Kategorie: Online-Datenschutz
15. August 2012
Wie die Federal Trade Commission (FTC) vermeldete, ist das Verfahren um die durch Google initiierten und dabei die Datenschutz-Einstellung umgehenden Cookies im Safari-Browser mit der zuständigen US-Heimatschutzbehörde nach Zahlung einer Rekordstrafe von 22,5 Millionen Dollar (18,2 Millionen Euro) beendet.
Das Vorgehen von Google war dabei ebenso kreativ wie rechtswidrig, hatten es die Entwickler des IT-Giganten doch geschafft, ohne die Zustimmung der Safari-Nutzer Cookies auf deren Geräten zu hinterlassen, welche Rückschlüsse auf deren Verhalten im Netz zuließen. Apples Standardbrowser Safari blockte im Gegensatz zu anderen Browsern standardmäßig die Cookies von Dritten. Einer Seite, auf der ein Anwender ein Formular in einem Werbebanner ausfüllt, war es jedoch durch Apple erlaubt, einen Cookie zu setzen. Google versteckte einen Cookie dabei in einem unsichtbaren Formular eines “+1-Button”, der dem Browser einen Nutzerzugriff vortäuschte und so den Cookie auf der Festplatte der Safari-User installierte. Dieser Google-Button dient eigentlich der Weiterempfehlung von Webinhalten durch Google-Plus-User. Publik wurde das Vorgehen Anfang 2012 als das Wall Street Journal die Praxis der Öffentlichkeit offenbarte. Google relativierte die Vorwürfe und erklärte, es seien keine persönlichen Informationen erfasst worden und ergänzte nun, der Konzern würde höchste Datenschutz- und Sicherheitsstandards wahren.
Die Höhe der Strafe erscheint dabei in einem wechselhaften Licht. Einerseits sei des laut FTC die höchste Strafe, die je einem Unternehmen auferlegt worden sei. Betrachtet man jedoch den Quartalsgewinn in Höhe von 2,8 Milliarden Dollar wird ersichtlich, dass die Strafe nicht einmal einen Tagesgewinn von Google ausmacht. Wesentlich schwerer wird der wiederholte Imageschaden wiegen. Nach den erst kürzlich diskutierten Vorgängen um rechtswidrig erhobene WLAN-Daten und deren weiterhin nicht vollständigen Löschung begeht Google mit dem neuerlichen Vorgang innerhalb kurzer Zeit den zweiten schweren Datenschutzverstoß.
13. August 2012
Der US-amerikanische Spielepublisher Blizzard wurde nach eigenen Angaben in der vergangenen Woche Opfer eines Datendiebstahls. Betroffen sei der Online-Gaming-Service battle.net, mit dem Kunden online gegen oder miteinander spielen können. Entwendet worden seien Kundendaten, u.a. E-Mail-Adressen von Battle.net-Nutzern außerhalb der VR China sowie weitere auf den Nordamerika-Servern hinterlegte Kundendaten von Nutzern aus den USA, Latein-Amerika, Australien, Neuseeland und dem Südosten Asiens. Bei diesen Accounts sollen die Angreifer überdies Zugriff auf die Antwort der Sicherheitsabfrage sowie persönliche Informationen zu der Anwendung „Mobile-Authenticator“ erlangt haben. Auch per Secure Remote Password Protocol verschlüsselte Passwörter seien auf diese Weise entwendet worden.
Nach Unternehmensangaben sind die Daten jedoch nicht geeignet, um auf einzelne Accounts zugreifen zu können. Dennoch werde als Vorsichtsmaßnahme allen Kunden empfohlen, eine Änderung des Passworts vorzunehmen. In Kürze werde man sich zudem direkt an die Betroffenen mit der Bitte wenden, die Sicherheitsabfrage inklusive der Antwort auszutauschen.
Blizzard hat als weitere Reaktion eine Website zum Account-Support eingerichtet, auf der nochmals in allen Einzelheiten nachzulesen ist, welche Daten vom Diebstahl betroffen sind. Zudem werden dort die Maßnahmen aufgeschlüsselt, die das Unternehmen getroffen hat bzw. noch treffen wird, um ähnlichen Ereignissen zukünftig vorzubeugen.
