• Welcome to COMMUNICATIONS LASER #17. Please log in.

[Datenlecks, Datenpannen und Identitätsdiebstahl...]

Started by Textaris(txt*bot), June 09, 2005, 11:49:19 AM

Previous topic - Next topic

0 Members and 4 Guests are viewing this topic.

Textaris(txt*bot)

Quote[...] Unbekannte sind durch eine Sicherheitslücke in das IT-System des Versandhändlers Conrad Electronic eingedrungen. Dadurch hätten die Angreifer offenbar über Monate hinweg Zugriff auf fast 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank nehmen können, teilte die Conrad Electronic SE mit. Es gebe aber keine Hinweise darauf, dass die Hacker die Daten tatsächlich abgegriffen und missbraucht hätten.

Kreditkarteninformationen und Kundenpasswörter seien nicht kompromittiert worden. Vielmehr handelte es sich Conrad zufolge um Postadressen, teilweise E-Mail-Adressen sowie Fax- und Telefonnummern und bei einem Fünftel der Datensätze auch um Bankverbindungen (IBANs). Die Sicherheitslücke, die den Zugang ermöglichte, sei inzwischen geschlossen sowie weitere Vorkehrungen getroffen worden.

Die Conrad-Gruppe hat eigenen Angaben nach Strafanzeige beim Landeskriminalamt gestellt und das das Bayerische Landesamt für Datenschutzaufsicht informiert. Das Oberpfälzer Familienunternehmen rät Kunden trotzdem zu Vorsicht – vor allem, wenn diese E-Mails mit Anhängen erhielten. Es hat eine Internetseite eingerichtet, wo Kunden sich informieren und Fragen stellen können. "Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung", erklärte Conrad-Chef Werner Conrad. (Mit Material der dpa) / (axk)


Aus: "Unbekannte dringen in Server von Conrad Electronic ein" Axel Kannenberg (19.11.2019)
Quelle: https://www.heise.de/newsticker/meldung/Unbekannte-dringen-in-Server-von-Conrad-Electronic-ein-4591326.html

Textaris(txt*bot)

Quote[...] Ein Vertriebsnetz für Porno-Websites, die sich auf kostenpflichtige Streams von Live-Kameras spezialisiert haben, hat eine riesige Sammlung mit hochsensiblen Daten der beteiligten Sexarbeiterinnen und Sexarbeitern frei im Internet zugänglich aufbewahrt. Das Affiliate-Unternehmen mit dem vielsagenden Namen "PussyCash" hat in einem offenen S3-Bucket in der Amazon-Cloud eine Sammlung persönlicher Daten samt Bildern von über 4000 Beteiligten vorgehalten. Das haben Security-Spezialisten von vpnMentor aufgedeckt.

Der knapp 20 Gigabyte große Objektspeicher des Amazon-Cloud-Dienstes Simple Storage Service (S3) enthielt laut dem Bericht von vpnMentor mehr als 875.000 Dateien, darunter Videos, Marketingmaterialien, Screenshots von Videochats sowie ZIP-Archive mit gesammelten Daten zu jeweils einer dort tätigen Personen. Enthalten sind Fotos bzw. Scans von Pässen, Personalausweisen, Führerscheinen, US-Militärausweisen, Sozialversicherungsausweisen, Kreditkarten, Eheschließungs- und Geburtsurkunden – also nahezu alle Dokumente, die eine moderne bürgerliche Existenz vollständig enthüllen.

Doch damit nicht genug: Enthalten waren in dem Leak außerdem die gescannten Verträge, in denen die Frauen und Männer bei dem Affiliate-Netz als "Models" beschäftigt werden, sowie schematische Körperdarstellungen mit etwaigen Piercings, Tattoos und Narben samt Angaben zu diversen Körpermaßen. Manche der "Models" hielten ihre Ausweise auch selbst ins Bild. Betroffen sind Sexarbeiter aus zahlreichen Ländern in aller Welt. Wie vpnMentor schreibt, sind manche Daten 15 bis 20 Jahre alt, andere erst wenige Wochen. Die Inhalte stammen demnach hauptsächlich von der LiveCam-Website imlive.com, andere Daten verweisen jedoch auf den Eigentümer des S3-Bucket, das Affiliate-Unternehmen "PussyCash", das auf seiner Website selbst keine pornografischen Inhalte anbietet.

Die Security-Spezialisten fanden die offene Datensammlung am 3. Januar und informierten am folgenden Tag "PussyCash" sowie das zugehörige Unternehmen "ImLive". Da es zunächst keine Reaktion gab, setzten sie am 7. Januar Amazon in Kenntnis – am selben Tag reagierte dann auch "ImLive" und teilte mit, man werde sich um die Angelegenheit kümmern und sie an das Technikteam von "PussyCash" weiterreichen. Zwei Tage später war der S3-Bucket nicht mehr offen zugänglich. Von "PussyCash" hat vpnMentor bislang keine Antwort erhalten, auch nicht von dessen Datenschutzbeauftragtem.

Der Eigentümer beider Unternehmen hat seinen Sitz in Andorra – da dieser Staat kein EU-Mitglied ist, greift hier die EU-Datenschutzgrundverordnung nicht. Durch diese könnten Behörden derartige Datenschutzverstöße mit teils empfindlichen Geldbußen ahnden.

Im November vergangenen Jahres hatten offen zugängliche Logdateien eines spanischen Betreibers von Porno-Websites die Identität von Millionen Betrachtern und der Sexarbeiterinnen ("Camgirls") zumindest indirekt – etwa über E-Mail-Adressen oder Nutzernamen – enttarnt. Im vorliegenden Fall ist die Enthüllung der Identität jedoch total und die Auswirkungen für die Betroffenen könnten katastrophal sein; sie könnten etwa Opfer von Mobbing, Stalking oder Erpressung werden. 2015 war es im Zuge der Enthüllung von Nutzern des Seitensprung-Portals "Ashley Madison" mutmaßlich zu einem damit zusammenhängenden Selbstmord gekommen. (tiw)


Aus: "Eimerweise hochsensible Daten: Schwerwiegender Leak bei LiveCam-Pornowebsites" Tilman Wittenhorst (18.01.2020)
Quelle: https://www.heise.de/newsticker/meldung/Eimerweise-hochsensible-Daten-Schwerwiegender-Leak-bei-LiveCam-Pornowebsites-4641374.html


Textaris(txt*bot)

Quote[...] Es ist wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern wie Robert Habeck von den Grünen. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe. Das ergab eine gemeinsame Recherche des Computermagazins c't und der Wochenzeitung DIE ZEIT.

Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Es stand der Port 445 offen, der Zugriffe über das Netzwerkprotokoll SMB erlaubt. Deshalb konnte jeder Internet-Nutzer die von Buchbinder auf dem Server abgelegten Dateien herunterladen – insgesamt über 10 Terabyte. Ein Passwort war dafür nicht nötig. Man musste lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben, große Festplatten und ein paar Stunden Zeit zum Download investieren.

Buchbinder ist einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Die Kerngesellschaft der Gruppe, die Charterline Fuhrpark Service GmbH, machte 2018 laut Jahresabschluss einen Umsatz von knapp 350 Millionen Euro. Ihr zur Seite stehen laut Datenschutzerklärung die Carpartner Nord GmbH sowie die Terstappen Autovermietung GmbH in Duisburg. Seit 2017 gehört Buchbinder zum französischen Europcar-Konzern.

Buchbinders IT-Abteilung nutzte laut Who-is-Abfrage einen durch die Charterline angemieteten Cloud-Rechner bei der PlusServer GmbH in Köln. Auf diesem wurden jeden Wochentag .bak- und .log-Dateien gespeichert – jede davon mehrere hundert Gigabyte bis über ein Terabyte groß.

Den Hinweis auf den offenen Server erhielten c't und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma "Deutsche Gesellschaft für Cybersicherheit" war bei Routine-Scans auf den offenen SMB-Server gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutzbeauftragen in Bayern als auch c't und DIE ZEIT.

Die Backups enthielten über 5 Millionen Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. Es handelt sich dem Augenschein nach um die komplette MSSQL-Firmendatenbank, auf die sich ohne Passwortabfrage zugreifen ließ.

Sie umfasste laut den Analysen von c't und ZEIT über neun Millionen Mietverträge, von 2003 bis heute. Neben den Mietern sind auch die Fahrer mit Namen, Adresse, Geburtsdatum, Führerscheinnummer und -Ausstellungsdatum aufgeführt. Viele haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

In der ungeschützt zugänglichen MSSQL-Datenbank ließen sich Kunden und Fahrer nach sensiblen Arbeitgebern, Ministerien oder auch Botschaften ausfiltern. Von über 3 Millionen Mietern der vergangenen 18 Jahre stammten rund 2,5 Millionen aus Deutschland, etwa 400.000 aus Österreich und die übrigen rund 114.000 aus Italien, der Slowakei und Ungarn. Ihnen zugeordnet sind 3,1 Millionen Fahrer aus aller Herren Länder.

Außerdem gab es eine Datenbank mit über 500.000 Unfällen, die bis ins Jahr 2006 zurückreichen. Erfasst wurden dort neben Informationen über die Fahrer der gemieteten Autos auch Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern. Vereinzelt fanden wir auch Namen und Kontaktdaten von Verletzten und tödlich Verunglückten. Neben Zeit und Ort war auch vermerkt, ob eine Blutprobe von der Polizei angeordnet wurde.

Mitarbeiter und Geschäftskunden wurden ebenfalls erfasst. Zudem fanden wir Login-Informationen von Angestellten und Nutzern der Online-Portale sowie dem Flottenmanagement von Buchbinder. Über 3000 von etwa 170.000 Passwörtern waren im Klartext gespeichert.

Die Authentizität der Kundendatenbank verifizierte c't anhand der Informationen von einem Dutzend Buchbinder-Kunden aus dem Kreis der Angestellten von Heise Medien. Das Datenleck betrifft offenbar auch Personen, die nicht direkt bei Buchbinder gebucht haben. Ein ZEIT-Redakteur, der ein Auto über billiger-mietwagen.de und Car Del Mar gemietet hatte, fand seine persönlichen Informationen ebenfalls in der Datei – obwohl er selbst nicht wissentlich Kunde von Buchbinder war.

Die Buchbinder-Gruppe arbeitet offenbar mit vielen solchen Vermittlern und Vergleichsportalen zusammen, die dafür laut Firmendatenbank eine Provision erhalten. Kunden wissen am Ende mitunter gar nicht, dass ihr Fahrzeug von Buchbinder stammt und ihre Daten dort gespeichert sind. Organisiert werden Fahrzeugvermietungen oft über die Carpartner Nord GmbH. Über Global Rent-a-Car vermittelt Buchbinder zudem weltweit Fahrzeuge.

Oft sind Konfigurationsfehler schuld, wenn Kundendaten im großen Stil im Netz landen. Bereits ein Klick an der falschen Stelle genügt – und schon ist das System auf der ganzen Welt erreichbar. Stellt man einen Dienst ins Netz, ist es nur eine Frage von Minuten oder höchstens Stunden, bis das jemandem auffällt und Zugriffsversuche starten. Wenn ein Datendieb wie bei Buchbinder dabei keinerlei Schutzmechanismen umgehen muss, handelt es sich dabei im juristischen Sinne nicht einmal um einen "Hackerangriff".

Um solch exponierte Systeme aufzuspüren, ist keine Handarbeit nötig: Open-Source-Tools wie der Netzwerkscanner ZMap klopfen in weniger als einer Stunde sämtliche IPv4-Adressen auf offene Dienste ab.

Die Deutsche Gesellschaft für Cybersicherheit war auf den offenen Port bei einem ihrer Routine-Scans gestoßen. Die Firma unterhält eine Online-Datenbank namens cyberscan.io, die Firmen bei der Abdichtung eventueller Sicherheitslöcher helfen soll. Die SMB-Freigabe von Buchbinder war aber nicht nur cyberscan.io aufgefallen. Die auf Sicherheitslücken spezialisierte Suchmaschine Shodan.io zeigte den Rechner ebenfalls an – zusammen mit 125 weiteren Servern mit ungeschützten SMB-Freigaben für Backups in Deutschland.

Für Neugierige war der Buchbinder-Server also relativ leicht zu entdecken. Jeder, der wusste, wo er nachzuschauen hatte, konnte sich frei daran bedienen.

Die bei Buchbinder geleakten Daten sind für Cyber-Schurken enorm wertvoll. Es handelt sich um valide Informationen von Millionen Bürgern – einschließlich Name, Firmenzugehörigkeit, Anschrift, Geburtsdatum, Telefon- und Führerscheinnummer. Im Unterschied zu Daten, die Nutzer etwa für die Teilnahme an einem Gewinnspiel angeben, müssen die bei Buchbinder hinterlegten Daten echt sein, damit es zum Abschluss eines gültigen Mietvertrags kommen kann.

Den größten Schaden hat gewiss Buchbinder: Die Kundendaten gehören zu den größten Schätzen eines Unternehmens, die Datenbank wurde über mehr als ein Jahrzehnt aufgebaut. Wer jetzt alles darauf Zugriff hatte, lässt sich nicht mehr nachvollziehen. Mitbewerber könnten unbezahlbare Einblicke in die Flotte des Unternehmens erhalten haben. Der Leak dürfte auch zu einem erheblichen Vertrauensverlust seitens der Kunden führen – ganz zu schweigen von etwaigen DSGVO-Bußgeldern und eventuellen Schadenersatzforderungen.

Die erbeuteten Daten könnten sich auf verschiedene Arten missbrauchen lassen. Zunächst geht es ums große Geld: Ein Angreifer könnte etwa gezielt nach Mietvorgängen von Unternehmenskunden suchen, um die persönlichen Kontaktdaten der involvierten Mitarbeiter herauszusuchen. Anschließend könnte er diese Daten nutzen, um im Namen des Mitarbeiters mit dessen Kollegen oder Chef zu kommunizieren, um sich Vertrauen zu erschleichen und sich weiter vorzuarbeiten.

Denkbar wäre auch ein groß angelegter Phishing-Angriff auf Buchbinder-Kunden: Der Täter könnte Phishing-Mails verschicken, die dazu auffordern, die bei der Autovermietung hinterlegten Kreditkartendaten zu aktualisieren. Er könnte vorgeben, dass es bei einer Abbuchung zu einem Problem gekommen ist und sich dabei sogar konkret auf eine Vermietung beziehen. Für die Empfänger wäre eine solche Mail kaum von einer echten zu unterscheiden.

Spam, Phishing, Einkäufe im fremden Namen oder anderer Identitätsklau stehen erst am Ende der Verwertungskette und könnten noch Jahre später eintreten, wenn der Vorfall längst vergessen ist. Dazu ließe sich die Datenbank etwa in kleinere Häppchen aufteilen. Da viele Kunden einen Wagen auf Geschäftskosten mieten, lassen sich einzelne Personen leicht verschiedenen Firmen, Vereinen und Parteien zuordnen.

