Kategorie: Online-Datenschutz

Blizzard: Diebstahl von Kundendaten

13. August 2012

Der US-amerikanische Spielepublisher Blizzard wurde nach eigenen Angaben in der vergangenen Woche Opfer eines Datendiebstahls. Betroffen sei der Online-Gaming-Service battle.net, mit dem Kunden online gegen oder miteinander spielen können. Entwendet worden seien Kundendaten, u.a. E-Mail-Adressen von Battle.net-Nutzern außerhalb der VR China sowie weitere auf den Nordamerika-Servern hinterlegte Kundendaten von Nutzern aus den USA, Latein-Amerika, Australien, Neuseeland und dem Südosten Asiens. Bei diesen Accounts sollen die Angreifer überdies Zugriff auf die Antwort der Sicherheitsabfrage sowie persönliche Informationen zu der Anwendung „Mobile-Authenticator“ erlangt haben. Auch per Secure Remote Password Protocol verschlüsselte Passwörter seien auf diese Weise entwendet worden.

Nach Unternehmensangaben sind die Daten jedoch nicht geeignet, um auf einzelne Accounts zugreifen zu können. Dennoch werde als Vorsichtsmaßnahme allen Kunden empfohlen, eine Änderung des Passworts vorzunehmen. In Kürze werde man sich zudem direkt an die Betroffenen mit der Bitte wenden, die Sicherheitsabfrage inklusive der Antwort auszutauschen.

Blizzard hat als weitere Reaktion eine Website zum Account-Support eingerichtet, auf der nochmals in allen Einzelheiten nachzulesen ist, welche Daten vom Diebstahl betroffen sind. Zudem werden dort die Maßnahmen aufgeschlüsselt, die das Unternehmen getroffen hat bzw. noch treffen wird, um ähnlichen Ereignissen zukünftig vorzubeugen.

Facebook: Mehr Transparenz bei Gruppen-Aktivitäten

10. August 2012

Das soziale Netzwerk Facebook hat Medienberichten zufolge eine neue Funktion für Nutzer von Gruppen eingeführt, die durch ein kleines blaues Häkchen rechts unter einem Beitrag sichtbar wird. Dieses Häkchen erscheine, sobald mindestens ein Mitglied der Gruppe sich den jeweiligen Beitrag angeschaut hat. Allen Mitgliedern der Gruppe wird mittels Mouseover über das Häkchen eine Liste angezeigt, die auflistet, welches Gruppenmitglied sich wann den Beitrag angeschaut hat. Nach Angaben des Unternehmens dient diese Neuerung der besseren und aktuelleren Information der Nutzer über Aktivitäten in einer Gruppe. Sie soll schrittweise in allen Gruppen eingeführt werden.

Kategorien: Social Media
Schlagwörter: ,

EDSB: Beachtung des Datenschutzes bei Jugend- und Kinderschutzmaßnahmen

9. August 2012

Der EU-Datenschutzbeauftragte Peter Hustinx (EDSB) hat Medienberichten zufolge den Vorstoß der EU-Kommission zur Initiierung einer Kinderschutzkoalition der Internet- und Medienwirtschaft zur Entwicklung eines „sauberen Netzzugangs“ genutzt, um auf die Einhaltung datenschutzrechtlicher Belange und eine ausgewogene Auswahl eingesetzter Mittel hinzuweisen und einige Kritikpunkte und Empfehlungen zu adressieren.

Kritisch ist nach Ansicht von Hustinx das Fehlen einer gesetzlichen Grundlage, die es Strafverfolgungsbehörden ermöglicht, mit an dem Verfahren beteiligten Industrieunternehmen zusammen zu arbeiten. Zu diesem Zweck die Wirtschaft  zu instrumentalisieren, aber den Gesetzgeber in dem Prozess außen vor zu lassen sei nicht akzeptabel. Deswegen müsse beispielsweise auch die Überwachung von Telekommunikationsnetzwerken weiterhin durch die Polizei durchgeführt werden. Meldestellen und Internet-Hotlines sollten des Weiteren gesetzlich geregelt und die dafür eingesetzten Verfahren klar strukturiert werden, wobei die Anforderungen des Datenschutzes stärker als bisher zu berücksichtigen seien. Ferner sei es empfehlenswert, datenschutzfreundliche Voreinstellungen und Warnhinweise für Kinder bereits bei den Anwendungen zu berücksichtigen.

Kategorien: Online-Datenschutz
Schlagwörter: ,

Falsche Syrien-Meldungen bei Reuters angeblich auf veraltete WordPress-Installation zurückzuführen

8. August 2012

Gegen Ende letzter Woche hatte die Nachrichtenagentur Reuters einen Angriff auf ihren Blog zu vermelden. Folge dieses Hacks war die Platzierung gefälschter Berichte und Interviews über die Lage in Syrien, welche scheinbar von Reuters Journalisten erstellt wurden.