10. August 2012
Das soziale Netzwerk Facebook hat Medienberichten zufolge eine neue Funktion für Nutzer von Gruppen eingeführt, die durch ein kleines blaues Häkchen rechts unter einem Beitrag sichtbar wird. Dieses Häkchen erscheine, sobald mindestens ein Mitglied der Gruppe sich den jeweiligen Beitrag angeschaut hat. Allen Mitgliedern der Gruppe wird mittels Mouseover über das Häkchen eine Liste angezeigt, die auflistet, welches Gruppenmitglied sich wann den Beitrag angeschaut hat. Nach Angaben des Unternehmens dient diese Neuerung der besseren und aktuelleren Information der Nutzer über Aktivitäten in einer Gruppe. Sie soll schrittweise in allen Gruppen eingeführt werden.
9. August 2012
Der EU-Datenschutzbeauftragte Peter Hustinx (EDSB) hat Medienberichten zufolge den Vorstoß der EU-Kommission zur Initiierung einer Kinderschutzkoalition der Internet- und Medienwirtschaft zur Entwicklung eines “sauberen Netzzugangs” genutzt, um auf die Einhaltung datenschutzrechtlicher Belange und eine ausgewogene Auswahl eingesetzter Mittel hinzuweisen und einige Kritikpunkte und Empfehlungen zu adressieren.
Kritisch ist nach Ansicht von Hustinx das Fehlen einer gesetzlichen Grundlage, die es Strafverfolgungsbehörden ermöglicht, mit an dem Verfahren beteiligten Industrieunternehmen zusammen zu arbeiten. Zu diesem Zweck die Wirtschaft zu instrumentalisieren, aber den Gesetzgeber in dem Prozess außen vor zu lassen sei nicht akzeptabel. Deswegen müsse beispielsweise auch die Überwachung von Telekommunikationsnetzwerken weiterhin durch die Polizei durchgeführt werden. Meldestellen und Internet-Hotlines sollten des Weiteren gesetzlich geregelt und die dafür eingesetzten Verfahren klar strukturiert werden, wobei die Anforderungen des Datenschutzes stärker als bisher zu berücksichtigen seien. Ferner sei es empfehlenswert, datenschutzfreundliche Voreinstellungen und Warnhinweise für Kinder bereits bei den Anwendungen zu berücksichtigen.
8. August 2012
Gegen Ende letzter Woche hatte die Nachrichtenagentur Reuters einen Angriff auf ihren Blog zu vermelden. Folge dieses Hacks war die Platzierung gefälschter Berichte und Interviews über die Lage in Syrien, welche scheinbar von Reuters Journalisten erstellt wurden.
Nach einem Artikel des Wall Street Journals (WSJ) soll eine veraltete Installation der populären WordPress-Software das maßgebliche Einfallstor für die Angreifer gewesen sein. Das WSJ bezieht sich dabei auf Angaben von Mark Jaquith, einem der führenden Entwickler der WordPress-Software und Mitglied des WordPress-Sicherheitsteams, demzufolge Reuters die veraltete Version 3.1.1 anstelle der aktuellen Version 3.4.1 eingesetzt habe. Jaquith mahnte weiterhin, dass Organisationen, die Update-Warnungen ignorierten und eine als unsicher bekannte Softwareversion einsetzten, sich selbst dem Risiko solcher Sicherheitsverletzungen aussetzten.
Auch an diesem Fall wird wieder einmal deutlich, dass mit dem Internet verbundene Systeme im eigenen Interesse stets aktuell gehalten werden sollten, auch wenn dies eine zeitlichen und finanziellen Mehraufwand bedeutet.
6. August 2012
Die Datingplattform meetOne soll einem Bericht von heise.de zufolge die Adressbücher auf den Smartphones der Nutzer heimlich kopiert haben. Anschließend seien die Kontakte der Nutzer mit Spam-E-Mails zur Anmeldung bei meetOne aufgefordert worden.
Zudem seien die Adressdaten über eine ungesicherte Verbindung unverschlüsselt auf die Server von meetOne übertragen worden. Die Empfänger erhielten später Benachrichtigungen, wonach eine Flirtnachricht bei meetOne für sie eingegangen sei. Auf Nachfrage von heise Security bei dem Mitbegründer von meetOne, Nils Henning, sah dieser sich außer Stande, Angaben über die Herkunft der Adressen machen. Betreiber der Plattform sei inzwischen die Meetone International LLC mit Sitz in den USA. Nur dort könne aufgeklärt werden, woher die Daten stammen.
Erst Ende Juli war eine Sicherheitslücke bei meetOne bekannt geworden, über die zahlreiche persönliche Daten inklusive Passwörter in Klartext durch die Änderung von URL-Parametern ausgelesen werden konnten.
