Schlagwort: Datenpanne

Wurde Booking.com zum Opfer eines Hackerangriffs der US-Geheimdienstbehörde ?

12. November 2021

In dem am Donnerstag erschienenen Buch „Die Maschine: Im Bann der Booking.com“ von drei Journalisten der niederländischen nationalen Zeitung NRC, berichten diese von einem Hackerangriff, der 2016 die Server von Booking.com durchbrochen und Benutzerdaten im Zusammenhang mit dem Nahen Osten gestohlen hat.

Die Personen hinter dem Hackerangriff hatten auf Tausende von Hotelreservierungen Zugriff. Hierbei sind vor allem die Länder des Nahen Ostens wie Saudi-Arabien, Katar und die Vereinigten Arabischen Emirate betroffen gewesen. Ferner heißt es, dass unter den offengelegten Daten auch Namen von Booking.com Kunden und deren Reisepläne veröffentlich wurden. Der bei Booking.com interne Name für diesen Verstoß  war das „PIN-Leck“, weil der Verstoß auch gestohlene PINs aus Reservierungen beinhaltete. Zwei Monate nach diesem Verstoß bekam Booking.com bei der Suche nach dem Hacker Unterstützung von US-Privatdetektiven. Hierbei stellten sie fest, dass es sich bei dem Hacker um einen Amerikaner handelte, der für ein Unternehmen arbeitete, das Aufträge von US-Geheimdiensten ausführte. Die Autoren haben bis jetzt nicht feststellen können, welche Agentur hinter dem Angriff steckte.

Der Vertreter von Booking.com äußerte sich zu diesem Geschehen. Booking.com sah sich nicht in der Pflicht, diesen Verstoß offenzulegen und zu melden. Es lagen nämlich keine Beweise für „tatsächlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen“ vor. Die in Amsterdam ansässige Booking.com traf diese Entscheidung, nachdem sie den niederländischen Geheimdienst AIVD angerufen hatte, um diese Datenschutzverletzung zu untersuchen. Auf Anraten eines Rechtsberaters hat das Unternehmen die betroffenen Kunden und die niederländische Datenschutzbehörde daraufhin nicht benachrichtigt. Die Begründung: Booking.com war gesetzlich nicht dazu verpflichtet, weil keine sensiblen oder finanziellen Informationen abgerufen wurden.

Im April wurde Booking.com von den niederländischen Datenschutzbehörden mit einer Geldstrafe von 475.000 Euro belegt, da Booking.com eine separate Datenschutzverletzung gemäß der DSGVO verspätet gemeldet hatte. Bei diesem Verstoß wurden mehr als 4.000 Booking.com Kunden von Cyberkriminellen auf ihre Namen, Adressen, Telefonnummern und Buchungsdetails zugegriffen. Weitere 300 Personen hatten auch Kreditkarteninformationen gestohlen, einschließlich des CVV-Codes in fast 100 Fällen.

Corona-Daten gelangen ins Netz

In mehreren Berliner Corona-Testzentren hatten die Betreiber eine unsichere Software-Lösung benutzt. Dies hat dazu geführt hat, dass hunderttausende Nutzerdaten von Getesteten im Internet aufgetaucht sind. Betroffen sind diejenigen Kunden, die sich bei Testzentren „Schnelltest Berlin“ haben testen lassen. Das IT-Kollektiv „Zerforschung“ fand heraus, dass aufgrund einer nicht geschützten Schnittstelle verschiedener Testanbieter die Daten ins Netz gelangen konnten und somit für Dritte einsehbar waren.

Neben sensiblen, personenbezogenen Daten wie Name, Anschrift oder Telefonnummer befanden sich darunter offenbar auch Testergebnisse und Zertifikate des Robert-Koch-Instituts (RKI). Weiter fand Zerforschung heraus, dass sich auch Testzertifikate für PCR-Tests erstellen ließen. So konnten die Programmierer ein Zertifikat über ein negatives Corona-Testergebnis für einen von ihnen frei gewählten Namen ausstellen. In einem Versuch generierten sie einen PCR-Test, der mit negativem Ergebnis für einen fiktiven 177 Jahre alten Mann ausgestellt werden konnte. Hinzu kommt, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal.

Nach Aufdeckung der Sicherheitslücken informierte Zerforschung die zuständigen Stellen. Der Betreiber der in Rede stehenden IT-Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem rbb die Datenpanne zugegeben und versichert, die Lücken seien inzwischen geschlossen. Kunden wurden bisher nicht über die Datenlücke informiert.

Der Zusammenschluss „Schnelltest Berlin“ ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.

Booking.com muss Strafe zahlen

6. April 2021

Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.

Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch „social-engineering“-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.

Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.

Datenpanne in Corona-Testzentren

26. März 2021

Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.

Was ist passiert?

Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.

Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.

Das Problem ist behoben

Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.

Datenpanne bei Airbnb

30. September 2020

Laut Berichten hat Airbnb mit enormen Sicherheitsproblemen zu kämpfen. Viele Airbnb-Hosts melden, dass ihnen nachdem sie sich in ihr Airbnb Account eingeloggt hätten, Postfächer von anderen Hosts angezeigt worden seien. Die Airbnb-Hosts können die Gastgebernamen, Profilbilder, Buchungseinnahmen, Anzahl der Buchen von den letzten 30 Tagen und sogar die Codes, welche den Zugang zum gemieteten Objekt ermöglichen, sehen.

