Kategorie: Online-Datenschutz

Facebook-Fanpage-Betreiber für Verstöße verantwortlich

16. September 2019

Die Betreiber von gewerblichen Fanpages auf Facebook sind mitverantwortlich für die Datenverarbeitung. Datenschutzbehörden dürfen Unternehmen verpflichten, ihre Seiten bei Facebook abzuschalten, wenn Facebook den Datenschutz missachtet. Das entschied jetzt das Bundesverwaltungsgericht in einem Grundsatzurteil.

Wie wir bereits berichtet haben, liegt der Entscheidung ein Fall aus Schleswig-Holstein zugrunde. Das Landeszentrum für Datenschutz (ULD) forderte 2011 von der Wirtschaftsakademie Schleswig-Holstein die Deaktivierung der Fanpage. Bei Aufruf der Seite würden Daten der Nutzer erhoben, ohne dass diese darüber informiert würden. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Das Bundesverwaltungsgericht legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor.

Der EuGH hat im Juni 2018 dann entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher. Das Bundesverwaltungsgericht hat auf Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben.

„Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, weil dem ULD keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht. Inwiefern die Datenverarbeitung im konkreten Fall tatsächlich rechtswidrig war, muss aber noch genauer geklärt werden, urteilten die Leipziger Richter. Sie verwiesen den Fall darum zur erneuten Verhandlung und Entscheidung an das OVG zurück.

Datei mit mehr als 400 Millionen Telefonnummern von Facebook-Nutzern im Netz entdeckt

5. September 2019

Erneut muss sich Facebook wegen eines Vorfalls die Daten seiner Nutzen betreffend rechtfertigen. Im Internet sollen offenbar Telefonnummern von etwa 420 Millionen Nutzern offen zugänglich gewesen sein. Ein IT-Experte hatte eine Datei im Netz entdeckt und TechCrunch infomiert, die die Echtheit der Daten bestätigten und den Webhost informierten. Dieser schaltete die Seite ab.

In etwa 133 Millionen US-amerikanische Nutzer seien betroffen gewesen, sowie 50 Millionen aus Vietnam und 18 Millionen aus Großbritannien. Die Gefahr der Veröffentlichung der Telefonnummern liegt darin, dass diese durch Onlinekriminelle missbraucht werden können, um Accountpasswörter zurücksetzen und damit Profile kapern zu können. Eine Entfernung dieser Datei soll inzwischen vorgenommen worden sein.

Einen Hackerangriff soll es laut Facebook nicht gegeben haben. Unklar ist momentan noch, wer sie erstellt und öffentlich hochgeladen hat. Bei den Daten solle es sich um alte Daten handeln, die gesammelt worden seien, bevor das Unternehmen im letzten Jahr die Möglichkeit abschaffte, mithilfe der Telefonnummer Freunde zu finden.

Da die Freundessuche nach Telefonnummer regelmäßig dazu missbraucht wurde, Daten abzugreifen, schaltete Facebook diese Funktion bereits im April 2018 ab.

Update: am Freitag, 06.09.19, ist eine Kopie der Datenbank im Internet aufgetaucht, somit sind die Daten derzeit wieder öffentlich einsehbar.

Kategorien: Allgemein · Social Media
Schlagwörter:

Sicherheitsvorfall bei Hostinger

26. August 2019

Als Folge eines Sicherheitsvorfalls, durch welchen Unbekannte Zugriff auf eine Kundendatenbank des Webhosters Hostinger erlangten, ließ dieser die Passwörter von 14 Millionen Kunden zurücksetzen.

Laut Hostinger konnten Daten wie Datenbank Namen, E-Mail- , IP-Adressen und Kennwörter eingesehen werden. Bankdaten blieben davor jedoch geschützt, da diese auf einem externen Server hinterlegt sind. Die Kennwörter sind zwar durch einen SHA-1 geschützt worden, jedoch gilt dieser Hash-Algorithmus als sehr unsicher.

