelle: http://www.heise.de/newsticker/meldung/Bericht-Unbekannte-stehlen-sensible-Airbus-Daten-974970.html

[Textaris(txt*bot)]

[...] Hamburg - Die Hamburger Wochenzeitung "Die Zeit" informierte Abonnenten, dass ihre Kundendatenbank gehackt wurde. Namen, Adressen, Kontodaten von sogenannten Premium-Kunden wurden ausspioniert.

Der Verlag will die Daten nun "vor weiteren Zugriffen gesichert" haben. (red/DER STANDARD; Printausgabe, 11.10.2010)

...

Aus: "Abonnenten-Datenbank der "Zeit" gehackt" (10. Oktober 2010)
Quelle: http://derstandard.at/1285200488355/Spionage-Abonnenten-Datenbank-der-Zeit-gehackt

[Textaris(txt*bot)]

[...] Die für Sicherheit im Luftverkehr zuständige US-Behörde TSA (Transportation Security Administration) verbürgt sich für die Datensicherheit ihrer Körperscanner. Bilder, welche von den Scannern an US-Flughäfen von Passagieren während der Sicherheitskontrollen aufgenommen werden, "werden automatisch vom System gelöscht, sobald sie von einem Sicherheitsbeamten freigegeben werden", so das TSA-Reglement. Der US-Tech-Blog Gizmodo hat nun aber herausgefunden, dass diese Regel wohl nicht überall praktiziert wird. Ausgerechnet die Sicherheitsbeamten eines Gerichtsgebäudes haben Tausende solcher Bilder archiviert.

Die für den Betrieb der Sicherheitsschleusen zuständigen U.S. Marshals hatten ihren Fauxpas bereits im August eingestanden. Insgesamt seien rund 35.000 Scannerbilder eines Nacktscanners an einem Gericht in Orlando in Florida gespeichert worden, hieß es in einer Erklärung. Warum, ist nach wie vor unklar - es könnte an einer Fehlbedienung oder aber an falschen Voreinstellungen des entsprechenden Scanners liegen. Dass diese Bilder nun auch öffentlich werden, war jedenfalls nicht vorgesehen. Laut dem Tech-Blog Gizmodo sind die Fotos über eine Anfrage nach dem Freedom of Information Act (FOIA) publik geworden. Der FOIA gesteht US-Bürgern das Recht zu, alle von öffentlichen Einrichtungen gesammelten Daten einzusehen.

...

Aus: "Streit um Körperscanner - Hundert nackte Amerikaner im Netz" (17.11.2010)
Quelle: http://www.spiegel.de/netzwelt/gadgets/0,1518,729591,00.html

[Textaris(txt*bot)]

[...] Die Online-Datenbank eines Sheriffs aus Colorado war durch ein Versehen vom April bis zum 24. November ungeschützt im Netz erreichbar. Nach Behördenberichten sollen in dieser Zeit die Identitäten von geheimen Informanten aus dem Drogenmilieu sowie Telefonnummern und Adressen von Tatverdächtigen, Geschädigten und Zeugen frei zugänglich gewesen sein. Aufgefallen war das Datenleck erst, nachdem einige Betroffene zufällig ihre Namen im Internet gefunden hatten.

Von der Datenpanne sind möglicherweise rund 200 000 Personen betroffen. Nun soll eingehend überprüft werden, ob durch die Panne jemand in Gefahr gebracht worden ist. Das FBI will zusammen mit Google untersuchen, wer auf die Daten zugegriffen haben könnte.

...

Aus: "Datenbank eines US-Sheriffs war monatelang frei zugänglich" (11.12.2010)
Quelle: http://www.heise.de/newsticker/meldung/Datenbank-eines-US-Sheriffs-war-monatelang-frei-zugaenglich-1151580.html

[Textaris(txt*bot)]

[...] Kriminelle haben vergangenen Samstag die Website der US-Sicherheitsfirma Barracuda Networks gehackt und dabei Kunden- und Mitarbeiterdaten entwendet, wie das Unternehmen berichtet. Die Eindringlinge haben die Datenbank als Beweis auszugsweise veröffentlicht. Barracuda hat sich auf Absicherung von Servern und Webapplikationen spezialisiert und ist nach eigenen Angaben "der weltweite Marktführer für E-Mail- und Web-Sicherheit".

