Schlagwort: Datenpanne

Datendiebstahl: 106 Millionen Bankkunden betroffen

5. August 2019

Bei einer der größten Datenpannen in der nordamerikanischen Finanzbranche erhielt eine Hackerin Zugriff auf Konten und Kreditkartenanwendungen von US-Bank-Kunden. Die US-Bank, die ihren Sitz in Virginia hat, berichtete, dass Daten von mehr als 100 Millionen US-Bürgern und 6 Millionen Kanadiern gestohlen wurden.

Nach Angaben der Bank seien persönliche Daten von Kreditkartenanträgen und existierenden Kreditkarten betroffen, etwa Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen sowie Informationen zur Kreditwürdigkeit und Verfügungslimits. Jedoch seien keine Kreditkartenkontonummern oder Anmeldeinformationen betroffen, stellte die US-Bank fest.

Die Hackerin hatte zuvor als Software-Entwicklerin bei Amazon Web Services gearbeitet, dem Cloud-Anbieter der US-Bank. Wie die US-Bank betont, habe die entdeckte Schwachstelle nicht speziell an der Cloud-Umgebung gelegen. Laut Bloomberg handelte es sich um eine falsch konfigurierte Firewall, die den Datendiebstahl ermöglicht habe.

Die Hackerin soll bereits Informationen über den Hack in Sozialen Medien veröffentlicht haben. Die US-Bank bemerkte den Datendiebstahl erst nach einer entsprechenden E-Mail von einem Nutzer, der vor einem potenziellen Datenleck warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht. Laut US-Bank „ist es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe.“

Der Skandal schlägt inzwischen auch Wellen bis nach Europa. Eine italienische Bank wird mit einem Datendiebstahl bei der US-Bank in Zusammenhang gebracht.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Immer mehr Datenpannen in Arztpraxen

31. Juli 2019

Der baden-württembergische Landesdatenschutzbeauftragte warnt in seiner gestrigen Pressemeldung eindringlich vor Datenpannen in Arztpraxen. Ganz besonders Verschlüsselungstrojaner sind die Quelle vieler Datenschutzverletzungen. Auch die Übermittlung von Patientenberichte oder Röntgenbilder an falsche Empfänger stellen ein großes Problem dar.

Es ist zwingend notwendig, dass eine Datensicherung, Verschlüsselung sowie die Schulung und Sensibilisierung der Mitarbeiter stattfindet. Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird.“

Bislang hat die Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Seit dem Wirksamwerden der neuen EU-Datenschutzverordnung im Mai 2018 hat sich die Zahl der Datenpannen demzufolge verzehnfacht.

Die am häufigsten gemeldeten Datenschutzverletzungen:  Postfehlversand,  Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers und Fax-Fehlversand.

Datenpanne im thailändischen Gesundheitsministerium: Auch Deutsche Touristen betroffen

29. Juli 2019

Im Internet sind Daten von mehr als 2000 Thailand-Reisenden ungeschwärzt einsehbar gewesen, darunter auch Gesundheitsdaten. Unter den Betroffenen sind auch ca. 130 deutsche Touristen.

Bei den betroffenen Daten handelt es sich um Passkopien, Handynummern und private E-Mail-Adressen. Darüber hinaus wurden auch Informationen über Krebs-Erkrankungen, Herzleiden und psychiatrischen Klinik-Aufenthalten sowie Arzneimittelverschreibungen der Touristen öffentlich.

Die thailändische Botschaft teilte auf Anfrage mit, sie werde die Angelegenheit prüfen. Der Grund für das Speichern der Daten sind dem Bericht zufolge thailändische Vorschriften, die für die Einfuhr verschreibungspflichtiger Arzneimittel eine Bescheinigung des behandelnden Arztes voraussetzen.

Datenleck bei Foto-Sharing-Plattform

31. Mai 2019

Bei der Foto-Sharing-Plattform Theta360.com kam es zu einer Datenpanne, durch welche Dritte über 11 Millionen öffentliche sowie private Fotos der Nutzer abrufen konnten.

Die Plattform bildet einen weiteren Geschäftszweig des japanischen Elektronikkonzerns welcher vorwiegend 360-Grad-Kameras vertreibt. Das Unternehmen bietet seinen Kunden mittels der Plattform die Möglichkeit eigene Fotos hochzuladen, öffentlich zu teilen und zu kommentieren. Um die Privatsphäre der Nutzer zu ermöglichen, können diese darüber entscheiden, ob Ihre Fotos öffentlich oder nur für Freunde sichtbar sind.