Die Nutzer welche sich nun wieder in Ihren Account einloggen wollen, müssen ein neues Passwort vergeben. Der Webhoster bat seine Kunden bei der Vergabe neuer Passwörter darauf zu achten, dass diese nicht bereits bei einem anderen Online-Service genutzt werden.

Zukünftig will Hostinger eine Zwei-Faktor-Authentifizierung (2FA) einrichten um die Accounts seiner Kunden besser zu schützen.

Mastercard Priceless: Datenleck

22. August 2019

Mastercard’s Priceless Special-Plattform, ein Mastercard Bonusprogramm, ist seit Dienstag offline.

Grund dafür ist eine im Internet frei verfügbare Liste, die die persönlichen Daten von knapp 90.000 Mastercard-Kunden enthält. Zu den Daten gehören Vor- und Nachname, Geburtsdatum, E-mail-adresse und in einigen Fällen zudem die Adresse sowie Handynummer des Betroffenen.

Nach Recherchen von heise Security, die auf die Liste aufmerksam gemacht wurden, handelt es sich um echte Daten. Betroffen sind hauptsächlich deutsche Mastercard-Kunden.

heise Security informierte Mastercard am Montag über das potentielle Datenleck. Derzeit untersucht Mastercard den Vorfall

Zwischenzeitig ist eine zweite Tabelle im Internet aufgetaucht. Diese enthält nach Informationen von heise Security vollständige Kreditkartennummern von rund 84.000 Betroffenen – Informationen zu Karteninhabern, Ablaufdatum und CVC sind nicht enthalten. Demnach scheint ein direkter Missbrauch erst mal ausgeschlossen, allerdings ist nicht bekannt, ob derjenige, der die Liste veröffentlicht hat, Zugriff auf diese Daten hat. Ob diese zweite Liste echt ist, ist noch nicht abschließend geklärt.

Die veröffentlichten Daten können für Phishing-Mails missbraucht werden. Deswegen ist derzeit besondere Vorsicht im Zusammenhang mit E-mails von Mastercard geboten. Auch wenn die E-mails optisch aussehen, als würden sie von Mastercard stammen, sollte in der nächsten Zeit verstärkt darauf geachtet werden, nicht auf Phishing-Mails reinzufallen.

Das Hasso-Plattner-Institut hat seinen Identity Leak Checker um die Daten der Listen erweitert. Sie können überprüfen, ob ihre Daten von dem Leck betroffen sind.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Datenschutzvorfall bei „Biostar 2“

19. August 2019

Medienberichten zufolge haben Hacker aus Israel eine Datenbank aufgespürt, in der circa eine Millionen Fingerabdrücke sowie andere biometrische Daten nahezu ungeschützt abgelegt sind.

Ausweislich des Berichtes handelt es sich hierbei um eine Datenbank für die Software „Biostar 2“. Diese wird von dem koreanischen Unternehmen Suprema Inc. entwickelt und verkauft. Mittels dieser Software wird Unternehmen die Verwaltung der Zugangskontrolle mittels intelligenter Türschlösser ermöglicht. Zu diesem Zweck werden beispielsweise Fingerabdrücke oder sonstige biometrische Daten im System hinterlegt.

Der Vorfall bezöge sich auf mehr als 27 Millionen Datensätze sowie 23 Gigabyte Daten. Diese seien durch Kunden durch lediglich unzureichende Passworte, wie beispielsweise „abcd1234“, gesichert worden. Darüber hinaus seien von Unternehmensseite ebenfalls unzureichende Maßnahmen die zur Sicherung der Daten vorgenommen worden.

Aus datenschutzrechtlicher Perspektive ist die Vertraulichkeit personenbezogener Daten elementar wichtig. Dies zeigt bereits, dass Integrität und Vertraulichkeit personenbezogener Daten einer der Grundsätze für jede Datenverarbeitung im Sinne der DSGVO ist (vgl. Art. 5 Abs. 1 lit f) DSGVO).