Nach einigen Berichten soll der Airbnb-Support empfohlen haben, sich neu einzuloggen, die Cookies zu löschen oder den Browser zu wechseln. In manchen Fällen wurde das Problem durch das Abmelden und erneute Anmelden verhindert, dies betrifft jedoch nicht alle Fälle.

Airbnb sagte: „Am Donnerstag führte ein technisches Problem dazu, dass eine kleine Gruppe von Benutzern versehentlich begrenzte Mengen an Informationen aus den Konten anderer Benutzer anzeigt“. „Wir haben das Problem schnell behoben und implementieren zusätzliche Kontrollen, um sicherzustellen, dass es nicht erneut auftritt. Wir gehen davon aus, dass persönliche Informationen nicht missbraucht wurden und Zahlungsinformationen zu keinem Zeitpunkt verfügbar waren.“

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Großer Datenzugriff bei der Bundesagentur für Arbeit – Ermittlungen bereits eingestellt

14. August 2020

Bei der online-Jobbörse der Bundeagentur für Arbeit (BA) haben Datenhändler durch falsche Inserate auf Datensätze zehntausender Bewerber zugegriffen und diese vermutlich auch weiterverkauft.

Aufgefallen war dies 2019 durch Recherchen des SWR. Die BA in Nürnberg konnte hierrauf nach eigenen Feststellungen über 120.000, frei erfundene Inserate ermitteln. Dabei sollen Betroffene auch von Drittfirmen kontatkiert worden sein und Jobangebote erhalten haben, für die sie sich nie beworben hatten.

Das BDSG stellt das Erschleichen von Betroffenendaten durch unrichtige Angaben mit bis zu 2 Jahren unter Strafe. Wie die Süddeutsche Zeitung berichtet, hat die Berliner Staatsanwaltschaft das Ermittlungsverfahren nun jedoch eingestellt. Laut Behörde konnte man gegen den mutmaßlichen Verantwortlichen, ein Berliner Unternehmen, keinen hinreichenden Tatverdacht nach § 170 Abs. 2 Strafprozessordnung feststellen.

Begründet wird die Entscheidung in erster Linie damit, dass keine geschädigten Personen ausfindig gemacht werden konnten. Es sei daher schwer, eine Strafbarkeit zu begründen. Verwundwerlich ist jedoch, dass zumindest eine mutmaßlich betroffene Person im Fernsehn aufgetreten ist. Gleichzeitig beschuldigen die Ermittlungdsbehörden auch den SWR, keine ausreichenden Informationen mit der Staatsanwaltschaft geteilt zu haben.

Datenschützer und Politikker kritiseieren das Vorgehen der Staatsanwaltschaft. Es sei Aufgabe der Behörden selbständig zu ermitteln. Die Entscheidung die Ermittlungen einzustellen stößt dabei auf Unverständnis.

Seit dem Vorfall hat die BA die online Job-Börse umstrukturiert. Nach Bekanntwerden des Datenmissbrauchs wurden die ermittelten, falschen Inserate zunächst gelöscht. Mittlerweile lässt sich erkennen, ob es sich bei dem Inserat um ein betreutes oder ein unbetreutes Angebot der BA handelt.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Patientendaten von Fresenius Medical Care in Serbien gehackt

28. Mai 2020

Der Dialyseanbieter Fresenius Medical Care (FMC) bestätigt, dass es in Folge eines Hackerangriffs zur illegalen Veröffentlichung von Patientendaten gekommen ist. Die Patientendaten stammen aus einigen Dialysezentren in Serbien.

FMC teilte mit, dass „ein Zusammenhang mit einem IT-Vorfall vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen hatte, und dass Hacker in der Lage waren, bestimmte Daten zu stehlen“. Diesbezüglich wurden Untersuchungen durchgeführt. Die Betriebsabläufe des Unternehmens in Serbien werden fortgesetzt und die medizinische Versorgung von Patienten in Serbien sei sichergestellt.

Das Unternehmen hat gegen die unbekannten Täter Strafanzeige erstattet und will mit den zuständigen Behörden zusammenarbeiten. Mit den Patienten, die von dem Datendiebstahl und deren illegalen Veröffentlichung betroffen sind, will FMC Kontakt aufnehmen.

Das Unternehmen „bedauert diesen Eingriff in die Privatsphäre einiger Patienten zutiefst und tut sein Möglichstes, um die Veröffentlichung weiterer Daten zu verhindern und Schaden von betroffenen Patienten und anderen Personen bzw. Partnern abzuwenden. Interne und externe Spezialisten arbeiten kontinuierlich daran, weitere potenzielle Angriffe, Datendiebstähle oder illegale Veröffentlichungen von Daten zu verhindern.“

Kategorien: Allgemein · Hackerangriffe · Online-Datenschutz
Schlagwörter:

Hacker verschaffen sich Zugang zu über 160.000 Nintendo-Accounts

28. April 2020

Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.

Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.

Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.

Datenpanne bei der Investitionsbank Berlin

31. März 2020

Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.

Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.

Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.

Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.

Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.

Datenpanne bei Samsung

27. Februar 2020

Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.

Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.

Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“

Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,
1 2 3 5