Unter den Kunden findet man beispielsweise zahlreiche Prominente aus Sport und Unterhaltung, Spitzenpolitiker von CSU und AfD sowie Robert Habeck von den Grünen – mit Privatadresse, Handynummer und E-Mail-Adresse. Darüber hinaus sind mehrere hundert Angehörige verschiedener Botschaften gelistet – nicht nur aus Deutschland und Österreich, sondern auch aus den USA, Russland, China, Beirut, Israel, Iran, Saudi-Arabien oder auch Nord-Korea.

Dutzende Einträge führen zu Mitarbeitern verschiedener Bundesministerien, darunter ein ehemaliger hochrangiger Beamter des Verfassungsschutzes. Zu den Betroffen zählt unter anderem auch der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm. Gegenüber den Kollegen von der ZEIT erklärte er: "Der Fall zeigt leider, dass auch sehr sensible personenbezogene Daten immer wieder nur unzureichend geschützt werden. Egal ob ich – wie in diesem Fall – persönlich betroffen bin oder nicht, solche Fälle ärgern mich sehr, weil sie vermeidbar wären."

Betroffen sind auch Mitarbeiter der Polizei und der Bundeswehr. Aus Österreich hatte 2008 sogar ein Mitglied des "Einsatzkommando Cobra Süd" einen Wagen gemietet, eine Art Pendant zur GSG 9 in Deutschland. Aus Deutschland findet man beispielsweise zwei Mitarbeiter von FinFisher, einem öffentlichkeitsscheuen Hersteller von Spionage-Software.

c't und DIE ZEIT informierten Buchbinder am 20. Januar über das Datenleck: "Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst", teilte uns die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH schriftlich mit. Auf Fragen, wie lange das Datenleck bestand und wie viele Zugriffe es von außen gab, ging das Unternehmen ebenso wenig ein wie auf die Rechtsgrundlage, auf der Kunden- und Unfalldaten weit über zehn Jahre gespeichert wurden.

Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.

Erschwerend kann im vorliegenden Fall sein, wenn besonders sensible personenbezogenen Daten im Sinne von Art. 9 DSGVO betroffen sind, die noch stärker geschützt werden müssen. In der Buchbinder-Datenbank lassen sich beispielsweise Kunden politisch, religiös, nach sexuellen Vorlieben oder Erkrankungen zuordnen. So findet man Fahrten von Kreis- und Landesverbänden aller im Bundestag vertretenen Parteien, wie auch der DKP und NPD. Gelistet sind mehrere Hundert islamische Vereine, Einträge jüdischer Gemeinden wie auch von Schwulen- und Lesben-Vereinen sowie Selbsthilfegruppen von Süchtigen.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. ...


Aus: "Daten-Leak bei Autovermietung Buchbinder: 3 Millionen Kundendaten offen im Netz" (22.01.2020)
Quelle: https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html

Textaris(txt*bot)

Das Kammergericht ist das oberste Gericht für Straf- und Zivilangelegenheiten im Land Berlin. Es steht über den Amtsgerichten und dem Landgericht. Die 144 Richter verhandeln unter anderem politische Strafsachen wie Spionage und Terrorismus sowie Berufungen, Beschwerden, Revisionen, unterhaltsrechtliche Fragen. Sie können Urteile und Beschlüsse anderer Gerichte aufheben. Das Gericht wird von einem Präsidenten/einer Präsidentin geleitet. Das Kammergericht ist Ausbildungsbehörde für die Rechtsreferendare im Land Berlin. ...
https://de.wikipedia.org/wiki/Kammergericht


-

Quote[...] Der IT-Supergau am Kammergericht hatte vor vier Monaten seinen Anfang genommen. Am 25. September hatte das IT-Dienstleistungszentrum festgestellt, dass aus den Systemen des Kammergerichts Kontakt mit sogenannten Command-and-Control-Servern hergestellt wurde. Solche Server werden dazu benutzt, um Schadsoftware zu steuern.

Am 1. Oktober wurde dann bei T-Systems ein forensischer Bericht in Auftrag gegeben, mit dem der Umfang des Angriffs festgestellt werden sollte. Dazu wurde am 2. Oktober vor Ort eine Ersteinschätzung erhoben, in deren Verlauf Anzeichen für einen ,,schwerwiegenden Fall einer Emotet-Infektion" mit ,,nicht abzuschätzenden Folgen für das Netzwerk, die Systeme und die Daten des Kammergerichts" gefunden wurden.

...


Aus: "Möglicherweise gesamter Datenbestand des Berliner Kammergerichts geraubt" Robert Kiesel (27.01.2020)
Quelle: https://www.tagesspiegel.de/berlin/gutachten-zur-virus-attacke-moeglicherweise-gesamter-datenbestand-des-berliner-kammergerichts-geraubt/25477570.html

Quotemarla44 27.01.2020, 19:50 Uhr

Wer sagt eigentlich den ganzen Zeugen und verdeckten Ermittlern jetzt, dass sie ja nichts zu verbergen haben.


Quotesinnsucher 27.01.2020, 16:39 Uhr

Und das ist nur die Spitze des Eisbergs. ...



Textaris(txt*bot)

Quote[...] Die Aufregung um personenbezogene Daten in einem Onlineregister ist groß. Regierung und Datenschutzbehörde sind seit Wochen über den Umstand informiert.

Sie wollten schon immer wissen, wo der Bundespräsident haust? Wo andere Politiker wohnen? Das war bis Donnerstagabend tatsächlich einfach möglich. Wie berichtet, gelangte ein Onlineregister in die breite mediale Berichterstattung, in dem private Daten von bis zu einer Million Bürger einsehbar waren. Unter anderem waren Privatanschriften, Geburtsdaten und Angaben zum Steuerprozedere abrufbar. Mittlerweile wurde die Datensammlung offline genommen. Die Neos orten den größten Datenschutzskandal der Republik, die Regierung pocht hingegen auf Gesetzeskonformität.

Tatsächlich ist das sogenannte "Ergänzungsregister" nach Informationen des Wirtschaftsministeriums seit 2004 online – und war seither "immer öffentlich einsehbar". Demnach wurden die Daten von der Finanzverwaltung eingespeist. Das Register geht auf eine von Altkanzler Werner Faymann (SPÖ) erlassene Verordnung zurück, heißt es bei der ÖVP. Bis vor kurzem will man im Ministerium unter Margarete Schramböck (ÖVP) jedenfalls nichts von der Existenz der Datenbank gewusst haben – obwohl sie auf der Seite des Ministeriums zu finden war.

Wie DER STANDARD in Erfahrung bringen konnte, wusste man im Ressort jedoch seit mehr als drei Wochen von dem öffentlichen Zugang zu den Informationen, ohne dass das Register vom Netz genommen worden wäre. Zudem liegt eine Anfrage an die Datenschutzbehörde vom 14. April vor. Die Behörde antwortete darauf sinngemäß, dass das Register laut Verordnung öffentlich zu führen sei.

Vermutlich dürfte man in der Regierung bereits wesentlich früher von der Datenbank gewusst haben, wie Neos-Abgeordneter Douglas Hoyos am Freitag in einer Pressekonferenz betonte. Demnach haben sich in dem Register Gelistete bereits vor sechs Wochen bei einer Zweigstelle der Wirtschaftskammer gemeldet und auf das Problem aufmerksam gemacht. Daraufhin kontaktierten auch die Neos die Datenschutzbehörde und auch die zuständigen Ministerien – "seitdem ist nichts passiert", so Hoyos.

Welche Daten genau in dem System – und vor allem im Hintergrund – gespeichert sind, sei nicht klar, betont Datenschützer Thomas Lohninger von der Grundrechte-NGO Epicenter Works. In vielen Fällen sei der öffentliche Zugriff auf Privatadressen aber äußert bedenklich: Psychotherapeuten etwa, die im Strafvollzug tätig sind, oder Menschen, die mit Stalkern zu kämpfen haben, würden so einer physischen Gefahr ausgesetzt werden. "Für uns war es unverständlich, wie diese Daten jemals an die Öffentlichkeit kommen konnten."

Zudem besteh das Problem des Datenhandels und Identitätsdiebstahls, sagt Lohninger. Laut dem Experten kann man mit Name, Geburtsdatum und Privatadresse "relativ viel anfangen".

Seit Donnerstagnacht ist die Homepage jedenfalls offline, aus "Verantwortungsbewusstsein", wie es aus dem Kabinett Schramböck heißt. Wieso das Register dann nicht gleich nach Bekanntwerden für die Öffentlichkeit gesperrt wurde? Vor Donnerstagabend habe "de facto niemand" das Register gekannt, heißt es aus dem Ministerium. Es gebe eine rechtliche Grundlage dafür und damit "keinen Grund, es offline zu nehmen".

Am Donnerstagabend habe man sich dann doch dafür entschieden, das Register offline zu nehmen, weil sich die Zugriffe auf einmal gehäuft hätten, heißt es im Wirtschaftsministerium. Technische Probleme seien ein Grund dafür gewesen, dass die Seite zeitweise nicht aufrufbar war.

Ans Licht der Öffentlichkeit geriet das Register durch das Prozedere zum Härtefallfonds. Für die Einreichung mussten Selbstständige eine Nummer angeben, die über die Datenbank bis zuletzt einsehbar war. Erst dadurch hätten viele Betroffene erfahren, dass sie in der öffentlichen Datenbank geführt werden, sagt Hoyos.

Die Wirtschaftskammer (WKO), über die die Abwicklung des Fonds geschieht, betonte auf Anfrage jedoch, dass es keine "technische Schnittstelle" zwischen der Härtefall-Applikation und dem Register gebe, das Register liege nicht im Wirkungsbereich der Kammer. Mittlerweile ist die Nummer für den Antrag jedenfalls nicht mehr notwendig, heißt es bei der Kammer.

Dass es keine Verbindung zur WKO gibt, sieht man bei den Neos anders. Aus den Logdaten gehe hervor, dass die Wirtschaftskammer Daten in das Register einfügt, es sei allerdings nicht ersichtlich, ob die WKO auch auf die Datenbank zugreife. Wer die Datenbank in der Vergangenheit nutzte, bleibt vorerst ungewiss. Diese wird seit 2010 von der Statistik Austria gehostet, das sei gesetzlich so vorgesehen, heißt es aus dem Amt. Laut Statistik Austria gab es im Schnitt "200 bis 300 Abfragen pro Tag", durch den Härtefond sei es punktuell zu Spitzen von bis zu 70.000 Abfragen gekommen. Informationen dazu, aus welchen Ländern die Zugriffe stammen, lägen noch nicht vor.

Während die Neos sich "sehr glücklich" zeigten, dass die Datenbank mittlerweile nicht mehr zugänglich ist, kontert die ÖVP mit scharfer Kritik. Klubobmann August Wöginger sprach in einer Aussendung von einem "peinlichen Irrtum" der Pinken. Diese würden versuchen, "in künstlicher Aufregung einen Skandal zu basteln". Die 2009 erlassene Verordnung regle klar, dass das Register öffentlich zu führen sei, so Wöginger. "Es gibt aus unserer Sicht kein klares Gesetz, wieso das öffentlich zugänglich ist", kontern die Neos. "Jeder, der nur ein Grundverständnis von Datenschutz hat, sieht sofort, dass da etwas faul ist."

Wie soll es nun weitergehen? Man werde sich die Sache natürlich genau anschauen, heißt es aus dem Wirtschaftsministerium. "Vermutlich werden wir das Register überarbeiten." Wer genau in der Datenbank geführt wird, konnte eine Sprecherin des Ministeriums dem STANDARD nicht beantworten.

Fest steht jedenfalls, dass nicht nur Unternehmer in dem Register landen. Dem STANDARD sind mehrere Fälle bekannt, in denen gelistete Personen in der Vergangenheit keiner selbstständigen Tätigkeit nachgegangen sind.

Aus datenschutzrechtlicher Sicht sei das Register prinzipiell nicht zu beanstanden, sagt der Rechtsanwalt Markus Dörfler. "Ob es sinnvoll ist, dieses Register (wie auch das Vereinsregister oder das Firmenbuch) öffentlich im Internet abrufbar zu machen, ist eine politische Frage." Die mangelhafte Transparenz – also dass Personen in dem Register eingetragen sind, aber darüber nicht in Kenntnis gesetzt werden – könnte nach Ansicht des Juristen tatsächlich einen Verstoß gegen die Datenschutzgrundverordnung darstellen. "Da die wenigsten Personen, die im Ergänzungsregister eingetragen sind, Kenntnis über das Ergänzungsregister haben, scheint die öffentliche Verwaltung diese Pflicht nicht ordnungsgemäß wahrgenommen zu haben." Da das Register nicht mehr online verfügbar ist, sei in Verstoß derzeit nur schwer zu prüfen.

Insgesamt gibt es laut Dörfler jedenfalls "zig Fälle", wieso man in diesem Register aufscheinen könnte. Als Beispiel nennt er die Registrierungspflicht für die Haltung von Schweinen, Schafen und Ziegen. Die Verordnung sieht vor, dass Tierhalter eine Stammzahl bekanntgeben müssen, diese sei die Vereinsregisternummer, die Firmenbuchnummer oder die Ordnungsnummer des Ergänzungsregisters für sonstige Betroffene.

Aus Kreisen des Ministeriums ist jedenfalls zu hören, dass eigentlich eine Novellierung des Registers angedacht war, diese sei schon relativ gut vorbereitet gewesen. Aufgrund der Corona-Pandemie wurden dahingehende Arbeiten aber offenbar nach hinten geschoben. (Nora Laufer, 8.5.2020)


Aus: "Register einsehbar - Für ÖVP sind hunderttausende Daten im Netz "künstliche Aufregung"" Nora Laufer (8. Mai 2020)
Quelle: https://www.derstandard.at/story/2000117369798/fuer-oevp-sind-hunderttausende-daten-im-netz-kuenstliche-aufregung

Datenschutz: Hunderttausende Adressen von Bürgern in Onlineregister auffindbar
Register gibt tiefe Einblicke: Unter anderem sind Privatadressen von heimischen Politikern gelistet – Ministerium sieht kein Datenleck
Nora Laufer 7. Mai 2020, 19:29
https://www.derstandard.at/story/2000117351903/gigantisches-datenleck-hunderttausende-adressen-von-buergern-im-netz-auffindbar



Textaris(txt*bot)

Quote[...] Weitgehend unbemerkt von der Öffentlichkeit hat der Datenbankkonzern Oracle die Spuren von Online-Nutzern verfolgt und ein umfangreiches Tracking-Netzwerk aufgebaut. Eine massive Datenpanne hat jetzt Einblicke in die entsprechenden Aktivitäten des Konzerns aus dem Silicon Valley gegeben. Die Panne hat der Sicherheitsforscher Anurag Sen entdeckt. Auf einem ungesicherten, ohne Passwort zugänglichen Server stieß der Experte auf ein Verzeichnis mit Milliarden personenbezogener Datensätze, die für jedermann offen einsehbar waren.

Sen hat Oracle inzwischen über seinen brisanten Fund informiert, die klaffende Sicherheitslücke ist der Firma zufolge wieder geschlossen. Das US-Magazin TechCrunch hatte nach eigenen Angaben zuvor Gelegenheit, die Datenbank über den eingeschalteten Informanten zu überprüfen. Diese enthielt demnach Namen, Anschriften, E-Mail-Adressen und andere personenbeziehbare Daten von Nutzern aus aller Herren Länder. Darunter seien auch sensible Browsing-Verläufe gewesen, die von Shopping-Touren im Web bis zu Abbestellungen von Newsletter-Abonnements reichten.