Facebook: Auswertung von Sprachaufnahmen

14. August 2019

Externe Unternehmen haben für Facebook Sprachaufnahmen der User seines Messenger-Dienstes ausgewertet. Laut der Finanznachrichtenagentur Bloomberg wussten die Mitarbeiter nicht um was für Daten es sich handelt und sollten diese nur transkribieren.

Betroffen seien die Nutzer des Messenger-Dienstes, die die Transkriptionsfunktion eingeschaltet hatten. Facebook wollte auf diese Weise prüfen, ob die Software die Sätze richtig verstanden hat. Facebook gab außerdem an, dass die betroffenen Nutzer in die Verarbeitung eingewilligt hätten und dass die Auswertung der Sprachaufnahmen pausiert wurde.

Ende Juli erst wurde Facebook eine Rekordstrafe von 5 Milliarden Dollar wegen Datenschutzverstößen auferlegt. Bei einer Anhörung im US-Kongress im April 2018 hat Mark Zuckerberg die Auswertung von Sprachaufnahmen noch als „Verschwörungstheorie“ abgetan.

„Lovoo“ steht wegen fehlenden Datenschutzes in der Kritik

12. August 2019

Journalisten des Bayerischen Rundfunks (BR) haben festgestellt, dass der Partnervermittlungsdienst „Lovoo“ lediglich über unzureichende Maßnahmen zum Schutz personenbezogener Daten verfügt.

So hätten die Journalisten des BR die Standorte von Nutzern des Dienstes mittels einer „Radarfunktion“ für einen Zeitraum von mehreren Tagen aufgezeichnet. Mit diesen Daten hätte man Bewegungsprofile erstellen und Rückschlüsse auf Wohn- und Arbeitsorte ziehen können. Darüber hinaus ließen sich diese Informationen mit weiteren Profilinformationen wie der sexuellen Orientierung oder hinterlegten Bildern kombinieren.

Die Kritik des BR resultiert daraus, dass der Nutzerstandort mittels eines geometrischen Messverfahrens wohl wesentlich genauer bestimmen lässt als von „Lovoo“ angegeben. Durch die konkrete Lokalisierbarkeit etwaiger Nutzer steigt die Gefahr des Missbrauchs dieser Daten. Das Risiko ist umso größer, da es sich bei den potentiell abgefragten Daten um besonders sensible, mithin schutzwürdige Daten handelt.

„Lovoo“ selbst nahm in einer Pressemitteilung zum potentiell unzureichenden Datenschutz Stellung. Das Unternehmen erläuterte, dass bereits vor Veröffentlichung der Ergebnisse durch den BR Maßnahmen zur Behebung des Problems ergriffen worden wären. So könnten Nutzer nun lediglich in einem Umkreis von maximal 1000 Meter lokalisiert werden. Darüber hinaus sei die mehrfache Abfrage des Standorts von Nutzern in der Umgebung eingeschränkt worden.

Kategorien: Allgemein · DSGVO · Social Media · Tracking

Datenpanne bei Twitter

8. August 2019

Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.

Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.

Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.

Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.

Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.

Spielemesse E3: Daten von mehr als 2000 Fachbesuchern online

6. August 2019

Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war auf der E3-Website mindestens einige Tage lang abrufbar.

Als Erste machte die Journalistin Sophia Narwitz in einem Youtube-Video auf die Datenpanne aufmerksam, nachdem sie selbst über eine anonyme E-Mail davon Kenntnis erlangt hat.

Inzwischen ist die Liste zwar nicht mehr im Google-Cache, offenbar wurde sie jedoch von Unbekannten kopiert und ist nun andernorts im Internet zu finden.

Der eigentliche Zweck solcher Listen ist, dass Aussteller die Teilnehmer der Messe nach deren Einwilligung kontaktieren können. Laut dem Veranstalter war das Dokument zunächst nur per Passwort erreichbar, erschien dann aber als Download auf einer E3-Unterseite. Ungeklärt bleibt noch, wie es zu diesem Vorfall kam.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,
1 2 3 65