Der Einbruch gelang durch eine SQL-Injection-Lücke in einem PHP-Script, das für die Darstellung der Kundenreferenzen verantwortlich ist. Unter den gestohlenen Daten befinden sich neben Namen und Mailadressen auch Passwort-Hashes, welche laut Barracuda jedoch gesalzen seien und somit nur mit erheblichem Aufwand zu knacken sind.

Das Unternehmen berichtet, dass der Webauftritt zwar von der firmeneigenen Web Application Firewall geschützt werde, diese jedoch für Wartungsarbeiten am Abend vor dem Angriff heruntergefahren wurde. Der Angreifer hat ein Script eingesetzt, das über die Dauer von zwei Stunden Anfragen an den Server schickte, ehe es schließlich die verwundbare Stelle entdeckte. Sicherheitsdienstleister sind offenbar ein besonders reizvolles Angriffsziel – auch HBGary, RSA und Comodo musste vor Kurzem dran glauben. (rei)

Aus: "Datendiebstahl bei Netzwerk-Sicherheitsfirma" (12.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datendiebstahl-bei-Netzwerk-Sicherheitsfirma-1226365.html

[Textaris(txt*bot)]

[...] Rund eine Woche, nachdem Sony sein Playstation Network und den Video- und Musikservice Qriocity abgeschaltet hat, gab der Elektronikkonzern am Dienstagabend in seinem offiziellen Playstation-Blog eine Erklärung zu dem Vorfall ab. Hatte Sony bislang zuvor lediglich von einem "externen Eingriff" gesprochen, teilte das Unternehmen nun mit, dass man davon ausgehe, dass sich zwischen dem 17. und 19. April 2011 eine "unbefugte Person" Zugriff auf die persönlichen Daten der Nutzer der genannten Netzwerke verschaffen konnte – darunter auf deren Namen, Anschrift und Geburtsdatum sowie Log-in und Passwort. Darüber hinaus könne es laut Sony möglich sein, dass auch die Profilangaben inklusive Kaufhistorie und Rechnungsanschrift sowie die Sicherheitsfragen zum Passwort widerrechtlich abgerufen wurden.

Damit nicht genug, schließt Sony auch nicht aus, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurde.

... Laut Sony nutzen 77 Millionen Kunden in 59 Ländern das PlayStation Network, davon rund 32 Millionen in Europa. Experten sprechen bei dem nun erfolgten Angriff bereits von einem der schwersten Datendiebstähle der vergangenen Jahre ...

(nij)

Aus: "PSN-Hack: Persönliche Daten von Millionen Kunden gestohlen" (27.04.2011)
Quelle: http://www.heise.de/newsticker/meldung/PSN-Hack-Persoenliche-Daten-von-Millionen-Kunden-gestohlen-1233136.html

[Textaris(txt*bot)]

[...] Nachdem unbekannte Hacker am 10. Mai 360.083 Kundendaten von den US-Servern der Citibank mittels eines simplen URL-Tricks erbeutet hatten, haben die Einbrecher nun damit begonnen, die Konten der Betroffenen zu plündern. Wie das Wall Street Journal meldet, seien inzwischen 3.400 Konten um insgesamt 2,7 Millionen US-Dollar erleichtert worden.

Bei dem Einbruch hätten die Angreifer laut Citigroup Namen, Kontonummern, Mailadressen und Kaufhistorien von fast 2 Prozent der rund 21 Millionen Kreditkartenkunden in Nordamerika erbeutet. Dazu nutzten sie eine Lücke im Webserver aus, der den Zugriff auf Kontodaten über eine simple Änderung der URL ermöglichte. Obwohl die Hacker angeblich weder auf die rückseitigen Sicherheitscodes der Kreditkarten, Sozialversicherungsnummern noch Geburtsdaten Zugriff gehabt hätten, konnten sie von den bis jetzt betroffenen Konnten durchschnittlich fast 800 US-Dollar abheben. Die Citigroup hatte den Einbruch bei einer Routine-Kontrolle bemerkt und erst am 8. Juni öffentlich bekannt gegeben. Sie kündigte an, für den Schaden aufkommen zu wollen. Insgesamt sollen mit 217.657 aber nur rund zwei Drittel der betroffenen Kreditkarten neu ausgestellt werden. (hag)

 

Aus: "Datendiebe erbeuten 2,7 Millionen US-Dollar von Citibank-Kunden" (26.06.2011)
Quelle: http://www.heise.de/newsticker/meldung/Datendiebe-erbeuten-2-7-Millionen-US-Dollar-von-Citibank-Kunden-1268108.html

[Textaris(txt*bot)]

