Schlagwort: Datenleck

Ermittlungen gegen Google Plus – Datenpanne verschwiegen?

9. Oktober 2018

Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.

Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.

Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,

Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.

Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.

Barmer GEK: Online-Zugriff auf Patientendaten erschleichbar

14. März 2016

Medienberichten zufolge gibt es bei Deutschlands zweitgrößter Krankenkasse Barmer GEK ein Datenleck. Unbefugte könnten durch das Vortäuschen einer falschen Identität mit wenigen Telefonaten und ein paar Mausklicks Details zu Diagnosen, verordneten Arzneien, Klinikaufenthalten und andere intime Informationen abfragen. Einem von einer Zeitung beauftragten Tester sei es gelungen, sich über einen Online-Zugang der Kasse in Patientendaten einzuloggen. Der Tester habe ausschließlich den Namen, das Geburtsdatum und die Versichertennummer des Datenopfers zur Verfügung gehabt. Die Kasse soll der Darstellung, Unbefugte könnten sich mühelos Zugriff auf Versichertendaten im Internet verschaffen, widersprochen haben. Bei der Aktion habe es sich „eher um einen simulierten Diebstahl einer Versichertenkarte, gegen die sich keine Institution wehren kann“ gehandelt, so der Sprecher der Krankenkasse. In dem konkreten Fall habe der Sprecher aber eine Panne eingeräumt. Der Tester der Zeitung sei bei einem Telefonanruf nicht – wie sonst vorgeschrieben –  zusätzlich nach den letzten vier Ziffern der Kontonummer des Versicherten gefragt worden, dessen Identität er vorgetäuscht habe. Dadurch habe er sich Zugang zu den Daten verschaffen können.

Die Bundesdatenschutzbeauftragte Andrea Voßhoff ist nach dem Medienbericht alarmiert. Sie werde „beim Bundesversicherungsamt nochmals dringend anregen, die Thematik im Rahmen seiner Zuständigkeit zu untersuchen“. Außerdem wolle sie den Fall zum Anlass nehmen, den Datenschutz der Kassen bei telefonischen Kundenkontakten, insb. das Authentifizierungsverfahren bei telefonischen Kundenkontakten, „grundsätzlich zu überprüfen“.

 

ADAC: Panne mit Mitgliederdaten

10. November 2015

Der Allgemeine Deutsche Automobil-Club (ADAC) ist abermals mit Negativschlagzeilen in Erscheinung getreten. Wer auf der Homepage des ADAC das Antragsformular für eine ADAC-Kreditkarte aufrief, soll Medienberichten zufolge seit Anfang Oktober auch den Namen, Mitgliedsnummern, Eintrittsdatum und Art der Mitgliedschaft anderer ADAC-Mitglieder gesehen haben. Zwar seien keine weiteren Daten angezeigt worden (wie z. B. Bankinformationen), dennoch könne ein Missbrauch nicht ausgeschlossen werden.

Nachdem diese Panne bekannt wurde, sei die Antragsseite umgehend entfernt worden. Eigentlich habe man prüfen wollen, wie viele Betroffene es gibt, damit diese persönlich informiert werden. Nach neueren Berichten wird der ADAC davon jedoch Abstand nehmen. Man könne nicht mehr genau feststellen, wer genau betroffen war.

Kategorien: Allgemein
Schlagwörter: , ,

Datenpanne bei Cloud-Anbieter Dropbox

3. August 2012

Aus einer Veröffentlichung in dem firmeneigenen Blog des Cloud-Anbieters Dropbox geht hervor, dass aus dem Account eines Mitarbeiters Kundendaten durch unbekannte Angreifer entwendet werden konnten. Bekannt wurde der „Diebstahl“, als im Anschluss an diesen Mitte Juli die aus dem Dokument mit den Kundendaten entnommenen E-Mail Adressen vermehrt mit Spam-Mails belästigt wurden. Noch unklar ist, an wie viele E-Mail Adressen die Angreifer auf diese Weise gelangen konnten. Nach Angaben des Unternehmens erfolgte der unberechtigte Zugriff mittels eines gestohlenen Zugangspassworts eines Mitarbeiters, der anscheinend sein Passwort für den Zugriff auf die Cloud auch bei anderen Web-Dienstleistern verwendet hat. Auf die gleiche Weise haben die Angreifer auch auf „eine kleine Anzahl“ weiterer Dropbox-Accounts Zugriff erhalten.

Dropbox hat auf den Zwischenfall mit zweierlei Maßnahmen reagiert. Zum einen können sich Nutzer des Dienstes mit dem neu eingerichteten Zugriffsverlauf darüber informieren, wer zu welchem Zeitpunkt auf den Account zugegriffen hat. Zum anderen wird in den nächsten Wochen optional eine Zwei-Faktor-Authentifizierung angeboten, bei der neben der Online-Anmeldung auch eine Bestätigung per Mobiltelefon notwendig ist.

Ob bei Dropbox intern Maßnahmen ergriffen wurden, um solche Zwischenfälle in Zukunft zu vermeiden, lässt sich hingegen nicht in Erfahrung bringen. Der Vorfall zeigt nichts desto weniger wieder einmal schmerzlich auf, dass das Thema Datensicherheit, insbesondere für sensible Bereiche wie das Cloud-Computing, nicht ernst genug genommen werden kann.

Sicherheitslücke bei der Singlebörse meetOne

27. Juli 2012

Durch eine Sicherheitslücke bei dem Singleportal meetOne konnte auf alle von etwa 900.000 Nutzern hinterlegten Daten – wie etwa E-Mail Adressen, Echtnamen, private Nachrichten und Fotografien aber auch das Passwort – im Klartext zugegriffen werden. Um an die Daten zu gelangen war ein Login bei der Plattform nicht notwendig, vielmehr konnte jede Person durch das Hochzählen eines URL-Parameters die Daten einsehen. Nach Informationen von heise online wurde die Lücke inzwischen geschlossen. Nutzern werde dennoch empfohlen ihr Zugangspasswort bei meetOne sowie bei anderen Diensten, bei denen das gleiche Passwort genutzt wurde, umgehend zu ändern.