"Man kann es kaum beschreiben, wie aufschlussreich einige dieser Daten sein können", erklärte Bennett Cyphers von der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) gegenüber dem Online-Dienst. Fein abgestufte Aufzeichnungen über die Surfgewohnheiten von Menschen im Web könnten Hobbys, politische Vorlieben, Einkommensklassen, den Gesundheitszustand, sexuelle Präferenzen und andere persönliche Details offenbaren. Die Aussagekraft nehme ständig zu, "da wir einen immer größeren Teil unseres Lebens online verbringen".

Die umfangreichen, als nicht-pseudonymisierte Rohdaten nach außen gedrungenen Nutzerspuren hat Oracle dem Bericht nach vor allem über seine Tochter BlueKai zusammengetragen. Das Unternehmen hatte das Start-up 2014 für gut 400 Millionen US-Dollar gekauft. Obwohl es außerhalb von Marketingkreisen kaum bekannt ist, hat es mithilfe von Cookies und anderen Tracking-Instrumenten wie Schnüffelpixeln auf Webseiten inklusive Porno-Portalen und in HTML-Mails einen großen einschlägigen Werbeverbund aufgebaut. Auf dem zugehörigen Markt für Profiling und personenbezogene Werbung gelten etwa Google mit seinem Netzwerk DoubleClick, Facebook und Amazon als noch größere Datensammelmaschinen.

TechCrunch spricht allein angesichts der schieren Größe der exponierten Datenbank von einer der bislang "größten Sicherheitslücken in diesem Jahr". Man habe darin sogar Aufzeichnungen mit Einzelheiten über teils sehr private Online-Einkäufe gefunden, die bis August 2019 zurückreichten. In einem Datensatz werde detailliert beschrieben, wie ein namentlich identifizierter Deutscher am 19. April eine Prepaidkarte benutzt habe, um ein 10-Euro-Gebot auf einer Website für E-Sports-Wetten zu platzieren. Die Aufzeichnungen sollen auch die Adresse, Telefonnummer und E-Mail des Mannes umfasst haben.

Als weiteres Beispiel nennt das Magazin Einträge einer der größten türkischen Investmentfirmen. Darüber habe sich etwa zurückverfolgen lassen, dass ein Nutzer aus Istanbul für 899 US-Dollar Möbel bei einem Online-Ausstatter erstanden habe. Interessenten unter anderem für Dashcams seien ebenfalls leicht persönlich ausfindig zu machen gewesen.

Nach kalifornischem Recht und der Datenschutz-Grundverordnung (DSGVO) wäre Oracle eigentlich verpflichtet gewesen, die zuständigen Aufsichtsbehörden über das Leck binnen enger Fristen zu informieren. Dem Bericht nach versäumte der Konzern dies aber bislang. Die DSGVO sieht bei Verstößen Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes eines Unternehmens vor.

Laut Branchenexperten verfolgt BlueKai rund 1,2 Prozent des gesamten Datenverkehrs im Web und arbeitet mit den Betreibern einiger der größten Homepages und Online-Dienste wie Amazon, ESPN, Forbes, Levi's, MSN.com, Rotten Tomatoes und der New York Times zusammen. Ironie bei der Geschichte: Sogar in dem TechCrunch-Artikel ist ein BlueKai-Tracker eingebaut, weil die Muttergesellschaft Verizon Media zu den Partnern der Firma gehört. Letztlich setzt fast jede Medienseite, die sich ganz oder teils über Werbung finanziert, auf einschlägige Verfahren zur Nutzeranalyse.

Hierzulande betonten die Datenschutzaufsichtsbehörden erstmals vor zwei Jahren, dass Tracker wie Google Analytics und Cookies selbst in pseudonymisierter Form nur mit ausdrücklicher und informierter Einwilligung der Nutzer erlaubt seien. Die von Anwendersystemen abgegriffenen Daten und daraus geformten Profile würden längst nicht nur für Anzeigen verwendet, beklagte der Bundesdatenschutzbeauftragte Ulrich Kelber voriges Jahr.

(bme)


Aus: "Oracle: Datenpanne mit Milliarden Einträgen enthüllt riesiges Tracking-Netz" Stefan Krempl (21.06.2020)
Quelle: https://www.heise.de/news/Oracle-Datenpanne-mit-Milliarden-Eintraegen-enthuellt-riesiges-Tracking-Netz-4790339.html

QuoteALCoolJ, 21.06.2020 11:08

Und nun?

Da ist also ein fieses fettes Leck.
Und was passiert jetzt?
Gibt's ne Anzeige?
Werden die Betroffenen entschädigt?
Können normale User und DAUs das ganze umgehen?


...

Textaris(txt*bot)

Quote[...] Foodora ist zurück – allerdings in einer Form, die bei den ehemaligen Kunden wohl alles andere als Begeisterung auslösen dürfte. Vor kurzem ist bekannt geworden, dass der mittlerweile eingestellte Lieferdienst bereits im Jahr 2016 gehackt wurde – und zwar im großen Stil.

Namen, Adresse, Telefonnummer, Passwörter und zum Teil auch exakte Standortdaten: All dies konnten bislang unbekannte Angreifer von 727.000 Foodora-Kunden aus 14 Ländern erbeuten. Darunter sind auch zehntausende Kunden aus Österreich – und damit alle, die zu dem damaligen Zeitpunkt einen Foodora-Account hatten. Deutschland, Frankreich und Spanien befinden sich ebenfalls auf der Liste der betroffenen Länder.

Öffentlich wurde der Vorfall nun, weil die Daten Mitte Mai zunächst in einem einschlägigen Forum gepostet und dann von anderen weiterverbreitet wurden. Dies führte wiederum dazu, dass die Informationen in die Hände von Sicherheitsexperte Troy Hunt kamen, der sich auf die Sammlung solch großer Datenlecks spezialisiert hat – und der den Foodora-Besitzer, die deutsche Firma Delivery Hero, informierte.

Bei Delivery Hero bestätigt man den Vorfall mittlerweile und betont, dass die Datenschutzbehörden bereits informiert wurden – so wie es die Datenschutzgrundverordnung vorschreibt. Die betroffenen Kunden wurden hingegen noch nicht in Kenntnis gesetzt, da derzeit noch die internen Untersuchungen laufen. Wann man diesen Schritt nachholen will, lässt die Firma auf explizite Nachfrage des STANDARD allerdings ebenso offen, wie die Antworten zu weiteren Detailfragen..

Welche Daten konkret erbeutet wurden, ist durch den Leak aber ohnehin klar. So besteht die Datensammlung jeweils aus zwei SQL-Dateien für jedes Land, eine für die Adresse, eine für andere Kundeninformationen. Neben den bereits erwähnten Punkten sollen sich darin zum Teil auch Anmerkungen der Nutzer finden, die sie für die Lieferanten hinterlassen haben. Bei den erwähnten Standortdaten soll es sich um exakte GPS-Positionen handeln – auf sechs Nachkommastellen genau.

Zumindest in einer Hinsicht hat Sicherheitsexperte Hunt gute Nachrichten: Die meisten der enthaltenen Passwörter scheinen gut geschützt zu sein. Durch eine Verschlüsselung mit Bcrypt (Faktor 11) sollten sie gegen Angriffe gut gerüstet sein. Allerdings sind auch einige – wohl zu dem Zeitpunkt schon länger nicht mehr genutzte – Konten lediglich mit einem via MD5 gehashten Passwort gespeichert. Dies sollte wesentlich leichter zu knacken sein. Finanzdaten – also etwa Kreditkarteninformationen – sollen hingegen nicht enthalten sein.

Wer wissen will, ob er betroffen ist, kann dies über die von Hunt betriebene Webseite "Have I Been Pwned" überprüfen. Dort reicht es, die eigene E-Mail-Adresse einzugeben, um herauszufinden, ob man Opfer eines bekannten Hacks geworden ist. Und die Foodora-Daten hat Hunt hier bereits eingespielt. Da Foodora mittlerweile nicht mehr existiert, können die Nutzer natürlich dort das Passwort nicht mehr ändern. Stattdessen sollten sie aber überlegen, wo sie sonst noch dieselbe Nutzername-Passwort-Kombination verwendet haben – und dort dann das Passwort tauschen. Immerhin verwenden Angreifer oft automatisiert Informationen aus bekannten Hacks, um dann in die Konten bei anderen Diensten einzubrechen.

Es gibt aber noch einen zweiten Vorfall, der dem aktuellen Leak in der Retrospektive eine besonders pikante Note verleiht, und der auch zeigt, dass die Daten auf dem Schwarzmarkt schon länger kursiert sein dürften. So hat der STANDARD bereits im November 2017 Foodora aufgrund des Hinweises eines Lesers über ein mögliches Datenleck informiert. Dieser hatte Spam-Mails an eine Adresse erhalten, die ausschließlich für den Foodora-Kontakt genutzt wurde. Ein Sprecher des Lieferdiensts versicherte damals allerdings, dass es "keinerlei Anzeichen eines Datenlecks oder Hacks" gebe. Da man auch keine Daten an Dritte weiterverkaufe und die Kundeninformationen auf den eigenen Servern "mit der höchstmöglichen Sicherheit (...) hinterlegt seien", unterstellte man ein Sicherheitsproblem beim Kunden.

Doch auch unabhängig davon könnte bald Ungemach auf den Mutterkonzern Delivery Hero zukommen. Immerhin wird der Vorfall wohl eine Untersuchung nach der Datenschutzgrundverordnung nach sich ziehen, bei der eine saftige Strafe für die Firma anstehen könnte. Es wäre aber auch nicht die erste DSGVO-Strafe, die Delivery Hero berappen muss: Erst im vergangenen September wurde das Unternehmen wegen mehrerer Verstöße gegen die EU-Richtlinie zu 195.000 Euro verurteilt. So wurden etwa die Daten von ehemaligen Kunden auch nach deren Aufforderung nicht gelöscht, sie bekamen weiter Werbemails von der Firma.

In Österreich wurde Foodora im Jahr 2019 eingestellt. Der Grund dafür war recht simpler Natur: Mit Mjam betreibt Delivery Hero hierzulande nämlich noch einen weiteren Lieferdienst. Für die Zukunft wolle man sich lieber auf eine Marke konzentrieren, hieß es zum Abschied. Marktstart in Österreich war 2015, gegründet wurde der Service ein Jahr zuvor in Deutschland. (Andreas Proschofsky, 30.6.2020)


Aus: "Foodora wurde 2016 gehackt: Private Daten zehntausender österreichischer Kunden im Netz" (30. Juni 2020)
Quelle: https://www.derstandard.at/story/2000118384303/foodora-wurde-2016-gehackt-namen-und-adressen-oesterreichischer-kunden-im

Textaris(txt*bot)

Quote[...] Die IT-Sicherheitsfirma Cyble hat im Darknet identifizierende Datensätze zu mehr als 45 Millionen Flugreisenden aus verschiedenen Ländern entdeckt, die Thailand oder Malaysia besucht haben. Informationen zum Leak sollen in Cybles Leak-Plattform Am I Breached eingepflegt werden, so dass sich potenziell Betroffene dort Gewissheit verschaffen können.

Auf die Datensätze stieß das Cyble-Team nach eigenen Angaben im Rahmen routinemäßiger Darkweb-Analysen. Ein glaubwürdig erscheinender Verkäufer habe sie zum Kauf angeboten und das Team sei auf das Angebot eingegangen.

Laut Cybles Blogpost zum Leak handelt es sich bei den Daten unter anderem um

    Vollständige Namen, Adressen und mobile Telefonnummern
    Geschlecht
    nicht näher spezifizierte Reisepass-Daten sowie
    Fluggast-IDs und Flugdetails.

...


Aus: "Daten von Millionen von Malaysia- und Thailand-Reisenden im Darkweb aufgetaucht" Olivia von Westernhagen (14.07.2020)
Quelle: https://www.heise.de/news/Daten-von-Millionen-von-Malaysia-und-Thailand-Reisenden-im-Darkweb-aufgetaucht-4843462.html

Textaris(txt*bot)

Quote[...] Am 21. Oktober hinterließ ein anonymer Hacker auf einem finnischen Internetforum eine englischsprachige Nachricht, wonach die Krankenakten von etwa vierzigtausend Patienten des großen Psychotherapiezentrums Vastaamo in seinem Besitz seien. Dieses Material enthalte sowohl die Adressdateien als auch die Personenkennzeichen – in Finnland ein wichtiges Dokument, das die Nutzer zu gravierenden finanziellen und behördlichen Transaktionen berechtigt – sowie die gesamten Protokolle der Therapiesitzungen, die von den Therapeuten über mehrere Jahre hinweg geführt worden waren.

Der Hacker schrieb, er habe die Akten der Vastaamo-Datenbank bereits im November 2018 gehackt. Ende September 2020 habe er sich an die Chefs des Zentrums gewandt und 450 000 Euro Schweigegeld erpresst, das ihm durch anonyme Vermittlung in Bitcoins über das Darknet überwiesen werden sollte. Die Firma habe seine Forderungen nicht akzeptiert, deshalb werde er ab sofort jeden Morgen die Akten von hundert Patienten im anonymen Tor-Netzwerk veröffentlichen.

Der Hacker hat Wort gehalten. Am nächsten Morgen erschienen weitere hundert, Freitag wieder hundert, bislang also dreihundert Patientenakten im Netz. Die Aufmerksamkeit der Presse und Internetforen wuchs. Redakteure unterschiedlichster finnischer Zeitungen prüften die Dateien und stellten fest: Das Material ist gravierend. Eine Autorin beschrieb in ihrer Kolumne, dass sie die Lektüre einer Akte abbrechen musste: Bei der Vorstellung, dass alle Welt lesen könne, wie ein Therapeut das Leben einer Person durchwühle, sei ihr schlecht geworden.

Der Hacker behauptete, die Personen der bislang veröffentlichten Akten seien frei gewählt. Doch bereits unter den ersten fanden sich hochrangige Polizisten und Politiker. Am Freitagmorgen wurde auf der Tor-Seite des Hackers eine Datei von zehn Gigabyte hochgeladen und nach einer Stunde wieder gelöscht. Viele, die im Netz gelauert hatten, luden die Datei herunter. Danach brach die Hölle los: Am Samstag bekamen Zigtausende Patienten des Therapiezentrums per E-Mail einen Erpressungsbrief, diesmal auf Finnisch, der ihnen die Möglichkeit bot, sich freizukaufen: für zweihundert Euro, zahlbar in Bitcoins innerhalb eines Tages, oder für etwa fünfhundert Euro, zahlbar in zwei Tagen. Damit war klar: Es geht um wesentlich mehr.