3. August 2012
Aus einer Veröffentlichung in dem firmeneigenen Blog des Cloud-Anbieters Dropbox geht hervor, dass aus dem Account eines Mitarbeiters Kundendaten durch unbekannte Angreifer entwendet werden konnten. Bekannt wurde der “Diebstahl”, als im Anschluss an diesen Mitte Juli die aus dem Dokument mit den Kundendaten entnommenen E-Mail Adressen vermehrt mit Spam-Mails belästigt wurden. Noch unklar ist, an wie viele E-Mail Adressen die Angreifer auf diese Weise gelangen konnten. Nach Angaben des Unternehmens erfolgte der unberechtigte Zugriff mittels eines gestohlenen Zugangspassworts eines Mitarbeiters, der anscheinend sein Passwort für den Zugriff auf die Cloud auch bei anderen Web-Dienstleistern verwendet hat. Auf die gleiche Weise haben die Angreifer auch auf „eine kleine Anzahl“ weiterer Dropbox-Accounts Zugriff erhalten.
Dropbox hat auf den Zwischenfall mit zweierlei Maßnahmen reagiert. Zum einen können sich Nutzer des Dienstes mit dem neu eingerichteten Zugriffsverlauf darüber informieren, wer zu welchem Zeitpunkt auf den Account zugegriffen hat. Zum anderen wird in den nächsten Wochen optional eine Zwei-Faktor-Authentifizierung angeboten, bei der neben der Online-Anmeldung auch eine Bestätigung per Mobiltelefon notwendig ist.
Ob bei Dropbox intern Maßnahmen ergriffen wurden, um solche Zwischenfälle in Zukunft zu vermeiden, lässt sich hingegen nicht in Erfahrung bringen. Der Vorfall zeigt nichts desto weniger wieder einmal schmerzlich auf, dass das Thema Datensicherheit, insbesondere für sensible Bereiche wie das Cloud-Computing, nicht ernst genug genommen werden kann.
31. Juli 2012
Die Schadsoftware, die bereits seit 2011 bekannt sei, jedoch in immer neueren Varianten auftrete, werde bundesweit über Spam-Mails verbreitet. In den Spam-Mails würden die angeschriebenen Personen beispielsweise im Namen einer Staatsanwaltschaft im Bundesgebiet oder im Namen von weiteren Behörden oder bekannten Unternehmen dazu verleitet, die beigefügten Anhänge zu öffnen. Beim Öffnen des Anhangs werde allerdings der PC verschlüsselt und Geld gefordert. Auch nach Bezahlen der Forderung – in der Regel handele es sich um Beträge von 50-100 Euro per Paysefecard oder Ukash – werde die Sperrung jedoch nicht aufgehoben, sondern sämtliche Dateien auf dem PC blieben so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD (“Rescue Disk”) nur teilweise erfolgreich sei.
Das BSI und die ProPK raten allen Betroffenen, die geforderte Gebühr nicht zu bezahlen, sondern umgehend Anzeige bei der nächstgelegenen Polizeidienststelle zu erstatten.
30. Juli 2012
Medienangaben zufolge konnten chinesische Behörden erfolgreich einen Cybercrime-Ring enttarnen. Insgesamt 165 Personen sollen Mitte Juli in diesem Zuge – u.a. wegen Hacking und Urkundenfälschung – verhaftet worden sein. Man werfe den Festgenommenen Angriffe auf 185 Regierungssites vor, die mit dem Ziel erfolgt sein sollen, falsche behördliche Urkunden und Bescheinigungen auszustellen und zu verkaufen, wobei eine falsche Urkunde zwischen 500 und 1250 Euro eingebracht habe. Zudem seien auch offizielle Datenbanken manipuliert worden. 7100 falsche Zertifikate und mehr als 10.000 falsche Stempel sollen mittlerweile sichergestellt worden sein. Die Ermittlungen der Polizei sind nach lokalen Angaben noch nicht abgeschlossen, man rechne mit weiteren Festnahmen. 27. Juli 2012
Durch eine Sicherheitslücke bei dem Singleportal meetOne konnte auf alle von etwa 900.000 Nutzern hinterlegten Daten – wie etwa E-Mail Adressen, Echtnamen, private Nachrichten und Fotografien aber auch das Passwort – im Klartext zugegriffen werden. Um an die Daten zu gelangen war ein Login bei der Plattform nicht notwendig, vielmehr konnte jede Person durch das Hochzählen eines URL-Parameters die Daten einsehen. Nach Informationen von heise online wurde die Lücke inzwischen geschlossen. Nutzern werde dennoch empfohlen ihr Zugangspasswort bei meetOne sowie bei anderen Diensten, bei denen das gleiche Passwort genutzt wurde, umgehend zu ändern.
Pages: 1 2 ... 79 80 81 82 83 ... 89 90 