[...] Die "No Name Crew", die vor Kurzem vertrauliche Daten über das GPS-Ortungssystem "Patras" der Zollfahndung veröffentlicht hat, droht mit der Veröffentlichung eines weiteren Datenpakets. Das soll am 28. Juli um Mitternacht erfolgen, im Visier ist angeblich ein Ziel auf Bundesebene. Angeblich befinden sich unter den Daten vertrauliche wie Mails der Behörden. Nach eigenen Angaben haben die Hacker "seit einiger Zeit die volle Kontrolle über den zentralen Downloadserver der Bundespolizei" und konnten über den Zeitraum von einem Jahr den Netzwerkverkehr von Bundeskriminalamt, Bundespolizei und Zoll mitschneiden.

Um sich vor Verhaftungen zu schützen, haben die Hacker nach Wikileaks-Manier ein 717 MByte großes verschlüsseltes Archiv ins Netz gestellt. Die Kriminellen drohen, dass ein Automatismus das Passwort zu dem Archiv publik macht, sollte ein Mitglied der Gruppe verhaftet werden. Dies könnte jetzt der Fall sein, denn das Landeskriminalamt NRW meldet am heutigen Montag, dass ein 23 Jahre alter Deutscher wegen des Verdachts des Ausspähens von Daten, der Datenveränderung und der Computersabotage festgenommen wurde. In seiner Wohnung wurden Beweismittel sichergestellt. Laut Focus Online sind insgesamt die Identitäten dreier mutmaßlicher Mitglieder bekannt.

Derzeit ist das vom BSI betriebene Cyber-Abwehrzentrum mit der Analyse des Falls beschäftigt. Dass die Angreifer im Besitzer weiterer brisanter Daten sind, konnte auch Matthias Gärtner vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber heise Security nicht ausschließen. Focus Online zitiert einen ranghohen Sicherheitsbeamten mit der Befürchtung, dass hunderte geheime Ermittlungsverfahren im Internet auftauchen könnten.

Laut der geheimen Ermittlungsakten, die dem Magazin vorliegen, gelang der Zugriff durch Versäumnisse bei der Bundespolizei-Kaserne in Swisttal-Heimerzheim (NRW). So nutzte die Behörde aus Kostengründen die Apache-Komplettinstallation XAMPP. Das Paket soll Anfängern und Fortgeschrittenen einen einfachen Einstieg in die Welt von Apache ohne große Konfigurationshürden bieten. Die XAMPP-Entwickler warnen jedoch ausdrücklich, dass die Standardeinstellungen nicht für den produktiven Einsatz geeignet sind: "XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. […] XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktionsbetrieb geeignet."

Darüber konnten die Angreifer mindestens 42 Trojaner auf den Systemen der Behörden deponieren. Das BSI äußerte gegenüber Focus Online, dass es bereits seit Herbst vergangenen Jahres Zugriffe auf die Infrastruktur von ZKA und Bundespolizei gibt, die man der No Name Crew zuordnen könne. (mit Material von dpa) (rei)

18. Juli 2011 14:39
Aus dem Tag der offenen Tür bei den Bullen ...
BasisDemokrat (mehr als 1000 Beiträge seit 29.10.00)

... ist inzwischen das Jahr der heruntergelassenen Hose geworden.

Schon aus diesem Grund darf es nie so etwas wie die
Vorratsdatenspeicherung geben. Denn es ist schlimm genug für die
Betroffenen, wenn die im Rahmen von Ermittlungsverfahren gesammelten
Daten irreversibel in die Öffentlichkeit gelangen. Was passiert, wenn
Arbeitgeber, Vermieter, politische Gegner etc. diese Daten in die
Finger bekommen?

Schönen Tag wünscht
BasisDemokrat

18. Juli 2011 14:47
Ach hätte man doch Stoppschilder …
dedlfix (54 Beiträge seit 31.08.02)

… vor die Server gestellt, dann wäre das alles nie und nimmer nicht
passiert.

18. Juli 2011 16:09
"Laut der geheimen Ermittlungsakten, die dem Magazin (Focus) vorliegen"
Exkanzler

Ich bin beeindruckt, wie dehnbar das Wort "geheim" wohl sein muss.

Aus: "Verhaftung und weitere Drohungen im Fall der Polizei-Hacker" (18.07.2011)
Quelle: http://www.heise.de/security/meldung/Verhaftung-und-weitere-Drohungen-im-Fall-der-Polizei-Hacker-1280743.html