Es ist schwer zu fassen, was dieses Datenleck für die Finnen bedeutet. Die Menge von vierzigtausend Patienten in Finnland entspricht, gemessen an der Gesamtbevölkerung, etwa jener von sechshunderttausend in Deutschland. Sie stehen nun völlig nackt in der Öffentlichkeit: mit ihren Geheimnissen, Krankheiten, Affären, unehelichen Kindern. Dazu kommt, dass zur finnischen Mentalität große Scheu, gedämpfte Kommunikation und viele innere Geheimnisse gehören. Der finnische Staat war auf diesen Angriff nicht vorbereitet. Die Premierministerin Sanna Marin ordnete am Wochenende eine Krisensitzung der Schlüsselministerien an. Die Polizei organisierte eine Pressekonferenz und bestätigte, es gehe vermutlich um ,,viele tausend Leute".

Die Behörden empfehlen, kein Schweigegeld zu bezahlen und stattdessen Strafanzeige im Internet zu stellen. Die Portale der Polizei kollabierten sofort. Die Patienten, viele von Angst paralysiert, suchten verzweifelt nach Möglichkeiten, mehr zu tun. Mit dem Personenkennzeichen kann man in Finnland per Internet Versandware bestellen, Umzüge organisieren, Firmen gründen, Sofortkredite beantragen. Um jede einzelne dieser Transaktionsmöglichkeiten zu sperren, muss man mit sieben bis acht Behörden telefonieren, bei einigen für die Sperrung auch Gebühren bezahlen – und das alles, während viele der betroffenen Menschen dazu keine Kraft und erst recht keine ausreichenden digitalen Kenntnisse haben.

Die Krise weitet sich in alle Richtungen aus. Die zwei Hauptfragen lauten: Warum haben alle Aufsichtsbehörden versagt? Sind Gesetzeslage und Gesellschaftsstruktur überhaupt gerüstet für digitale Großunfälle dieser Art? Hinzu kommt: Die geraubten Daten können im Darknet von Kriminellen weiterverkauft werden. Niemand von den betroffenen Personen kann sicher sein, dass nicht nach Jahren ein neuer Krimineller mit weiteren Forderungen auftaucht. Niemand weiß, wer was hat.

Vastaamo hat viel von einem ultramodernen Unternehmen, ähnlich wie Wirecard. Die Geschäftsidee beruht auf einem Konzept stark vereinfachter Prozesse unterschiedlichster Transaktionen. Vastaamo vereinfachte den Prozess des Einstiegs in und des Verlaufs von Psychotherapien: Man muss nur ins Internet gehen, einen passenden Therapeuten aussuchen, und los geht's. Wie Wirecard gehörte Vastaamo zu den am schnellsten wachsenden Firmen in Finnland, die auf aggressive Weise ihr Evangelium von der digitalen Zukunft der modernen Gesellschaft predigten. Die Firma sah cool aus, genoss große Bewunderung in den Medien. Doch die Firmenleitung hat sich für die eigenen Inhalte und die Selbstkontrolle wenig interessiert.

Valvira, die Aufsichtsbehörde des finnischen Gesundheitssystems, die sich auch um Fragen der Cybersicherheit kümmern müsste, räumte sofort ein, wegen Sparmaßnahmen sei bei ihr derzeit nur eine Person mit solchen Vorfällen beschäftigt, und auch sie werde jeweils nur auf Nachfrage tätig. Psychiater und Psychologen mögen ihre Arbeit noch so gewissenhaft machen, sobald das Management inhaltlich unsensibel nach reinen Kostenfragen agiert und die Sicherheit grob vernachlässigt, können die Folgen fatal sein und nationale Ausmaße annehmen.

In der finnischen Öffentlichkeit ist schon diskutiert worden, ob der Täter Verbindung zu ausländischen Geheimdiensten haben könne, da der Fall Vastaamo alle Symptome eines Hybridangriffs aufweise: Eine Kerngruppe der Gesellschaft werde mit etwas Überraschendem, Unvorstellbarem und Großem konfrontiert, teils gelähmt, und die Gesellschaft als ganze durch Dominoeffekte in Schach gehalten. Vermutungen wurden laut, der russische Geheimdienst versuche, das Vertrauen der finnischen Bevölkerung in die Datensicherheit zu zerrütten. Auch wenn das nicht der Fall sein sollte, bietet der Vorgang viel Analysematerial für Geheimdienste.

Die digitale Euphorie ist groß, ebenso die Fehlerbereitschaft einer neuen Unternehmenskultur sowie die Phantasie und Schnelligkeit von Kriminellen. Damit stehen viele Staaten vor neuen Fragen: Wo können mögliche Löcher digitaler Schutzräume sein? Wo macht sich der Staat verwundbar? Ein Kommentator im Internet verglich den Fall schon mit dem Unglück des Tankers Exxon Valdez: Man hatte es längst kommen sehen, niemand hatte etwas dagegen getan. Dienstag Früh schrieb ein anderer: ,,Ja, ich habe von dieser Zehn-Gigabyte-Datei einen Teil herunterladen können. Ich sage aber nicht, wieviel, um meine Spur nicht nachverfolgbar zu machen. Es sind etwas weniger als fünf Gigabyte. Allerdings kann ich diese Datei öffnen, und wie es aussieht, sind alle vierzigtausend Patienten erhalten." Man wird niemals wissen, wie viele Menschen die Daten am frühen Freitagmorgen haben herunterladen können.


Aus: "Hackerangriff auf Krankenakten: Tausende von Menschen öffentlich entblößt" Jüri Reinvere (28.10.2020)
Quelle: https://www.faz.net/aktuell/feuilleton/debatten/finnland-hackerangriff-auf-psychotherapeutische-krankenakten-17022624.html?printPagedArticle=true#pageIndex_3

Textaris(txt*bot)

Quote[...] Die Angst kommt in Schüben. An guten Tagen denkt Anna: Ja, es gibt Nacktbilder von mir im Internet. Ich weiß nicht, wie sie dort hingelangt sind. Sie werden vermutlich immer wieder auftauchen. Aber das zerstört nicht mein Leben. Es ist nicht meine Schuld.

An schlechten Tagen kriecht die Angst in der 29-Jährigen hoch. Sie fühlt sich verfolgt. Weil sie fürchtet, jemand könnte in ihre Wohnung eindringen, schließt sie alle Räume ab und sich selbst im Schlafzimmer ein. Sie spürt die Blicke von Fahrgästen in der Straßenbahn. Schaut der Mann mich einfach nur so an? Oder weiß er Bescheid?

Am 18. März 2019 bekommt Anna um 18.16 Uhr eine WhatsApp-Nachricht von einem alten Schulkameraden, mit dem sie auf dem Gymnasium in dieselbe Klasse ging: "Hey Anna, kannst du mich bitte schnellstmöglich anrufen? Ist wichtig!" Befreundet sind die beiden nicht. Zuletzt hat er Anna im Jahr 2016 zum Geburtstag gratuliert. Annas letzte Nachricht an ihn ist von 2013, ebenfalls ein Gruß zum Geburtstag.

Als Anna ihn anruft, merkt sie, dass er zögert. Ihm scheint etwas unangenehm zu sein. Aus dem Gespräch erinnert sie sich bis heute an einen Satz: "Da sind Sachen von dir im Internet, die da nicht sein sollten." Diese Sachen sind insgesamt 25 Bilder und zwei Videos von Anna, die auf pornografischen Plattformen hochgeladen wurden. Manche Fotos zeigen ihr Gesicht und ihre nackten Brüste, andere ihren kompletten nackten Körper. Ihr Schulkamerad hat diese Aufnahmen auf xHamster entdeckt, einer der meistbesuchten Pornoseiten Deutschlands. Er schickt ihr im Anschluss an das Telefonat die Links.

Die Fotos und Videos sind mehrere Jahre alt. Anna hatte sie ihrem Freund per WhatsApp geschickt, als dieser 2013 im Auslandssemester in Spanien war. Die beiden sind bis heute ein Paar, wohnen seit einem Jahr zusammen in einer deutschen Großstadt. Ihr Freund habe die Aufnahmen nie weitergeschickt oder hochgeladen. Wie sie im Internet landen konnten, kann sich Anna damals nicht erklären; bis heute hat sie nur Vermutungen.

Was Anna passiert ist, wird oft "Revenge Porn", Racheporno, genannt. Wenn Nacktbilder gegen den Willen der abgebildeten Person verbreitet werden, handelt es sich aber nicht um Pornografie, sondern um eine Straftat. Die Täter*innen können Ex-Partner*innen und andere Personen aus dem persönlichen Umfeld sein oder auch völlig Fremde, die die Aufnahmen gestohlen oder heimlich aufgenommen haben.

In diesem Text werden diese Taten deshalb als das bezeichnet, was sie sind: digitale Gewalt. Das Ausmaß ist unklar. Auf eine kleine Anfrage der Linksfraktion von November 2018, wie oft Formen digitaler Gewalt – unter anderem sogenannter Revenge Porn – in den vergangenen fünf Jahren angezeigt und verurteilt wurden, antwortete die Bundesregierung, dass der Justiz hierzu keine Erkenntnisse vorliegen.

Nicht auf allen Fotos, die hochgeladen wurden, ist Anna nackt. Manche zeigen sie auch mit ihrem Freund oder mit Freund*innen beim Feiern. Auf einem ist sie minderjährig, um die 15 Jahre alt, schätzt Anna. Die Bilder hatte sie vor Jahren auf ihrem Facebook-Profil veröffentlicht. Nun stehen sie auf xHamster und anderen kleineren Pornoseiten zusammengestellt mit den Nacktfotos in einer Galerie. Dort ist auch ihr Vor- und Nachname und ihr Heimatort angegeben. Anna heißt eigentlich nicht Anna. In diesem Text wird sie so genannt, um ihre Privatsphäre zu schützen.

Neben den Fotos wurde ein Screenshot ihres Facebook-Profils veröffentlicht. Erst nach dem Telefonat mit ihrem Schulkameraden bemerkt Anna, dass sie dort in den vergangenen Tagen mehrere Anfragen bekommen hat. Von Männern, die ihr die Nacktfotos und anzügliche oder beleidigende Nachrichten schicken, oder Bilder von ihren erigierten Penissen. Bis heute sind diese Nachrichten Annas Alarmsignal, dass vermutlich wieder irgendwo Nacktbilder von ihr online aufgetaucht sind.

Als ihr Schulkamerad auflegt, steht Anna allein mit dem Handy in der Hand vor einem Pariser Hotel, sie ist gerade auf einer Dienstreise in Frankreich. Auf ihrem Hotelzimmer beginnt sie ihren Namen bei sämtlichen Suchmaschinen einzutippen, fügt Schlagworte wie porn oder young girl hinzu. Sie macht Screenshots, um zu dokumentieren, was sie findet. Sie löscht ihren Instagram-Account und lässt ihr Foto und ihren Nachnamen auf der Homepage ihres Arbeitgebers entfernen. Sie geht ihre Kontaktliste durch und überlegt, wer ihr helfen könnte: Wen kenne ich, der oder die Jura studiert hat? Oder IT? Oder sogar bei einer Pornoseite arbeitet? Erst nach mehreren Stunden hört sie erschöpft auf. Bei der Arbeit sagt sie am nächsten Tag, es gebe einen Notfall in ihrer Familie.

Zurück in Deutschland erstattet Anna Anzeige bei der Polizei. Die Telefonate mit den Beamt*innen beschreibt sie als frustrierend. Statt ihr dabei zu helfen, die Fotos so schnell wie möglich aus dem Internet zu entfernen, habe man ihr Fragen gestellt wie: "Sind Sie sicher, dass Sie die Bilder nicht selbst hochgeladen haben?" Oder: "Wieso haben Sie überhaupt solche Fotos von sich gemacht?" Die Ermittlungen werden schließlich eingestellt.

Es gibt kein Gesetz in Deutschland, das Betroffene von Revenge Porn explizit schützt, sagt Juristin Josephine Ballon, die bei der Organisation HateAid Betroffene digitaler Gewalt berät. Der Begriff findet sich nicht im Strafgesetz. Wurde ein Bild unerlaubt hochgeladen, das mit Einverständnis der abgebildeten Person erstellt wurde, handelt es sich mit hoher Wahrscheinlichkeit um eine Verletzung des Rechts am eigenen Bild nach dem Kunsturhebergesetz. Ist das verbreitete Bild unerlaubt entstanden, zum Beispiel in einer Wohnung oder einem besonders geschützten Raum, kann der Paragraf 201a im Strafgesetzbuch greifen: Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen.

Um nackt im Internet zu landen, braucht es – anders als in Annas Fall – gar keine realen Nacktaufnahmen: Im Oktober 2020 berichtete die IT-Sicherheitsfirma Sensity, dass auf der Messengerplattform Telegram mithilfe eines Bots gefälschte Nacktfotos von über 100.000 Frauen erzeugt wurden – sogenannte Deepfakes. Vermutlich sei dafür die Software DeepNude genutzt worden. Die Bilder wurden im Anschluss öffentlich geteilt. Es handelt sich bei den betroffenen Frauen vor allem um Privatpersonen, manche sollen sogar minderjährig sein. Auf diese Weise kann es theoretisch jede Person treffen, mit fingierten Nacktbildern bloßgestellt oder erpresst zu werden.

Anna kontaktiert die Pornoplattformen. Bei xHamster füllt sie dafür ein vorgefertigtes Onlineformular aus, den kleineren Seiten schreibt sie E-Mails mit der Aufforderung, die Fotos und Videos herunterzunehmen. Es klappt: Bei xHamster ist die Bildergalerie bereits nach 24 Stunden von der Seite genommen. Dazu sind Plattformen auch verpflichtet, sobald sie davon erfahren, dass Aufnahmen gegen den Willen der gezeigten Person hochgeladen wurden.

Wenige Monate später bemerkt Anna jedoch, dass ihre Fotos wieder im Internet sind, zunächst nur auf kleineren Seiten. Sie vermutet erst, dass sie vielleicht etwas übersehen hatte und erwirkt bei den Betreiber*innen wieder die Löschung. Im Juni 2020 sind ihre Aufnahmen aber auch erneut auf xHamster und erstmals in der Google-Suche zu finden. "In dem Moment dachte ich: Scheiße, die kommen echt immer wieder. Ich habe mich einfach nur ohnmächtig gefühlt", sagt Anna. Sie erstattet zwei weitere Male Anzeige bei der Polizei, ohne Erfolg. Dort rät man ihr, doch mal bei Google anzurufen.

Wenn Täter*innen im Internet nicht unter Klarnamen agieren, werden die Ermittlungen oft eingestellt, sagt Josephine Ballon. Insbesondere auf Plattformen, wo nicht einmal ein Account angelegt werden muss, um etwas hochzuladen, sei es schwierig, Täter*innen zu identifizieren. "Viele Staatsanwaltschaften und Ermittlungsbehörden sind gar nicht darauf spezialisiert, diese Ermittlungen im Netz durchzuführen und es mangelt ihnen an rechtlichen Möglichkeiten. Die Pornoseiten selbst sind meist auch nicht kooperativ", sagt Ballon.

Derzeit fallen pornografische Plattformen nicht unter das Netzwerkdurchsetzungsgesetz (NetzDG). Dieses ermöglicht, dass in sozialen Medien illegale Inhalte gemeldet werden können und schafft eine gesetzliche Pflicht für Plattformen, diese auch innerhalb einer bestimmten Frist zu löschen. Betreiber*innen müssen außerdem regelmäßig über ihren Umgang mit Beschwerden zu rechtswidrigen Inhalten auf ihrer Plattform berichten und eine*n inländische*n Ansprechpartner*in stellen.

