Schlagwort: Datenpanne
26. März 2021
Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.
Was ist passiert?
Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.
Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.
Das Problem ist behoben
Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.
30. September 2020
Laut Berichten hat Airbnb mit enormen Sicherheitsproblemen zu kämpfen. Viele Airbnb-Hosts melden, dass ihnen nachdem sie sich in ihr Airbnb Account eingeloggt hätten, Postfächer von anderen Hosts angezeigt worden seien. Die Airbnb-Hosts können die Gastgebernamen, Profilbilder, Buchungseinnahmen, Anzahl der Buchen von den letzten 30 Tagen und sogar die Codes, welche den Zugang zum gemieteten Objekt ermöglichen, sehen.
Nach einigen Berichten soll der Airbnb-Support empfohlen haben, sich neu einzuloggen, die Cookies zu löschen oder den Browser zu wechseln. In manchen Fällen wurde das Problem durch das Abmelden und erneute Anmelden verhindert, dies betrifft jedoch nicht alle Fälle.
Airbnb sagte: „Am Donnerstag führte ein technisches Problem dazu, dass eine kleine Gruppe von Benutzern versehentlich begrenzte Mengen an Informationen aus den Konten anderer Benutzer anzeigt“. „Wir haben das Problem schnell behoben und implementieren zusätzliche Kontrollen, um sicherzustellen, dass es nicht erneut auftritt. Wir gehen davon aus, dass persönliche Informationen nicht missbraucht wurden und Zahlungsinformationen zu keinem Zeitpunkt verfügbar waren.“
14. August 2020
Bei der online-Jobbörse der Bundeagentur für Arbeit (BA) haben Datenhändler durch falsche Inserate auf Datensätze zehntausender Bewerber zugegriffen und diese vermutlich auch weiterverkauft.
Aufgefallen war dies 2019 durch Recherchen des SWR. Die BA in Nürnberg konnte hierrauf nach eigenen Feststellungen über 120.000, frei erfundene Inserate ermitteln. Dabei sollen Betroffene auch von Drittfirmen kontatkiert worden sein und Jobangebote erhalten haben, für die sie sich nie beworben hatten.
Das BDSG stellt das Erschleichen von Betroffenendaten durch unrichtige Angaben mit bis zu 2 Jahren unter Strafe. Wie die Süddeutsche Zeitung berichtet, hat die Berliner Staatsanwaltschaft das Ermittlungsverfahren nun jedoch eingestellt. Laut Behörde konnte man gegen den mutmaßlichen Verantwortlichen, ein Berliner Unternehmen, keinen hinreichenden Tatverdacht nach § 170 Abs. 2 Strafprozessordnung feststellen.
Begründet wird die Entscheidung in erster Linie damit, dass keine geschädigten Personen ausfindig gemacht werden konnten. Es sei daher schwer, eine Strafbarkeit zu begründen. Verwundwerlich ist jedoch, dass zumindest eine mutmaßlich betroffene Person im Fernsehn aufgetreten ist. Gleichzeitig beschuldigen die Ermittlungdsbehörden auch den SWR, keine ausreichenden Informationen mit der Staatsanwaltschaft geteilt zu haben.
Datenschützer und Politikker kritiseieren das Vorgehen der Staatsanwaltschaft. Es sei Aufgabe der Behörden selbständig zu ermitteln. Die Entscheidung die Ermittlungen einzustellen stößt dabei auf Unverständnis.
Seit dem Vorfall hat die BA die online Job-Börse umstrukturiert. Nach Bekanntwerden des Datenmissbrauchs wurden die ermittelten, falschen Inserate zunächst gelöscht. Mittlerweile lässt sich erkennen, ob es sich bei dem Inserat um ein betreutes oder ein unbetreutes Angebot der BA handelt.
28. Mai 2020
Der Dialyseanbieter Fresenius Medical Care (FMC) bestätigt, dass es in Folge eines Hackerangriffs zur illegalen Veröffentlichung von Patientendaten gekommen ist. Die Patientendaten stammen aus einigen Dialysezentren in Serbien.
FMC teilte mit, dass
„ein Zusammenhang mit einem IT-Vorfall
vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen
hatte, und dass Hacker in der Lage waren, bestimmte Daten zu stehlen“. Diesbezüglich
wurden Untersuchungen durchgeführt. Die Betriebsabläufe des Unternehmens in
Serbien werden fortgesetzt und die medizinische Versorgung von Patienten in
Serbien sei sichergestellt.
Das Unternehmen hat gegen die unbekannten Täter Strafanzeige
erstattet und will mit den zuständigen Behörden zusammenarbeiten. Mit den
Patienten, die von dem Datendiebstahl und deren illegalen Veröffentlichung
betroffen sind, will FMC Kontakt
aufnehmen.
Das Unternehmen „bedauert
diesen Eingriff in die Privatsphäre einiger Patienten zutiefst und tut sein
Möglichstes, um die Veröffentlichung weiterer Daten zu verhindern und Schaden
von betroffenen Patienten und anderen Personen bzw. Partnern
abzuwenden. Interne und externe Spezialisten arbeiten kontinuierlich
daran, weitere potenzielle Angriffe, Datendiebstähle oder illegale
Veröffentlichungen von Daten zu verhindern.“
28. April 2020
Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.
Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.
Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.
31. März 2020
Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.
Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.
Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.
Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.
Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.
27. Februar 2020
Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.
Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.
Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“
Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.
16. Dezember 2019
Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.
Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.
Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.
Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.
Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.
3. Dezember 2019
Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.
Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.
Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.
25. November 2019
Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.
OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse
und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das
Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und
Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall
informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses
Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails
erhalten. Es bleibt noch unbekannt,
wie viele Kunden betroffen sind und wie
lange Unbefugte die Daten abgreifen konnten.
In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht,
dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu
verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um
die Datensicherheit zu verbessern.
