Kategorie: Online-Datenschutz
Sicherheitslücke bei der Singlebörse meetOne
Durch eine Sicherheitslücke bei dem Singleportal meetOne konnte auf alle von etwa 900.000 Nutzern hinterlegten Daten – wie etwa E-Mail Adressen, Echtnamen, private Nachrichten und Fotografien aber auch das Passwort – im Klartext zugegriffen werden. Um an die Daten zu gelangen war ein Login bei der Plattform nicht notwendig, vielmehr konnte jede Person durch das Hochzählen eines URL-Parameters die Daten einsehen. Nach Informationen von heise online wurde die Lücke inzwischen geschlossen. Nutzern werde dennoch empfohlen ihr Zugangspasswort bei meetOne sowie bei anderen Diensten, bei denen das gleiche Passwort genutzt wurde, umgehend zu ändern.
ULD: Keine Verbesserung des Datenschutzes bei Facebook
Hackerangriffe auf Nvidia und androidforums.com
Nach Yahoo und GMX wurden auch der Grafikkartenhersteller Nvidia und das englischsprachige Portal androidforums.com Opfer von unautorisierten Zugriffen auf ihre Datenbanken.
Nach einer Stellungnahme von Nvidia waren sowohl das allgemeine Forum (forum.nvidia.com), der Entwicklerbereich (developer.nvidia.com) als auch der Forschungsbereich (research.nvidia.com) betroffen. Hierbei hatten die Hacker Zugriff auf: Nutzername, E-Mail Adresse; gesalzene Passworthashes und öffentliche “Über mich” Informationen. Mittlerweile wurde auf Pastebin über 4.000 der erbeuteten Datensätze durch eine Gruppe namens Team Apollo veröffentlicht. Dabei handelt es sich nur um einen kleinen Teil der Daten; die weiteren Daten sollen dem Pastebin-Beitrag zufolge jedoch zu einem späteren Zeitpunkt veröffentlicht werden.
Bei androidforums.com stellt sich die Lage ähnlich dar: Der Betreiber hat in einem sehr offenen und ausführlichen Beitrag einige Hintergrundinformationen erläutert und bekanntgegeben, dass möglicherweise folgende Daten betroffen sein könnten: Einzigartige IDs, E-Mails, gesalzene Passworthases, IP-Adresse von der aus die Registrierung erfolgte. Ferner könnten auch unwichtigere Daten, wie Zeit des letzten Besuchs, Anzahl der Nachrichten etc. übertragen worden sein. Im Gegensatz zum Vorfall bei Nvidia sind bisher jedoch keine der Daten in öffentlich zugänglichen Quellen aufgetaucht.
Yahoo: Hacking-Angriff auf Altdaten des Dienstes Yahoo Voices
Vergangene Woche ist es Medienangaben zufolge der Gruppe D33Ds Company gelungen, auf 400.000 Nutzernamen und Passwörter einer Datei des Yahoo Contributer Network – bei Nutzern als “Yahoo Voices” bekannt – zuzugreifen. Das Unternehmen Yahoo habe den Hack dieses Dienstes bestätigt. Allerdings seien weniger als fünf Prozent der betroffenen Daten noch gültig, da es sich der Hacking-Angriff auf eine Altdatei bezogen habe. Aus Sicherheitsgründen werde den Yahoo-Nutzern jedoch empfohlen, das Passwort zu ändern. Sofern dieselbe Kombination aus E-Mail und Passwort auch für andere Dienste verwendet werde, sei auch dort ein Passwortwechsel ratsam. Ob der eigene Account kompromittiert worden sei, könne durch die Eingabe der E-Mail-Adresse bei Sucuri Labs überprüft werden.
“Wir beseitigen die Schwachstelle, die zur Aufdeckung der Daten geführt hat, ändern die Passwörter der betroffenen Anwender und informieren die Firmen, deren Nutzerkonten möglicherweise kompromittiert wurden. Wir entschuldigen uns bei allen Betroffenen. Wir empfehlen Nutzern, ihre Passwörter regelmäßig zu ändern und sich mit unseren Sicherheitstipps unter security.yahoo.com vertraut zu machen.”, teilte das Unternehmen mit.
Facebook: Überschreiben von Email-Adressen auf User-Smartphones
Wie bereits im Datenschutzticker thematisiert, änderte das Social-Network Facebook Ende Juni ohne Wissen seiner User deren primär in ihrem Profil angezeigte Email-Adresse. Dies führte, wie das Online Portal theverge.com nach einem Telefonat mit Facebook´s Director of Engeneering Andrew Bosworth aus erster Hand berichtete, auch zu teilweise erheblichen Problemen auf den Smartphones diverser Nutzer. Im Zuge der automatisierten Synchronisation zwischen der Facebook-App und dem smartphone-internen Adressbuch sei es zu unbeabsichtigten Überschreibungen vorhandener Email-Einträge in den Adressbüchern gekommen. Facebook sei jedoch im Begriff diesen Fehler zu beheben. An der grundsätzlichen Vorgehensweise der Email-Adress-Änderung will Facebook jedoch trotz der Kritik weiter festhalten.