Die Regulierungen gelten allerdings nur für Plattformen mit mehr als zwei Millionen registrierten Nutzer*innen in Deutschland. Auf xHamster und PornHub muss man jedoch nicht registriert sein, um Inhalte anzusehen. Auf Nachfrage von ze.tt, wie viele registrierte Nutzer*innen xHamster in Deutschland hat, verweist ein Sprecher auf den Datenschutz.

Was sich für Anna als problematisch erweist: Derzeit prüfen die Betreiber*innen bei einem Upload nicht, ob das Material möglicherweise schon einmal gelöscht wurde. Es kann also nicht wirksam verhindert werden, dass Bilder und Videos erneut hochgeladen oder wenigstens schnell wieder entfernt werden können. Auf Nachfrage von ze.tt, ob xHamster plane, etwas dagegen zu unternehmen, teilt ein Sprecher mit, dass man Fälle von sogenanntem Revenge Porn sehr ernst nehme, jedoch keine näheren Angaben zu technischen Abläufen machen könne.

Zusammen mit einer anderen Betroffenen, HateAid und der Plattform Am I in Porn? hat Anna eine Petition an das Bundesjustizministerium gestartet. Darin fordern sie unter anderem, Pornoseiten in den Geltungsbereich des NetzDG aufzunehmen, eine Auskunftspflicht gegenüber Betroffenen einzurichten und die Betreiber*innen dazu zu verpflichten, Bild- und Videomaterial vor der Veröffentlichung intern zu prüfen. Über 62.000 Personen haben bereits unterschrieben.

Wer die Fotos und Videos hochgeladen hat und wie die Täter*innen überhaupt an das Material gekommen sind, weiß Anna bis heute nicht. Über eine Freundin bekommt sie Kontakt zu zwei Männern, die als IT-Forensiker bei einem internationalen Wirtschaftsunternehmen arbeiten. Anna vermutet seither, dass ihre Cloud gehackt wurde. Mit dem Identity Leak Checker des Potsdamer IT-Instituts Hasso Plattner kann jede*r eine Mailadresse daraufhin überprüfen lassen kann, ob persönliche Daten im Rahmen eines bekannten Hacks oder Datenlecks gestohlen wurden. In Annas Auswertung, die ze.tt vorliegt, taucht dabei unter anderem Dropbox auf. Der Hack fand im September 2012 statt, Annas Mailadresse und Passwort sollen demnach betroffen gewesen sein.

Erst 2016 wurde das ganze Ausmaß des Hacks öffentlich – mehr als 68 Millionen betroffene Accounts – und Dropbox forderte Nutzer*innen auf, ihre Passwörter zu ändern. Anna hatte das seit der Einrichtung ihres Accounts nicht getan. Auf Nachfrage von ze.tt heißt es, Dropbox habe jedoch keine Anhaltspunkte dafür, dass auf diese Accounts unerlaubt zugegriffen wurde.

Anna hatte sich den Account im Studium zugelegt und die Cloud mit ihrem Laptop synchronisiert. Heißt: Alle Dateien, die sie auf ihrem Laptop hatte, befanden sich in der Cloud – auch die Nacktbilder, vermutet Anna. Aktuell ist sie mit Dropbox in Mailkontakt: Anna fordert auf Basis der DSGVO, die Login-Files ihres Accounts einsehen zu dürfen. Sie hofft, damit mögliche auffällige Aktivitäten aus der Zeit nach dem Hack nachvollziehen zu können.

Die Angelegenheit verlaufe zäh, was aber auch an ihr liege, gibt Anna zu. Sie antworte auch mal einen Monat nicht auf eine Mail – wenn die Kraft nicht reiche. Dann öffne sie keine Nachrichten, hake nicht bei der Polizei nach und blocke ab, wenn jemand das Thema anspricht. Anna will noch ein anderes Leben haben als das, in dem sie die mit den Nacktbildern im Internet ist.

Dann sei es ihr Freund, der nachschaut, ob wieder etwas online ist. Im Juni 2020 durchsuchte auch er bis ins letzte Detail die Plattformen nach Annas Bildern. Er sei vor allem wütend darüber, was ihr angetan wurde, sagt Anna. Und frustriert, dass er ihr dabei kaum helfen könne. Anna selbst sieht das nicht so: Für sie ist ihr Freund und sein Verständnis eine der wichtigsten Stützen. Der Umgang mit den Nacktbildern sei ein Balanceakt: "Lange wollte ich nicht als jemand gesehen werden, den das so mitnimmt. Ich dachte, dann haben die Täter erreicht, was sie wollten. Aber mir wurde Gewalt angetan und ich muss zugeben können, dass das wehtut. Immer noch."

Anna sagt, sie schäme sich gar nicht so sehr für die Bilder selbst oder bei dem Gedanken, dass Kolleg*innen oder Bekannte sie so sehen könnten. Sie habe seither auch wieder Nacktaufnahmen von sich gemacht und verschickt. Vielmehr schäme sie sich dafür, dass sie sie damals nicht besser geschützt hat und man sie für leichtsinnig und naiv halten könnte. Heute nutzt sie Signal oder Threema, seinerzeit versendete sie die Aufnahmen an ihren Freund jedoch unverschlüsselt per WhatsApp. Möglicherweise sind sie auch so ins Internet gelangt.

In ihrem Freundeskreis wissen alle Bescheid, niemand habe ihr dort je Schuld an der Situation gegeben. Anders sei es bei ihren Eltern, die bisher noch nichts von all dem wissen. Bei ihnen überwiegt für Anna doch die Scham und die Angst, sie damit zu enttäuschen. Dieses Jahr an Weihnachten will Anna es ihnen aber doch endlich erzählen. Viele Dinge, die sie beschäftigten, müsse sie ihnen bisher verheimlichen, zum Beispiel die Arbeit an der Petition. Anfang des Jahres gründete Anna außerdem Anna Nackt – eine Plattform, auf der sich Menschen austauschen können, die ebenfalls nackt im Internet bloßgestellt wurden. Sie hat dort eine Liste mit Tipps für erste Schritte zusammengestellt. Genau das, was sie sich selbst gewünscht hätte.

Vielleicht sind in diesem Moment wieder Nacktfotos von Anna online. Sie weiß es nur noch nicht, oder sie sind ohne ihren Namen veröffentlicht, was es schwerer macht, sie zu finden. Es gebe noch mehr Fotos, die sie noch expliziter zeigten, sagt Anna. Möglich, dass auch die irgendwann im Netz auftauchen. Aber die Angst, dass diese Aufnahmen alles zerstören könnten, die sei kleiner geworden – weil es die letzten drei Male nicht so gekommen sei.


Aus: "Revenge Porn: Nackte Angst" Nina Monecke  (27. Dezember 2020)
Quelle: https://www.zeit.de/zett/politik/2020-12/digitale-gewalt-revenge-porn-nacktfotos/komplettansicht

QuotePrincess Poppy #8

Im Sommer 2014 gab es den sogenannten Cloud Hack, auch bekannt unter dem Titel "THE FAPPENING". Der Hackerangriff auf private Fotos von Prominenten 2014 (in der Netzkultur auch Celebgate genannt) bezeichnet den Diebstahl und die Veröffentlichung privater Fotos von jungen, überwiegend weiblichen Prominenten in den USA, die offenbar aus geknackten Accounts des Apple-Dienstes iCloud stammen. Es traf aber eben nicht nur Prominente, sondern auch wahllos Personen, die nicht prominent sind. Das im Artikel genannte Zeitfenster passt dazu perfekt.
Der US-amerikanische Hacker Ryan Collins wurde im Oktober 2016 zu 18 Monaten Gefängnis verurteilt, nachdem er sich schuldig bekannt hatte, unberechtigt auf 50 iCloud-Konten und 72 Google-Mail-Konten zugegriffen zu haben. Den Ermittlungen zufolge hatte er zwei Jahre lang durch Phishing die Zugangsdaten zu Konten gesammelt. Es wurden später drei weitere Hacker, darunter George G., verurteilt. Letzterer hatte sich Zugang zu mehr als 550 iCloud und Gmail Accounts verschafft.


Quotefipps #6

Liebe "Anna",

Mir ist mal ein ähnlicher Fall untergekommen. Eine Kollegin bat mit völlig verzweifelt um Hilfe, weil sie das Gefühl hatte ein aufdringlicher Verehrer/Studienkollege könne ihren Whatsapp Chat lesen.

Was war passiert? Sie war mit ihm Cafe lernen, und als Sie aufs Klo ist hatte sie ihr Handy in auf dem Tisch liegen gelassen. Er hatte sich wohl ihr Entsperrmuster gemerkt und während er seinen Laptop dabei hatte einfach sich mit Whatsapp Web verbunden - das geht sehr schnell und dauert nur ein paar Sekunden. Danach hatte er Vollzugriff auf ihr Konto, konnte alles mitlesen und natürlich auch auf alle Dateien zugreifen. Da es ein paar Jahre her ist war es auch nicht so aufdringlich als Symbol am Handy angezeigt wie das heute bei Whatsapp der Fall ist, sie hatte es also schlicht nicht bemerkt und er hatte über Wochen Zugriff auf ihren Account. Mit den richtigen Browsereinstellungen kommt man übrigens immer wieder rein ohne nochmal Scannen zu müssen. Da hilft nur die Verbindung manuell auf dem Handy zu unterbrechen.

Vielleicht ist Dir ja ähnliches passiert, da im Bericht stand es war Whatsapp im Spiel. Selbiges geht übrigens auch mit anderen Messengern wie Telegram etc.

...

Lg


Quotejohannesbln #10

Ich hab schon jede Menge Nacktbilder und pornographisches Material von mir aufgenommen, verschickt und gespeichert.

Die wichtigste Regel ist nie etwas zu fotografieren was nie jemand sehen soll. Bei mir also nichts mit Kopf...
Und danach eben sichere Passwörter, am besten eine spezielle passwortgesicherte App oder verschlüsselte Volumes.
Es gibt immer Arschlöcher...sich dagegen zu schützen ist Aufgabe eines jeden einzelnen.


QuoteCIVIL #15

Der Artikel könnte auch von 2010 sein. Grundsätzlich gilt, was digital verbreitet wird kann überall auftauchen.


QuoteWendekind1989 #23

Was man online versendet ist da für immer.
Egal an wen, egal wann, egal was.
Das gehört zum kleinen 1x1 des Internets.
Auch der vertrauenswürdigste Freund oder fest Partner kann gehackt werden. Onlinespeicher angezapft oder sonstwas schief gehen.
Natürlich denkt man darüber in dem Moment nicht nach, aber so ist es nunmal.
Ein digitales Medium wird auch nicht wie ein einmaliger Druck geklaut, es wird kopiert und vervielfältigt sich. Am Ende weiß niemand woher es nun kommt oder wohin es geht. Es wandert frei und läuft "Informationsamok" und ist unaufhaltbar. Man kriegt es da auch nicht mehr weg. Irgendwer, irgendwo hat es auf seiner Platte und in der nächsten Onlinesammlung vor "Mädels mit Haarfarbe x/eigenschaft y" kann es einfach wieder auftauchen. Unvermittelt, plötzlich und vom Opfer auf Jahre unbemerkt.

Als Opfer bleibt eigentlich nur eines:
"Bodyposivity. Das bin ich. Das ist mein Körper zu dem ich stehe. Ich wollte nicht, dass es online ist, aber so es nun eben. Ich schäme micht nicht für mich selbst und bin deswegen keine *hier Herabwürdigung einfügen*. "
Und das als stures Mantra. Der Körper gehört nur einem selbst, dabei ist es letztlich egal wie viele ihn gesehen haben. Das schmälert nicht "Wert", Würde oder was auch immer.
Weniger: Wie halte ich das auf?
Mehr: Wie gehe ich damit um.


QuoteLiisa #23.1

Trotzdem existiert das Recht am eigenen Bild. Googeln Sie mal danach.


QuoteOdalis #23.2

Sicher tut es. Hilft aber nichts, wenn man es nicht durchsetzen kann.


Quotefat_bob_ger1 #29

Es scheint mir, als ob manche nicht so richtig zwischen Täter und Opfer unterscheiden können. In einer digitalen Welt kann alles an die Öffentlichkeit geraten. Wer ist schon begeistert, wenn gehackte Bankdaten über einen ins Internet gestellt werden, weil das Kreditinstitut keinen sicheren Server hatte. Ist daran etwa der Bankkunde schuldig? Hätte er vor Eröffnung eines Bankkontos einen IT Sicherheitsbeauftragten konsultieren sollen?

Jeder kann Pech haben. Auch ein sehr kleiner Fehler kann sich später fatal auswirken. Wer in den Fokus eines Profihackers gerät, der ist nahezu chancenlos. Wenn die eigenen Sicherheitsmaßnahmen nicht ausreichend waren oder man Pech hatte, dann muss sich der Betroffene überlegen, wie er damit umgeht. Dazu gehört m. E. (1) der Versuch, den/die Schuldigen zu finden und ggf. zu bestrafen, (2) die Frage, wie man mit dem Problem weiter umgeht, wo man sich Hilfe sucht... und (3) die Fähigkeit, es dem Vorgang nicht zu gestatten, das eigene Leben dauernd zu beeinträchtigen. Ich drücke der "Anna" in jedem Fall die Daumen, dass sie sich von der Verletzung ihrer Intimspähre erholt und möglichst die Schuldigen zur Rechenschaft ziehen kann. Wenn die Schuldigen nicht gefunden werden können, dann wünsche ich ihr auch die nötige Gelassenheit bzw. Resilenz, die notwendig ist, um weitere Beeinträchtigungen zu minimieren.


...

Textaris(txt*bot)

Quote[...] Datenpanne bei den Corona-Schnelltests: Mehr als 130.000 Testergebnisse und die dazugehörigen persönlichen Daten haben Berichten zufolge ungeschützt im Internet gestanden. Es seien mindestens 136.000 Datensätze betroffen gewesen, berichteten die Süddeutsche Zeitung, der rbb und die österreichische Zeitung Der Standard. Sie beriefen sich auf eine Analyse eines Kollektivs von IT-Experten namens Zerforschung und des Chaos Computer Clubs (CCC).

Zusammen mit den Ergebnissen der Schnelltests waren demnach jeweils eindeutig identifizierende Daten wie Name, Adresse, Staatsbürgerschaft, Mobilfunknummer, Geschlecht, E-Mail-Adresse und in einigen Fällen die Ausweisnummer im Internet zu finden. Unbefugte hätten die Daten als PDF herunterladen können.

Dazu mussten sie sich den Berichten zufolge nur ein Konto bei einem Testzentrum erstellen und ihren Internet-Browser trickreich nutzen. Über eine zweite Sicherheitslücke waren demnach Statistiken über die aktuellen Zahlen der positiven und negativen Ergebnisse in den Zentren einsehbar sowie mit etwas Aufwand Fotos der QR-Codes, die Getestete erhalten, samt Testergebnis. Beide Sicherheitslücken seien in der vergangenen Woche geschlossen worden, berichteten die drei Medien.