Nach einem Artikel des Wall Street Journals (WSJ) soll eine veraltete Installation der populären WordPress-Software das maßgebliche Einfallstor für die Angreifer gewesen sein. Das WSJ bezieht sich dabei auf Angaben von Mark Jaquith, einem der führenden Entwickler der WordPress-Software und Mitglied des WordPress-Sicherheitsteams, demzufolge Reuters die veraltete Version 3.1.1 anstelle der aktuellen Version 3.4.1 eingesetzt habe. Jaquith mahnte weiterhin, dass Organisationen, die Update-Warnungen ignorierten und eine als unsicher bekannte Softwareversion einsetzten, sich selbst dem Risiko solcher Sicherheitsverletzungen aussetzten.

Auch an diesem Fall wird wieder einmal deutlich, dass mit dem Internet verbundene Systeme im eigenen Interesse stets aktuell gehalten werden sollten, auch wenn dies eine zeitlichen und finanziellen Mehraufwand bedeutet.

Kategorien: Hackerangriffe
Schlagwörter: ,

meetOne nach Sicherheitsleck wegen Spam in der Kritik

6. August 2012

Die Datingplattform meetOne soll einem Bericht von heise.de zufolge die Adressbücher auf den Smartphones der Nutzer heimlich kopiert haben. Anschließend seien die Kontakte der Nutzer mit Spam-E-Mails zur Anmeldung bei meetOne aufgefordert worden.

Zudem seien die Adressdaten über eine ungesicherte Verbindung unverschlüsselt auf die Server von meetOne übertragen worden. Die Empfänger erhielten später Benachrichtigungen, wonach eine Flirtnachricht bei meetOne für sie eingegangen sei. Auf Nachfrage von heise Security bei dem Mitbegründer von meetOne, Nils Henning, sah dieser sich außer Stande, Angaben über die Herkunft der Adressen machen. Betreiber der Plattform sei inzwischen die Meetone International LLC mit Sitz in den USA. Nur dort könne aufgeklärt werden, woher die Daten stammen.

Erst Ende Juli war eine Sicherheitslücke bei meetOne bekannt geworden, über die zahlreiche persönliche Daten inklusive Passwörter in Klartext durch die Änderung von URL-Parametern ausgelesen werden konnten.

 

Datenpanne bei Cloud-Anbieter Dropbox

3. August 2012

Aus einer Veröffentlichung in dem firmeneigenen Blog des Cloud-Anbieters Dropbox geht hervor, dass aus dem Account eines Mitarbeiters Kundendaten durch unbekannte Angreifer entwendet werden konnten. Bekannt wurde der „Diebstahl“, als im Anschluss an diesen Mitte Juli die aus dem Dokument mit den Kundendaten entnommenen E-Mail Adressen vermehrt mit Spam-Mails belästigt wurden. Noch unklar ist, an wie viele E-Mail Adressen die Angreifer auf diese Weise gelangen konnten. Nach Angaben des Unternehmens erfolgte der unberechtigte Zugriff mittels eines gestohlenen Zugangspassworts eines Mitarbeiters, der anscheinend sein Passwort für den Zugriff auf die Cloud auch bei anderen Web-Dienstleistern verwendet hat. Auf die gleiche Weise haben die Angreifer auch auf „eine kleine Anzahl“ weiterer Dropbox-Accounts Zugriff erhalten.

Dropbox hat auf den Zwischenfall mit zweierlei Maßnahmen reagiert. Zum einen können sich Nutzer des Dienstes mit dem neu eingerichteten Zugriffsverlauf darüber informieren, wer zu welchem Zeitpunkt auf den Account zugegriffen hat. Zum anderen wird in den nächsten Wochen optional eine Zwei-Faktor-Authentifizierung angeboten, bei der neben der Online-Anmeldung auch eine Bestätigung per Mobiltelefon notwendig ist.

Ob bei Dropbox intern Maßnahmen ergriffen wurden, um solche Zwischenfälle in Zukunft zu vermeiden, lässt sich hingegen nicht in Erfahrung bringen. Der Vorfall zeigt nichts desto weniger wieder einmal schmerzlich auf, dass das Thema Datensicherheit, insbesondere für sensible Bereiche wie das Cloud-Computing, nicht ernst genug genommen werden kann.

BSI/Polizei: Warnung vor Windows-Verschlüsselungs-Trojaner

31. Juli 2012

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) warnen vor einer neuen besonders „dreisten“ Schadsoftware („Windows-Verschlüsselungs-Trojaner“), mittels derer Kriminelle versuchen, PC-Nutzer zu Geldzahlungen zu nötigen.

