Schlagwort: Datenpanne

Hacker verschaffen sich Zugang zu über 160.000 Nintendo-Accounts

28. April 2020

Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.

Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.

Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.

Datenpanne bei der Investitionsbank Berlin

31. März 2020

Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.

Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.

Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.

Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.

Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.

Datenpanne bei Samsung

27. Februar 2020

Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.

Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.

Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“

Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Datenpanne bei der Lufthansa Miles and More GmbH

16. Dezember 2019

Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.

Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.

Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.

Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.

Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.

Kategorien: DSGVO
Schlagwörter: , , ,

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

Datenleck bei OnePlus

25. November 2019

Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.

OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails erhalten. Es bleibt noch unbekannt, wie viele Kunden betroffen sind und wie lange Unbefugte die Daten abgreifen konnten.

In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht, dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um die Datensicherheit zu verbessern.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

Hochsensible medizinische Daten frei verfügbar im Netz

17. September 2019

Patienten aus Deutschland und den USA betroffen.

Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.

Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.

Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“

Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.

Bußgeld bei Meldung einer Datenpanne?

5. September 2019

Eine häufige Frage aus der Praxis:

Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.

Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .

Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.

Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG).  Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.

Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.

ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.

Datenpanne bei Twitter

8. August 2019

Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.

Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.

Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.

Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.

Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.

Spielemesse E3: Daten von mehr als 2000 Fachbesuchern online

6. August 2019

Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war auf der E3-Website mindestens einige Tage lang abrufbar.

Als Erste machte die Journalistin Sophia Narwitz in einem Youtube-Video auf die Datenpanne aufmerksam, nachdem sie selbst über eine anonyme E-Mail davon Kenntnis erlangt hat.

Inzwischen ist die Liste zwar nicht mehr im Google-Cache, offenbar wurde sie jedoch von Unbekannten kopiert und ist nun andernorts im Internet zu finden.

Der eigentliche Zweck solcher Listen ist, dass Aussteller die Teilnehmer der Messe nach deren Einwilligung kontaktieren können. Laut dem Veranstalter war das Dokument zunächst nur per Passwort erreichbar, erschien dann aber als Download auf einer E3-Unterseite. Ungeklärt bleibt noch, wie es zu diesem Vorfall kam.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,
1 2 3 5