Die Sicherheitslücken klafften demnach in der Software Safeplay des österreichischen Unternehmens Medicus AI. Das Programm werde in Testzentren benutzt, um Termine zu vergeben und den Getesteten ihre Ergebnisse digital zugänglich zu machen. Betroffen seien vor allem Testzentren eines bestimmten Betreibers, unter anderem in München, Berlin, Mannheim und im österreichischen Klagenfurt.

Nach der Entdeckung der Lücken schalteten die IT-Expertinnen von Zerforschung und CCC den Berichten zufolge das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein, das wiederum Medicus AI informiert habe. Die Süddeutsche Zeitung zitierte das Unternehmen mit den Worten, die Sicherheitslücke sei "durch einen Fehler in einem Update der Software von Mitte Februar" entstanden. Das BSI erklärte dem Blatt zufolge, ihm lägen "derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist".


Aus: "Datenschutz: 130.000 Ergebnisse von Schnelltests ungeschützt im Netz" (18.03.2021)
Quelle: https://www.zeit.de/wissen/gesundheit/2021-03/corona-schnelltests-datenschutz-internet-name-telefonnumer-adresse

Textaris(txt*bot)

Quote[...] Telefonnummern und persönlichen Daten von Hunderten Millionen Facebook-Nutzern sind am Samstag in einem Forum für Hacker veröffentlicht worden. Das berichten mehrere Medien. Obwohl die Daten schon einige Jahre alt sein sollen, stellen sie für diejenigen, deren Angaben publik wurden, ein Risiko dar.

Die Veröffentlichungen sollen persönliche Informationen von über 533 Millionen Facebook-Nutzern aus 106 Ländern umfassen, darunter über 32 Millionen Datensätze zu Nutzern in den USA, 11 Millionen zu Nutzern in Großbritannien und 6 Millionen zu Nutzern in Indien. Die Datensätze enthalten Telefonnummern, Facebook-IDs, vollständige Namen, Standorte, Geburtsdaten und in einigen Fällen auch E-Mail-Adressen.

Die nun aufgetauchten Daten sollen von dem Cybercrime-Unternehmen Hudson Rock entdeckt worden sein. Sie könnten Kriminellen wertvolle Informationen liefern. So ist denkbar, dass Unbefugte die persönlichen Daten von Menschen verwenden, um sich als diese auszugeben.

Die Daten waren in verschlüsselter Form bereits im Januar aufgetaucht. Damals hatte ein Benutzer im selben Hacking-Forum einen automatisierten Bot beworben, der gegen einen Preis angeblich die Telefonnummern von Hunderten Millionen Facebook-Benutzer bereitstellen könnte. Womöglich hat aber niemand den geforderten Preis bezahlt. Nun wurde der gesamte Datensatz kostenlos im Hacking-Forum veröffentlicht – und ist allgemein verfügbar.

svv


Aus: "Daten von 533 Millionen Facebook-Nutzern veröffentlicht" (03.04.2021)
Quelle: https://www.spiegel.de/netzwelt/daten-von-533-millionen-facebook-nutzern-veroeffentlicht-a-f0c7cf4e-fee8-4c30-bab6-cd641fe26d11

Textaris(txt*bot)

Quote[...] In der Software zweier Berliner Corona-Schnellteststationen ist ein Datenleck entdeckt worden. Durch eine Sicherheitslücke konnten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen. Betroffen sind die ,,Testzentrale" im Ring Center in Friedrichshain und das ,,Hotel Estrel" in Neukölln. Mit wenigen Handgriffen ließen sich Daten von mehr als 6000 Registrierungen seit Anfang April abfragen, darunter sensible Angaben wie Adresse und Geburtsdatum.

Um die Daten abzurufen, bedurfte es keiner speziellen IT-Kenntnisse – vielmehr reichte simple Logik. Wer sich bei der Testzentrale für einen Termin registriert, erhält eine eigene vierstellige Identifikationsnummer, kurz ID. Nach dem Test erhält jede:r Getestete eine Schnelltest-Nummer.

Beide Nummern reichten aus, um das Ergebnis jedes Getesteten dieser Teststation zu erhalten. Wer die URL – also die Internetadresse – nur leicht veränderte, hatte Zugriff auf Name, Geburtsdatum, Anschrift, Testergebnis und Uhrzeit des Termins der dort angemeldeten Personen. Um diese Daten abzurufen, brauchte es eine eigene Registrierung – eine geringe Hürde.

Das Datenleck betraf nicht nur die Berliner Teststationen. Nach einer ersten Recherche nutzen Teststationen in Städten wie Hamburg, Düsseldorf, Stuttgart, Würzburg, Heidelberg bis zu kleineren Orten wie Deidesheim, Rottweil und Westerkappeln dieselbe Software.

Betreiber aus ganz Deutschland, die die Software nutzen, könnten die Datenlücke auf ihrer Website haben. Bei einer stichprobenartigen Prüfung des Tagesspiegel in 13 Teststationen, die nach ersten Recherchen die Software von Innofabrik nutzen, war am Sonnabend auch der Abruf fremder Daten möglich – es geht um insgesamt mehr als 45.000 Termindaten.

Softwarebetreiber ist die Innofabrik, eine Firma aus dem rheinland-pfälzischen Haßloch bei Mannheim. Nach eigenen Angaben betreiben gerade ausschließlich Studierende die Firma als Nebenerwerb. Die Software sei ,,gemeinsam mit verschiedenen lokalen Experten in den Themen Datenschutz, IT-Recht und dem DRK Haßloch-Meckenheim" entwickelt worden.

Innofabrik-Geschäftsführer Dennis Messer entschuldigte sich für das Datenleck ,,zutiefst". Die Firma habe bei der Entwicklung der Software ,,mit verschiedenen Datenschutzbeauftragten zusammengearbeitet". Die Software habe eine professionelle Sicherheitsüberprüfung durchlaufen, ,,bei welcher diese Sicherheitslücke leider nicht entdeckt wurde".

Messer erklärte: Der Fehler sei bei der Weiterentwicklung der Software in einer bestimmten Version entstanden. Nach der Tagesspiegel-Anfrage hat die Firma die Datenlücke geschlossen. Eine Stellungnahme der Teststation-Betreiber lag dem Tagesspiegel bis Samstagnachmittag nicht vor.

Es ist nicht die erste Datenlücke bei einem Berliner Testzentrum. Mitte März machte der RBB ein Datenleck der Corona-Schnellteststationen der Firma 21DX und ihres Dienstleisters Medicus Ai publik. Laut einer Analyse des IT-Kollektivs ,,Zerforschung" und des Chaos Computer Club (CCC) lagen für Tausende von Getesteten hoch sensible Daten schlecht gesichert im Netz. Mehr als 130.000 Registrierungen waren einsehbar.

Anfang April wurde ein weiteres Datenleck bekannt. Diesmal bei dem Anbieter für Corona-Schnelltests, Eventus Media International (EMI). Nach Angaben des Kollektiv ,,Zerforschung" waren 14.000 Registrierungen samt der Testergebnisse zugänglich. Betroffen waren Kunden aus Hamburg, Berlin, Leipzig, Dortmund und Schwerte.

Der Senat zertifiziert die Berliner Testzentren, prüft aber offenbar nicht deren Datensparsamkeit. Die Gesundheitsverwaltung hatte im März erklärt, dass die Testzentren von sich aus die gesetzlichen Pflichten bei der Datenverarbeitung einhalten müssen.


Aus: "Datenleck in Software – auch zwei Berliner Teststationen betroffen" Corinna Cerruti (25.04.2021)
Quelle: https://www.tagesspiegel.de/berlin/ergebnisse-von-45-000-menschen-zugaenglich-datenleck-in-software-auch-zwei-berliner-teststationen-betroffen/27128722.html

Textaris(txt*bot)

Quote[...] Die Staatsanwaltschaft in Albanien hat wegen eines massiven Datenlecks die Ermittlungen aufgenommen. Dies teilte die Staatsanwaltschaft von Tirana am Donnerstag mit. Zuvor waren die persönlichen Daten von Tausenden Menschen, darunter auch des Regierungschefs Edi Rama und des Präsidenten Ilir Meta, auf öffentlichen Plattformen im Internet aufgetaucht, wie ein Reporter der Nachrichtenagentur AFP bestätigte.

Die Daten umfassten Benutzerkennungen, Namen von Arbeitgebern, Monatsgehälter und Telefonnummern. Sie waren am Mittwoch auf Whatsapp und anderen Plattformen weiterverbreitet worden.

Die albanische Presse schätzte die Zahl der von dem Leck betroffenen Personen auf fast 700.000. Darunter sind Bankangestellte, Unternehmer, Beamte, Mitarbeiter der Geheimdienste und des Militärs sowie Journalisten.

Medienberichten zufolge beschlagnahmten die Ermittler die Server mehrerer Institutionen, darunter der Steuerbehörde und der Sozialversicherung. Der Regierungschef sagte auf einer Pressekonferenz, dass es sich nicht um einen "Cyberangriff" handle. Stattdessen sei das Leck "von innen heraus von Personen mit Zugang zu den Datenbanken" organisiert worden sei. Er versprach, dass der Vorfall umfassend untersucht werde. "Das Ziel war auch, Verwirrung zu stiften und der Stabilität zu schaden", sagte er.

Es ist das zweite große Daten-Leck in Albanien binnen eines Jahres. Vor den Parlamentswahlen waren im April die Daten von fast einer Million Albanern an die Medien durchgesickert. Bisher wurde niemand in diesem Fall zur Verantwortung gezogen. (APA, 24.12.2021)


Aus: "Albanische Staatsanwaltschaft ermittelt wegen massiven Datenlecks" (24. Dezember 2021)
Quelle: https://www.derstandard.at/story/2000132152130/albanische-staatsanwaltschaft-ermittelt-wegen-massivem-datenleck

Textaris(txt*bot)

Quote[...] Identitätsdiebstahl klingt kompliziert, ist es aber leider nicht. Betrügerinnen und Betrügern reicht oft schon ein echter Name mit zugehöriger Postadresse, um auf virtuellen Beutezug zu gehen, warnt die

An die Daten gelangen die Kriminellen etwa über Phishing-Mails oder Online-Fallen mit gefälschten Angeboten, in die jemand tappt und ungewollt seine Daten preisgibt, erklären die Verbraucherschützer.

Demnach läuft die Masche so ab: Der fremde Name wird samt gestohlener Anschrift für die Anmeldung in einem Onlineshop missbraucht. Anschließend bestellen die Täterinnen und Täter auf Rechnung, wobei die gestohlene Anschrift nur als Rechnungsadresse fungiert. Liefern lassen die Betrüger natürlich an eine andere Adresse.

Bestellbestätigungen und Mahnungen wegen ausbleibender Zahlungen gehen per E-Mail an eine von den Kriminellen eingerichtete Adresse. Das Opfer erfährt erst etwas von dem Betrug, wenn Inkassoschreiben oder Mahnbescheide per Post an seine Adresse – die Rechnungsadresse – zugestellt werden.

Es kann aber auch sein, dass die Kriminellen ganze Datensätze mit gestohlenen Kontoinformationen von Onlineshops kaufen oder selbst mit erfolgreichen Hackerangriffen auf Onlineshops oder -marktplätzen erbeuten. Weil sie dann Benutzernamen und Passwörter bestehender Konten besitzen, ist der Warenbetrug noch einfacher.

Vor diesem Szenario schützt man sich am besten, indem man bei seinen Konten – wo immer möglich – die Zweifaktor-Authentisierung (2FA) aktiviert, rät die Verbraucherzentrale.

Betrugsopfer sollten in jedem Fall Anzeige bei der Polizei erstatten. Das funktioniert nicht nur vor Ort, sondern etwa auch bei den Onlinewachen der Landespolizeien. Anschließend gilt es, sowohl Inkassounternehmen als auch Onlineshops schriftlich zu informieren und die Anzeige mitzusenden.

Zusätzlich sollte man dem Inkassomahnbescheid fristgerecht widersprechen und sich bei Auskunfteien wie Schufa oder Crif informieren, welche Eintragungen es im Zusammenhang mit dem Identitätsmissbrauch gibt beziehungsweise auch dort den Datenklau melden.


Aus: "Betrug im Netz: Identitätsklau: Wenn Kriminelle auf Ihre Kosten shoppen gehen" (dpa/str, 4.3.2022)
Quelle: https://www.berliner-zeitung.de/news/identitaetsklau-wenn-kriminelle-auf-ihre-kosten-shoppen-gehen-li.215362

Textaris(txt*bot)

Quote[...] Großbritannien will die Verbreitung sogenannter Deepfake-Pornos verbieten. Justizminister Dominic Raab kündigte eine entsprechende Gesetzesänderung an, wie die Nachrichtenagentur dpa berichtete. "Wir müssen mehr tun, um Frauen und Mädchen vor Menschen zu schützen, die intime Fotos machen oder manipulieren, um sie zu demütigen", sagte Raab. Deepfake-Pornografie können Bilder oder Videos sein, bei denen Aufnahmen bestimmter Menschen mit pornografischen Szenen kombiniert werden und dadurch besonders realistisch erscheinen.

Einem von 14 Erwachsenen in England und Wales ist bereits damit gedroht worden, dass von ihm sogenannte Deepfakes verbreitet werden. So berichtet es die dpa unter Berufung auf offizielle britische Zahlen.

...


Aus: "Großbritannien will Verbreitung von Deepfake-Pornos bestrafen" (25. November 2022)
Quelle: https://www.zeit.de/digital/2022-11/deepfake-pornografie-grossbritannien-verbot


Textaris(txt*bot)

Quote[...] Meta muss in Irland 265 Millionen Euro Strafe wegen eines Datenlecks zahlen, das 2021 entdeckt worden war. In einem Hacker-Forum wurden damals persönliche Daten von rund einer halben Milliarde Facebook-Nutzern angeboten, darunter 533 Millionen Telefonnummern, E-Mail-Adressen und teilweise auch der Wohnort der Nutzerinnen und Nutzer. Auch Nummern von deutschen Abgeordneten und Personen, die durch den sogenannten NSU 2.0 bedroht werden, waren damals abgeflossen [https://www.spiegel.de/netzwelt/netzpolitik/facebook-leak-bundestag-warnt-abgeordnete-a-2334057b-8e92-46d1-abdf-a2fbc8fc24b1].

Die irische Datenschutzbehörde DPC teilte am Montag mit, sie habe ihre Untersuchungen zu dem Fall aus dem April 2021 abgeschlossen. Die Datenschutzbehörden der übrigen EU-Mitglieder hätten mit der irischen Behörde zusammengearbeitet und stimmten der Entscheidung zu.

Die DPC steht regelmäßig in der Kritik, weil sie zu zaghaft oder zu langsam gegen Datenschutzvorfälle der großen Internet-Konzerne vorgehe, die in Irland häufig Niederlassungen unterhalten. Allein in den vergangenen 14 Monaten musste Meta allerdings 17 Millionen Euro, die Meta-Tochter WhatsApp 225 Millionen Euro und die ebenfalls zu Meta gehörende App Instagram 405 Millionen Euro wegen Verstößen gegen Datenschutzregeln zahlen. Zusammen mit der heute verkündeten Entscheidung summieren sich die Strafzahlung für Meta damit auf über 900 Millionen Euro.