Die Schadsoftware, die bereits seit 2011 bekannt sei, jedoch in immer neueren Varianten auftrete, werde bundesweit über Spam-Mails verbreitet. In den Spam-Mails würden die angeschriebenen Personen beispielsweise im Namen einer Staatsanwaltschaft im Bundesgebiet oder im Namen von weiteren Behörden oder bekannten Unternehmen dazu verleitet, die beigefügten Anhänge zu öffnen. Beim Öffnen des Anhangs werde allerdings der PC verschlüsselt und Geld gefordert. Auch nach Bezahlen der Forderung – in der Regel handele es sich um Beträge von 50-100 Euro per Paysefecard oder Ukash – werde die Sperrung jedoch nicht aufgehoben, sondern sämtliche Dateien auf dem PC blieben so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD („Rescue Disk“) nur teilweise erfolgreich sei.

Das BSI und die ProPK raten allen Betroffenen, die geforderte Gebühr nicht zu bezahlen, sondern umgehend Anzeige bei der nächstgelegenen Polizeidienststelle zu erstatten.

China: Verhaftung von 165 Mitglieder eines Cybercrime-Rings

30. Juli 2012
Medienangaben zufolge konnten chinesische Behörden erfolgreich einen Cybercrime-Ring enttarnen. Insgesamt 165 Personen sollen Mitte Juli in diesem Zuge – u.a. wegen Hacking und Urkundenfälschung – verhaftet worden sein. Man werfe den Festgenommenen Angriffe auf 185 Regierungssites vor, die mit dem Ziel erfolgt sein sollen, falsche behördliche Urkunden und Bescheinigungen auszustellen und zu verkaufen, wobei eine falsche Urkunde zwischen 500 und 1250 Euro eingebracht habe. Zudem seien auch offizielle Datenbanken manipuliert worden. 7100 falsche Zertifikate und mehr als 10.000 falsche Stempel sollen mittlerweile sichergestellt worden sein. Die Ermittlungen der Polizei sind nach lokalen Angaben noch nicht abgeschlossen, man rechne mit weiteren Festnahmen.
Kategorien: Hackerangriffe
Schlagwörter: ,

Sicherheitslücke bei der Singlebörse meetOne

27. Juli 2012

Durch eine Sicherheitslücke bei dem Singleportal meetOne konnte auf alle von etwa 900.000 Nutzern hinterlegten Daten – wie etwa E-Mail Adressen, Echtnamen, private Nachrichten und Fotografien aber auch das Passwort – im Klartext zugegriffen werden. Um an die Daten zu gelangen war ein Login bei der Plattform nicht notwendig, vielmehr konnte jede Person durch das Hochzählen eines URL-Parameters die Daten einsehen. Nach Informationen von heise online wurde die Lücke inzwischen geschlossen. Nutzern werde dennoch empfohlen ihr Zugangspasswort bei meetOne sowie bei anderen Diensten, bei denen das gleiche Passwort genutzt wurde, umgehend zu ändern.

ULD: Keine Verbesserung des Datenschutzes bei Facebook

25. Juli 2012
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mitgeteilt, dass ein erster Austausch mit dem seit dem 15. April 2012 in Amt getretenen Director Public Policy von Facebook Deutschland, Dr. Gunnar Bender, stattgefunden hat. Nach dem Austausch habe man jedoch feststellen müssen, dass sich seit den Gesprächen mit dem Unternehmen Ende 2011 praktisch keine Verbesserungen und sogar einige wesentliche datenschutzrechtliche Verschlechterungen bei Facebook ergeben haben. So sollen beispielsweise die Ende 2011 von Facebook zugesagten Transparenzverbesserungen hinsichtlich der Reichweitenanalyse „Insights“ nicht realisiert worden sein, auch sei die diesbezüglich zugesagte Bereitstellung von aussagekräftigen technischen Unterlagen nicht erfolgt. Die Aktivitäten von Facebook fehle überdies – nach wie vor – die Rechtmäßigkeit der Datenverarbeitung in Deutschland, weswegen man bei der Einschätzung bleibe, dass eine gesetzeskonforme Nutzung unter anderem von Facebook-Fanpages für öffentliche und private Stellen aktuell nicht möglich ist. Während Bender bekräftigt habe, dass Facebook „sich an europäisches Recht gebunden“ fühle, könne das ULD lediglich signalisieren, dass dies „bisher nicht erkenn- und belegbar“ ist.
Kategorien: Social Media
Schlagwörter: ,
1 57 58 59 60 61 68