BVDW veröffentlicht Whitepaper zu “Webanalyse und Datenschutz”
Der Bundesverband Digitale Wirtschaft (BVDW), eine Lobbyvereinigung von Unternehmen, die im im Bereich interaktives Marketing, digitale Inhalte und interaktive Wertschöpfung tätig sind, hat ein kostenloses Whitepaper zum Thema “Wabanalyse und Datenschutz” veröffentlicht. Am Beispiel von Google Analytics wird dabei herausgearbeitet, welche Maßnahmen seitens des Websitebetreibers notwendig sind, um Websiteanalyse-Tools datenschutzkonform einzubinden.
Inhaltlich enthält das Papier keine neuen Erkenntnisse, greift es doch im Wesentlichen auf die Anforderungen zurück, die der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, bereits im September 2009 veröffentlicht hat. Nichtsdestotrotz empfiehlt sich das Papier für einen einfachen Einstieg in die Materie, da grundlegende Streitstände und Probleme gut nachvollziehbar und in leicht verständlichen Worten wiedergegeben werden. Am Ende des Dokuments findet sich zudem noch eine Checkliste, anhand derer Websitebetreiber Punkt für Punkt nachprüfen können, ob sie alle notwendigen Maßnahmen für eine datenschutzkonforme Websiteanalyse getroffen haben.
Google: Zahlung von 18,3 Millionen Euro wegen vorgeworfener Datenschutzverstöße
Medienangaben zufolge hat der Suchmaschinenbetreiber Google im Streit um mutmaßliche Datenschutzverstöße im Safari-Browser des Konkurrenzunter- nehmens Apple in einen Vergleich zur Zahlung von umgerechnet 18,3 Millionen Euro eingewilligt. Google werde vorgeworfen, eine Lücke im Apple-Browser “Safari” ausgenutzt zu haben, um Nutzern bestimmte Werbeformate zu präsentieren. Auf diese Weise habe der Konzern über den Dienst Google+ einen Cookie auf den Nutzer-Endgeräten gespeichert, was auch funktioniert habe, wenn diese Cookies bewusst ausgeschaltet hatten. Die nun getroffene Einigung benötige noch die Zustimmung der US-Aufsichtsbehörde Federal Trade Commission (FTC). Sollte diese den Vergleich anerkennen, sei es die höchste jemals von dieser Behörde verhängte Strafe.
Facebook: Initiative gegen Pseudonyme
Das soziale Netzwerk Facebook hat Medienangaben zufolge eine Initiative gegen pseudonymisierte User gestartet. Dies ist angesichts der von Facebook verwendeten Namensrichtlinien innerhalb der Allgemeinen Geschäftsbedingungen weder überraschend noch verwerflich. Diese besagen unter Punkt 4 (Registrierung und Sicherheit der Konten) ausdrücklich, dass Facebook-User ihre wahren Namen und Daten anzugeben haben. Auch der Verweis, dass Facebook sich bei der Durchsetzung dieser Richtlinien der Hilfe seiner Mitglieder bedient, ist klar geregelt.
Die konkrete Maßnahme erscheint jedoch angesichts der “bespitzelnden” Vorgehensweise zumindest als fragwürdig. Loggte sich ein User bei Facebook ein, erschien eine Pop-Up-Meldung, in der um die Mithilfe des Users gebeten wurde. Dem Nutzer wurde ein Profilbild und ein Name mit folgenden zusätzlichen Text präsentiert: “Bitte hilf uns dabei zu verstehen, wie Nutzer Facebook verwenden. Deine Antwort bleibt anonym und hat keinen Einfluss auf das Konto deines Freundes. Ist dies der echte Name deines Freundes?”. Als Antworten standen “Ja”, “Nein”, “Ich kenne diese Person nicht” und “Ich möchte nicht antworten” zur Auswahl.
Facebook soll seine Vorgehensweise damit gerechtfertigt haben, dass es sich um einen “begrenzten Test handele, mit dem Accounts bestätigt werden können”. Ziel sei es, auf diese Weise Fake-Accounts zu identifizieren und die Plattform sicherer zu machen.
GMX: Spam-Versand über gehackte E-Mail-Accounts
Zur Zeit nutzen Kriminelle nach Angaben von Heise Online vermehrt E-Mail-Accounts des Providers GMX, um über diese ungewünschte Werbung (“Spam”) zu versenden. Höchstwahrscheinlich mittels eines Brute Force Angriffs soll auf E-Mail-Accounts, die lediglich über ein unsicheren Passwort geschützt wurden, Zugriff genommen und die dort gespeicherten Kontakte als Empfängeradressen gewählt worden sein. Nach Angaben des Providers werde solchen Angriffen im Regelfall durch Rate-Limits und andere Anomalie-Detection-Verfahren entgegengewirkt, was bedeute, dass Login-Versucher bestimmter IP-Adressen nach einer vorab definierten Anzahl von Fehlversuchen abgewiesen werden. Diese Schutzfunktion sei bei den aktuellen Angriffen wohl ausgetrickst worden.
Derzeit wird geraten, E-Mails von GMX-Absenderadressen kritisch zu prüfen bevor dort enthaltene Links oder Anhänge geöffnet werden. Für GMX-Nutzer sei es empfehlenswert, zu prüfen, ob der jeweilige E-Mail-Account mit einem sicheren Passwort geschützt ist.