Facebook teilte mit, das Urteil zu prüfen. Kriminelle hätten die öffentlich zugänglichen Daten vor September 2019 durch sogenanntes Scraping abgeschöpft. Bei dieser Methode werden öffentlich aufrufbare Daten im großen Stil automatisiert gesammelt und zusammengetragen, ohne in die internen IT-Systeme eines Unternehmens einzudringen. Facebook betonte entsprechend, die Systeme des Unternehmens seien nicht gehackt worden.

Damit bleibt Meta einer Verteidigungslinie treu, mit der der Konzern schon 2021 versuchte, das Datenleck auszusitzen. In einer geleakten Mail hatte das Unternehmen seine Mitarbeiter damals eingeschworen, dass »die Aufsichtsbehörden sich auf das Thema eingeschossen haben« und dass daher ein »beständiger Trommelschlag der Kritik in der Presse anhalten« werde.

Meta hat gegen die Instagram- sowie die WhatsApp-Entscheidung jeweils Berufung eingelegt. Nun müssen Richter entscheiden. Ein Urteil gilt als Präzedenzfall für künftige Untersuchungen von Datenrechtsverstößen.

hpp/dpa/reuters



Aus: "Meta muss 265 Millionen Euro Strafe zahlen" (28.11.2022)
Quelle: https://www.spiegel.de/netzwelt/netzpolitik/meta-muss-265-millionen-euro-strafe-zahlen-a-ef8a58be-8106-4f58-a053-13aff1c2da88

Textaris(txt*bot)

Quote[...] Die Daten von fünf Millionen Menschen wurden im Internet gestohlen und auf Bot-Märkten für durchschnittlich sechs Euro zum Kauf angeboten. Das berichtete der VPN-Anbieter NordVPN in einer Aussendung. Diese wachsende Bedrohung habe bereits 10.000 Menschen in Österreich betroffen, wobei Hacker Webcam-Schnappschüsse, Screenshots, Logins, Cookies und digitale Fingerabdrücke veräußern.

Österreich steht mit mehr als 10.000 Daten auf dem 15. Platz in Europa und auf Platz 65 der betroffenen Länder weltweit, so das Cybersicherheitsunternehmen, das drei große Bot-Märkte (Genesis und Russian Market sowie 2Easy) untersuchte. "Bot" bedeutet in diesem Zusammenhang kein autonomes Programm, sondern datenausspähende Malware. Bot-Märkte sind Online-Marktplätze, die Hacker nutzen, um Daten zu verkaufen, die sie mit Bot-Malware von den Geräten ihrer Opfer gestohlen haben.

Die Daten werden in Paketen verkauft, die Logins, Cookies, digitale Fingerabdrücke und andere Infos enthalten – die vollständige digitale Identität einer kompromittierten Person. "Bot-Märkte unterscheiden sich von anderen Dark-Web-Märkten dadurch, dass sie in der Lage sind, große Mengen an Daten über eine Person an einem Ort zu erhalten. Nachdem der Bot verkauft wurde, garantieren sie dem Käufer, dass die Informationen des Opfers so lange aktualisiert werden, wie sein Gerät mit dem Bot infiziert ist", sagte Marijus Briedis, CTO bei NordVPN.

Die beliebtesten Arten von Malware, die Daten stehlen, seien RedLine, Vidar, Racoon, Taurus und AZORult. "Das Erschreckendste an Bot-Märkten ist, dass sie es Hackern leicht machen, die Daten der Opfer auszunutzen. Selbst ein unerfahrener Cyberkrimineller kann sich in das Facebook-Konto einer Person einklinken, wenn er über Cookies und digitale Fingerabdrücke verfügt, mit denen er die mehrstufige Authentifizierung umgehen kann", schreibt das Unternehmen.

Die Untersuchung fand 26,6 Millionen gestohlene Logins auf den drei Märkten. Darunter waren 720.000 Google-, 654.000 Microsoft- und 647.000 Facebook-Anmeldungen. Um sich zu schützen, sollte stets ein Antivirenprogramm verwendet werden, raten die Experten. (APA, 08.12.2022)


Aus: "Bot-Märkte bieten Daten von fünf Millionen Menschen zum Verkauf an" (8. Dezember 2022)
Quelle: https://www.derstandard.at/story/2000141627945/bot-maerkte-bieten-daten-von-fuenf-millionen-menschen-zum-verkauf

Textaris(txt*bot)

Quote[...] Ein Mitglied eines Cybercrime-Forums behauptet, E-Mails und Telefonnummern von 400 Millionen Twitter-Usern erhalten zu haben. Die Kriminellen fordern Twitter-Chef Elon Musk dazu den Datensatz zu einem nicht näher genannten Preis zurückzukaufen, anderenfalls werde man die privaten Informationen der Userinnen und User veröffentlichen.

Der Foreneintrag wurde vom israelischen Sicherheitsunternehmen Hudson Rock entdeckt. Laut den Informationen des Unternehmens befinden sich in dem Datensatz die privaten Informationen von über 30 High-Profile-Usern. So sollen sich sich Mailadressen und Telefonnummern der US-Politikerin Alexandria Ocasio-Cortez, dem ehemaligen US-Präsidenten Donald Trump, Google-CEO Sundar Pichai, Apple-Mitgründer Steve Wozniak sowie Vitalik Buterin, der gemeinhin als Erfinder der Kryptowährung Ether gilt in den gestohlenen Daten befinden.

Das Posting enthielt auch eine Art "Kostprobe" der Datensätze. Unter den bereits veröffentlichten tausenden Profilen sind auch einige öffentliche Institutionen. Deren aufgelisteten Emailadressen scheinen legitim zu sein. Cyberkriminelle veröffentlichen häufig einen Bruchteil des Datensatzes, um so dessen Legitimität zu beweisen. Laut Angaben von Hudson Rock sollen die Daten aus dem Frühjahr 2022 stammen. Ob das Paket aber tatsächlich die Informationen von 400 Millionen Userinnen und Usern enthält, sei aber nicht abschätzbar, so das israelische Unternehmen.

Der Forumseintrag stammt von einem User namens "Ryushi". Wie der Cyberkriminelle an die Daten gekommen ist, wird nicht näher erläutert. Der User nennt lediglich eine "Schwachstelle" im Sicherheitssystem von Twitter als Grund für das Datenleck.

Der Hack kommt für Twitter zur Unzeit: Seit der Übernahme von Twitter durch Elon Musk steht der Kurznachrichtendienst weltweit unter Beobachtung. So hat die US-Handelsaufsicht FTC angekündigt, ihre Ermittlungen gegenüber Twitter deutlich zu intensivieren, nachdem die Konten mehrerer US-Journalisten von der Plattform gesperrt wurden. Die Behörde hegt den Verdacht, dass Datenschutzvorschriften und Sicherheitsstandards seit der Übernahme von Musk nicht mehr eingehalten werden.

In Europa steht Twitter ebenfalls unter Beobachtung. So kündigte die irische Datenschutzkommission eine Untersuchung eines Vorfalls im August, also in der Ära vor Musk, an. Dabei wurden 5,4 Millionen Datensätze von Twitter-Usern gestohlen – diese landeten in dem selben Forum der Cyberkriminellen.

Twitter verstoße offensichtlich gegen die Datenschutz-Grundverordnung, was mit saftigen Bußgeldern in der Höhe von 4 Prozent des Jahresumsatzes verbunden sein kann. Die irische Behörde ging bereits erfolgreich gegen die Facebook-Mutter Meta vor. Das Unternehmen musste im November eine Strafe von 265 Millionen Euro zahlen, nachdem im Vorjahr die Daten von einer halben Milliarde Social-Media-Nutzern online erschienen waren. (pez, 25.12.2022)


Aus: "Sicherheitslücke bei Twitter: Hacker erbeuten Daten von 400 Millionen Usern" (25. Dezember 2022)
Quelle: https://www.derstandard.at/story/2000142091937/datenleck-bei-twitter-hacker-wollen-daten-von-400-millionen-usern


Textaris(txt*bot)

Quote[...] Bei einem Hackerangriff gelangen Kontodaten von Tausenden deutschen Bankkunden in die Hände von Unbekannten. Betroffen sind vier große Geldinstitute. Diese rufen die Betroffenen nun auf, ihre Konten auf verdächtige Abbuchungen zu überprüfen.

Das vor wenigen Tagen bekannt gewordene Datenleck bei einem Dienstleister für den Kontowechsel trifft mehr Bankkunden als zunächst bekannt. Auch die Direktbank ING und die zur Commerzbank gehörende Comdirect sind von dem Hackerangriff betroffen gewesen, wie beide Häuser bestätigten. Am Freitag hatte bereits die Deutsche Bank als Reaktion auf einen Medienbericht öffentlich gemacht, dass bei ihr und bei der Postbank personenbezogene Daten einer nicht genannten Anzahl von Kundinnen und Kunden in Hände von Unbekannten gelangt seien. Nach Informationen des "Bonner General-Anzeigers" ging es um Vornamen, Namen und Kontonummer (IBAN).

Ein Sprecher der ING Deutschland teilte nun mit: "Auch wir haben Kenntnis darüber, dass kürzlich ein Hackerangriff auf einen Dienstleister verübt wurde, mit dem wir im Rahmen der gesetzlichen Kontowechselhilfe zusammenarbeiten." Dabei hätten Unbefugte Zugriff auf personenbezogene Daten erhalten, die der Dienstleister für den Kontowechsel verarbeitet. "Nach aktuellem Kenntnisstand ist eine niedrige vierstellige Zahl an Kundinnen und Kunden betroffen, die im Rahmen einer Girokontoeröffnung bei uns die gesetzliche Kontowechselhilfe genutzt haben", hieß es von der ING.

Bei dem Dienstleister handelt es sich um die Majorel Deutschland GmbH, die über ihre 100-Prozent-Tochter Kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will. "Im Rahmen einer Sicherheitslücke der Software MOVEit, von der viele Unternehmen auf der ganzen Welt betroffen sind, ist Majorel Deutschland Ziel eines Hackerangriffs geworden", erklärte eine Majorel-Sprecherin. "Unser Cybersecurity-Team hat die Sicherheitslücke nach Bekanntwerden unverzüglich geschlossen und alle notwendigen Maßnahmen ergriffen, um die Sicherheit unserer Systeme zu gewährleisten."

Die Banken haben nach eigenen Angaben die betroffenen Kundinnen und Kunden über den Vorfall informiert. Die Deutsche Bank rief nach Angaben eines Sprechers Betroffene auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Unautorisierte Lastschriften könnten bis zu 13 Monate rückwirkend zurückgegeben werden. Das Geld werde dann von der Bank erstattet.

Im Fall von Deutscher Bank und Postbank ging es nach Angaben des größten deutschen Geldhauses um Kunden, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt hatten. Auch bei der ING Deutschland handelt es sich nach Angaben eines Sprechers um Kontowechsel, die einige Jahre zurückliegen. Eine Commerzbank-Sprecherin teilte mit: "Wir sind ausschließlich mit der Marke Comdirect vom Datenleck bei Majorel betroffen. Kunden der Marke Commerzbank sind nicht betroffen."

Seit September 2016 sind Geldinstitute in Deutschland gesetzlich verpflichtet, Verbraucherinnen und Verbraucher beim Kontowechsel zu unterstützen. Das neue Institut muss ein- und ausgehende Überweisungen sowie Lastschriften des alten Kontos übernehmen. Nach spätestens zwölf Geschäftstagen soll das neue Konto eingerichtet sein. Die Regelungen sind Teil des Zahlungskontengesetzes, mit dem eine EU-Richtlinie in deutsches Recht umgesetzt wurde. Anbieter wie Kontowechsel24.de werben mit einem "schnellen und unkomplizierten" Wechsel der Bankverbindung. Im Geschäftsjahr 2019 führte das Unternehmen nach eigenen Angaben über sein System 400.000 Kontenwechsel durch und stellte drei Millionen Bankverbindungen um.

Quelle: ntv.de, uzh/dpa


Aus: "Hacker erbeuten Namen und IBAN: Tausende Bankkunden in Deutschland von Datenleck betroffen" (11.07.2023)
Quelle: https://www.n-tv.de/wirtschaft/Tausende-Bankkunden-in-Deutschland-von-Datenleck-betroffen-article24253323.html

Textaris(txt*bot)

"Hacker drohen mit Veröffentlichung von Gehaltsdaten" (7. Juni 2023)
Nach dem Bekanntwerden einer Sicherheitslücke beim Datentransfer-Anbieter Moveit drohen Hacker mit der Veröffentlichung von erbeuteten Daten. Die sogenannte Clop-Gruppe habe im Darknet eine Mitteilung veröffentlicht, wonach sich betroffene Firmen und Organisationen bis zum 14. Juni 2023 per E-Mail melden sollten, da die Daten sonst veröffentlicht würden, berichtete der britische Sender BBC am 7. Juni 2023. Zu den gehackten Nutzern von Moveit zählte demnach der britische Lohnbuchhaltungsdienstleister Zellis. Mehr als 100.000 Mitarbeiter der BBC, von British Airways und Boots seien darüber informiert, dass möglicherweise Gehaltsdaten gestohlen wurden. ... In Deutschland verwendet unter anderem die Krankenkasse AOK die Software. ...
https://www.golem.de/news/moveit-luecke-hacker-drohen-mit-veroeffentlichung-von-gehaltsdaten-2306-174750.html

-

"eHealth-Datenleck: Barmer-Kundendaten bei externem Dienstleister erbeutet " Tilman Wittenhorst (25.06.2023)
... IT-Dienstleister sind im Gesundheitswesen, aber auch in anderen Bereichen lohnenswerte Ziele für Cyberkriminelle, bündeln sie doch die Daten mehrerer großer Kunden. Ein erfolgreicher Einbruch hier verheißt einen wertvollen Datenbestand oder ein flächendeckendes Lahmlegen von Diensten (womöglich im Verbund mit Erpressung von Lösegeld). Bei einem Leak beim Dienstleister Bitmarck sind Anfang des Jahres Daten von 300.000 Versicherten erbeutet worden. Wegen der Abwehr einer Cyberattacke auf Bitmarck im April waren außerdem bei Krankenkassen Dienste wie die elektronische Patientenakte oder die e-Arbeitsunfähigkeitsbescheinigung für Ärzte bzw. Versicherte zeitweise nur eingeschränkt nutzbar. ...
https://www.heise.de/news/Krankenkassen-Leak-Barmer-Dienstleister-muss-Datenleck-eingestehen-9197199.html

-

"Missing Link: Welche Länder und Branchen von der MOVEit-Lücke betroffen sind" Imke Stock (29.10.2023)
Die Opferzahlen bei Privatpersonen und Firmen steigen auch Monate nach der Tat weiter an. Untersuchungen zum Ausmaß des Angriffs laufen weiter. Ransomware-Angriffe erreichen weltweit ein Rekordniveau: Cybersicherheitsforschern gehen davon aus, dass 2023 das Jahr mit den meisten Opfern auf sogenannten "Name and Shame"-Websites ist – vorausgesetzt, das derzeitige Niveau an Veröffentlichungen hält weiter an.
Die Ausnutzung der MOVEit-Sicherheitslücke gilt als der größte Datendiebstahl des Jahres. Die für den MOVEit-Vorfall verantwortliche Ransomware-Gruppe Clop veröffentlicht weiterhin Daten von Opfern. ...
https://www.heise.de/hintergrund/Missing-Link-Welche-Laender-und-Branchen-von-der-MOVEit-Luecke-betroffen-sind-9347621.html?seite=all

...

Textaris(txt*bot)

Quote[...] Sicherheitsforscher haben ein großes Archiv mit persönlichen Daten aus Telegram-Kanälen zusammengetragen. Darunter sind neben E-Mail-Adressen auch Passwörter.

Einige Kriminelle teilen in Telegram-Gruppen aus Cyberattacken stammende Daten. Ein Sicherheitsforscher hat nun ein 122 Gigabyte umfassendes Archiv mit persönlichen Daten von Nutzern diverser Onlinedienste gesammelt. Vieles deutet darauf hin, dass die Zugangsdaten echt sind. Die Ursprünge der Daten sind derzeit noch unklar. Ebenso, aus welchem Zeitraum sie stammen.

Einem Bericht zufolge [https://www.troyhunt.com/telegram-combolists-and-361m-email-addresses/] wurde das Archiv dem Betreiber des Onlineservices Have I Been Pwned (HIBP) zugespielt [https://haveibeenpwned.com/]. Der Service sammelt aus Cyberattacken geleakte Daten. Dort kann man anonymisiert etwa durch die Eingabe der eigenen E-Mail-Adresse prüfen, ob man in einem Datenleak auftaucht.

Im aktuellen Fall soll das Archiv 112 Gigabyte groß sein und über 1700 Dateien enthalten. Die Daten sollen aus 518 Telegram-Kanälen zusammengetragen worden sein. Unter die persönlichen Daten fallen unter anderem 361 Millionen E-Mail-Adressen.

Wie der HIBP-Betreiber angibt, hat er davon 151 Millionen Adressen vorher nicht in seiner Datenbank gehabt und hat sie nun hinzugefügt. Außerdem soll das Archiv auch Passwörter und zum Teil die dazugehörigen Websites enthalten. Aus Screenshots in seinem Bericht geht hervor, dass Kennwörter im Klartext vorliegen. Ob das bei allen der Fall ist, ist derzeit unklar. Seiner Prüfung von Stichproben zufolge sehen die Daten echt aus.

Kriminelle organisieren solche Daten in großen Listen, um damit die gesammelten Zugangsdaten im Zuge einer Credential-Stuffing-Attacke automatisiert auf unzähligen Websites auszuprobieren. Landen sie einen Treffer, übernehmen sie die Kontrolle über den entsprechenden Account.

In der Regel werden solche Listen in Untergrundforen zum Verkauf angeboten. Jüngst kam es zu so einem Vorfall beim Cloud-Anbieter Snowflake und Kriminelle haben dort kopierte Nutzerdaten im Darknet zum Verkauf angeboten.

Sind solche Daten erst einmal in Umlauf, kann man sich als Geschädigter nur schwer schützen. In so einem Fall sollte man die Augen und Ohren nach verdächtigen Phishingmails und -telefonanrufen offen halten.

Um sich zusätzlich abzusichern, sollte man bei jedem Onlineservice die Zwei-Faktor-Authentifizierung (2FA) aktivieren. In so einem Fall können sich Angreifer nicht mit einem erbeuteten Passwort einloggen, weil ihnen der zusätzlich benötigte 2FA-Code fehlt.

(des)


Aus: "122 Gigabyte persönliche Nutzerdaten über Telegram-Messenger geleakt" Dennis Schirrmacher (04.06.2024)
Quelle: https://www.heise.de/news/122-Gigabyte-persoenliche-Nutzerdaten-ueber-Telegram-Messenger-geleakt-9746825.html


Textaris(txt*bot)

Quote[...] Stellen Sie sich vor, jemand loggt sich in Ihr Tinder-Profil ein. Oder in Ihr PayPal-Konto. Oder in Ihre privaten Telegram-Kanäle. Und das, obwohl Sie diese Accounts nicht nur mit einem Passwort geschützt haben, sondern sich auch ein zusätzliches Einmalpasswort per SMS schicken ließen.

Klingt unangenehm bis schrecklich? Leider ist diese Gefahr durchaus real. Ursache war ein Problem bei dem britischen Massen-SMS-Versender IdentifyMobile. Das Unternehmen verschickt jeden Tag für zahlreiche Großkunden SMS in erheblicher Menge. Viele davon sind Teil der sogenannten Zwei-Faktor-Authentifizierung, kurz 2FA. Ein Konto wird dabei nicht nur per Passwort, sondern mit einer zweiten Sicherheitsmaßnahme geschützt – die dann zum Beispiel jedes Mal per SMS versandt wird. Doch wie der Chaos Computer Club entdeckte, landete jede SMS, die IdentifyMobile seit August 2023 im Auftrag anderer verschickt hatte, auf einem ungesicherten S3-Server des US-Unternehmens Amazon. Der gesamte Inhalt dieses Servers war für jeden lesbar, der dessen Webadresse kannte. Kein Passwort, keine Verschlüsselung schützte die Daten. ZEIT ONLINE konnte Einblick in diese Daten nehmen und sich von der Brisanz überzeugen, bevor der CCC sie aus Sicherheitsgründen wieder von seinen Systemen gelöscht hat.

Auf dem Server fanden sich insgesamt mehr als sechs Terabyte interne Verwaltungs- und Abrechnungsdaten und Unmengen SMS. In letzteren steckte der brisanteste Teil des Leaks: Hunderttausende SMS mit Einmalpasswörtern für Accounts bei Amazon, Airbnb, Temu, Google, Microsoft, Telegram, Tinder und vielen weiteren Diensten. Damit kann man sich zwar noch nicht direkt in ein Konto einloggen. Doch diese SMS sollen die eigentliche Hürde für Angreifer sein. Denn es gibt für Kriminelle zahlreiche Wege, an den ersten Faktor, das Passwort, zu gelangen. Etwa über Listen im Darknet, in denen Zugangsdaten aus gehackten Accounts gesammelt und gehandelt werden. Verbraucherschützer und Sicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfehlen daher dringend, solche jeweils nur einmal verwendbaren zusätzlichen Faktoren zu nutzen, wo es nur geht.

Normalerweise ist das auch eine gute Idee. Der zweite, unabhängig vom ersten Passwort verschickte Faktor soll wie ein weiteres Schloss an der Tür wirken und es Angreifern sehr viel schwerer machen, in fremde Accounts einzudringen. Dieses zweite Schloss kann eine Authenticator-App sein, eine Abfrage auf einem anderen bekannten Gerät oder eben eine per SMS verschickte vier- bis sechsstellige Zahl. Doch wie ein treffendes Sprichwort besagt, ist eine Kette leider nur so stark wie ihr schwächstes Glied. Und wenn es um 2FA geht, war der britische Massen-SMS-Versender IdentifyMobile monatelang ein gefährlicher Schwachpunkt.

Abgesehen von den Zwei-Faktor-SMS fanden sich auch zahlreiche One-Klick-Log-in-Links auf dem S3-Server. Sie arbeiten wie ein direkter Zugang zu dem jeweiligen Account, ohne dass ein Passwort eingegeben werden muss. Die sind für Kriminelle wie eine offene Tür: Sie haben sofort Zugriff darauf.

Einmalpasswörter und Einmallinks gelten aus Sicherheitsgründen nur für eine kurze Zeit, meist laufen sie nach 15 bis 30 Minuten ab und sind dann wertlos. Hier aber hätte dieser Schutz nicht gewirkt. Denn die Daten auf dem Server wurden alle fünf Minuten aktualisiert, er diente offenbar als ein Back-up-System des Unternehmens. Das aber bedeutet, alle fünf Minuten erschienen dort frische Accountinformationen, die noch lange genug gültig gewesen wären, um sie auszunutzen.

Der Fall zeigt, wie abhängig wir inzwischen von Diensten sind, die die meisten Menschen gar nicht mehr kennen. IdentifyMobile ist ein Zwischenhändler in einer langen Kette von Anbietern, die zwischen den Nutzern einer App und den Betreibern derselben stehen. Das ist nicht nur schlecht. Dienstleister wie IdentifyMobile würden genutzt, weil sie sich auf einzelne Aufgaben spezialisierten und diese gut und sicher erfüllten, sagt Matthias Marx, einer der Sprecher des CCC, dazu. Problematisch werde es allerdings, wenn die Spezialisten ihren Job nicht machten. "IdentifyMobile hatte eine einzige Aufgabe: dafür zu sorgen, dass die SMS sicher zugestellt werden."

Angriffe auf solche Zwischenhändler, die viele Dienste versorgen, gelten außerdem als verheerend, weil auf einen Schlag verschiedene und vor allem sehr viele Bereiche und Kunden betroffen sind. Um die Größenordnung in diesem Fall zu verdeutlichen: IdentifyMobile wirbt damit, dass die Firma mit ihrem Angebot weltweit mehr als fünf Milliarden Menschen erreicht.

Erste Auswirkungen zeigen sich bereits. Einer der Nutzer des Angebotes von IdentifyMobile ist Twilio. Das börsennotierte Unternehmen aus den USA bietet cloudbasierte Telefoniedienste an. Für die Authentifizierung griff man offensichtlich auch auf IdentifyMobile zurück, denn Twilio informierte nun gerade seine zahlreichen Kunden über das Datenleck.

Brisant daran ist auch, wie leicht es zu dieser Sicherheitslücke kam: Das Ganze ist kein Hack, es mussten keine Zugangssperren überwunden werden. Es ist auch keine technische Lücke der Amazon-Server. Daten können dort auf vielfältige Weise gesichert werden, wenn die Mieter des Serverplatzes es wünschen. Das Problem ist viel banaler und alltäglicher: Beim Einrichten des Servers haben die Betreiber offenbar einen Fehler gemacht und ihn nicht bemerkt. Erst als der CCC das Unternehmen darauf hinwies, versperrte IdentifyMobile den Zugang zu den Datenbanken.

Solche Konfigurationsprobleme gibt es überall, je komplexer ein System, desto höher ist die Chance dafür. Die Folgen können gravierend sein, wie sich gerade bei der Videokonferenzplattform Webex gezeigt hat. Auch dort waren aufgrund von Fehlern bei der Konfiguration viele und selbst geheime Videokonferenzen in Tausenden Behörden frei zugänglich. Sicherheitsexperten fordern aus diesem Grund schon lange, dass Anbieter ihre Dienste ab Werk mit Schutzfunktionen versehen und dass diese nicht erst nachträglich installiert werden müssen. Security by design heißt das Konzept.

Für den CCC ergeben sich daher Fragen, und die beziehen sich nicht nur auf die Installationspanne. "Warum wurden die SMS überhaupt gespeichert? Und dann auch noch ungeschützt?", fragt CCC-Sprecher Marx. Die Firma selbst liefert keine Antworten darauf. Auf die Fragen von ZEIT ONLINE dazu reagierte man trotz Nachfrage nur mit Schweigen.

Das Fall IdentifyMobile belegt noch weitere Probleme. Deutsche Banken haben das SMS-Verfahren bereits vor zwei Jahren ersetzt, weil es als nicht sicher genug galt. Bis dahin wurden die Einmalpasswörter, auch Transaktionsnummer oder kurz TAN genannt, eben per SMS auf das Telefon der Kundinnen und Kunden verschickt. Aus Sorge, diese SMS könnten abgefangen werden, stiegen die Banken auf andere Verfahren um – offensichtlich aus gutem Grund. Umso bedenklicher ist es, dass sich unter den geleakten SMS von IdentifyMobile nun zahlreiche Onlinegeldinstitute wie PayPal, Skrill oder SumUp finden.

Einen zweiten Faktor zu nutzen, ist grundsätzlich besser und sicherer, als es nicht zu tun. Darauf legt auch der CCC großen Wert. Alles sei besser, als nur ein Passwort zu nutzen, sagt Marx. Zumindest, solange alle Beteiligten dieser Sicherheitskette ihre Arbeit machten. Interessant ist daher auch, wie IdentifyMobile auf die Hinweise des Chaos Computer Clubs reagierte. Zwar bedankte man sich wortreich und versicherte, das Problem sofort behoben zu haben. Anschließend aber forderten mehrere Vertreter der Firma vor allem eines: Der CCC solle garantieren, dass er keine Daten gespeichert beziehungsweise alle bereits gespeicherten Informationen wieder gelöscht habe. Offenbar fürchtet das Unternehmen Ärger.

Bislang gibt es keine Belege dafür, dass die Daten missbraucht worden sind, beziehungsweise wurden bislang keine öffentlich. Ob IdentifyMobile entsprechende Hinweise hat, ist nicht klar. Die Firma sagt auch dazu nichts.


Aus: "Wenn der Tinder-Zugang offen im Netz rumliegt" Kai Biermann (11. Juli 2024)
Quelle: https://www.zeit.de/digital/datenschutz/2024-07/it-sicherheit-datenschutz-passwoerter-zwei-faktor-authentifizierung-sicherheitsluecke/komplettansicht


Textaris(txt*bot)

Quote[...] Hacker haben die Namen und dienstlichen Kontaktdaten aller niederländischen Polizisten erbeutet, darunter auch von verdeckt tätigen Mitarbeitern. Es seien E-Mail-Adressen, Namen und Positionen der «gesamten Organisation» abgeschöpft worden, teilte der Minister für Justiz und Sicherheit, David van Weel, dem Parlament in Den Haag mit.

«Es gibt bestimmte Gruppen, denen wir jetzt besondere Aufmerksamkeit widmen, darunter auch verdeckt arbeitende Personen», erklärte der Minister. Einzelheiten dazu wollte Van Weel laut ANP «aus Sicherheitsgründen» nicht nennen. Es seien aber keine Daten zu polizeilichen Ermittlungsvorgängen und auch nicht zu privaten Daten der Polizistinnen und Polizisten abgeflossen.

Nach Angaben von Polizeipräsidentin Janny Knol wurde ein Polizeikonto gehackt. Die genaue Zahl der Betroffenen wurde nicht genannt. Laut dem Jahresbericht des Ministeriums gab es Ende 2022 in den Niederlanden rund 64'000 Vollzeitstellen für Polizisten und andere Beschäftigte im Polizeibereich.

«Das ist ein Alptraum», sagte die Vorsitzende der niederländischen Polizeigewerkschaft NPB, Nine Kooiman. Das Wichtigste sei jetzt, «die Daten abzuschirmen und die Mitarbeiter zu schützen».


Aus: "Hacker erbeuten Namen, Dienstgrade und E-Mails aller Polizisten" DPA/ij (27.09.2024)
Quelle: https://www.tagesanzeiger.ch/niederlande-hacker-erbeuten-namen-und-dienstgrade-von-polizisten-832119196535