Die Datenpanne kam durch eine Gruppierung von White Hat-Hackern ans Licht, welchen die offene Benutzerdatenbank in Theta360 aufgefallen ist.  Durch das Einfügen der UUID von Fotos in die betreffende Elasticsearch-Datenbank war es in einigen Fällen sogar möglich die Benutzernamen der Datenbanken mit den entsprechenden Social Media Accounts zu verknüpfen.

Das Datenleck wurde inzwischen behoben, jedoch ist noch nicht bekannt, ob Dritte die Schwachstelle ausgenutzt haben und ob eine entsprechende Meldung der Datenpanne gemäß der DSGVO an die Aufsichtsbehörde abgesetzt wurde.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Datenpanne im Zusammenhang mit Facebook

4. April 2019

Zwei mit Facebook kooperierende Unternehmen haben nach Medienberichten Daten öffentlich zugänglich gespeichert. So hätten sowohl das Unternehmen Cultura Colectiva sowie die Entwickler der App „At the Pool“ (personenbezogene) Daten bei frei zugänglichen Amazon-Cloud-Diensten gespeichert.

Darüber hinaus unterstreiche diese Datenpanne das Problem mangelnder Kontrolle des Unternehmens Facebook über die anvertrauten (personenbezogenen) Daten. Aus Unternehmensperspektive bleibt mithin abzuwarten, ob sich hieraus relevante Entwicklungen ergeben und gegebenenfalls eine Beratung einzuholen ist.

Kategorien: Allgemein
Schlagwörter: ,

Hacker erbeuten bis zu 500 Millionen Daten

4. Dezember 2018

Angriffe von Hackern auf IT-Systeme dienen oftmals der Erlangung personenbezogener Daten. Von besonderem Interesse und Wert sind dabei vor allem auch Kreditkarteninformationen. Nun wurde bekannt, dass der Marriott-Konzern, eine der weltweit größten Hotelketten, Opfer groß angelegter Cyberattacken wurde. Das Unternehmen gab bekannt, dass persönliche Daten von möglicherweise bis zu 500 Millionen Gästen gestohlen wurden. Im Mittelpunkt der Cyberattacken stand dabei die Tochtermarke Starwood, die von Marriott im Jahr 2016 für rund 13,6 Milliarden Dollar gekauft wurde. Zu  Starwood gehören unter anderem die Hotels Westin, St. Regis, Le Méridien und W Hotels. Nun wurde bekannt, dass die von den Starwood Hotels eingesetzte Datenbank zum Management von Gästereservierungen seit 2014 regelmäßig von Hackerangriffen betroffen war. Bei diesen Attacken wurden unter anderem Namen, Geburtsdaten, Passinformationen, E-Mail – Adressen und die Aufenthaltszeiträume von Hotelgästen entwendet. Darüber hinaus konnten die Hacker wohl auch von einigen Hotelgästen die in der Datenbank hinterlegten Kreditkarteninformationen, samt den zur Entschlüsselung notwendigen Daten, erlangen. Nachdem die Angriffe dem Marriott-Konzern intern bekannt wurden, wurden die zuständigen Ermittlungsbehörden eingeschaltet. Weiterhin kündigte Marriott an, dass die von der Cyberattacke betroffenen Hotelgäste zeitnah per Mail hierüber informiert werden würden und das die IT-Systeme der Tochtermarke Starwood ausgemustert werden sollen. Das Bekanntwerden dieser Datenpanne führte dazu, dass der Kurs der Marriott-Aktie kurzfristig um bis zu 6 Prozent nachgab.

Ermittlungen gegen Google Plus – Datenpanne verschwiegen?

9. Oktober 2018

Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.

Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.

Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,

Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.

Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.

Schwere Datenschutzpanne beim Online-Dienst von Panini

2. Juli 2018

Einem Bericht des Nachrichtenmagazins „Der Spiegel“ nach hat der italienische Sammelalbenhersteller Panini mit erheblichen Sicherheitsproblemen zu kämpfen: Für Unbefugte bestand die Möglichkeit der Kenntnisnahme von personenbezogenen Daten anderer Kunden.

„Mypanini“ ist ein Serviceangebot des Unternehmens, welches die Herstellung und Zusendung personalisierter Klebebildchen beinhaltet. Die Fotos, welche Kunden für ihre Sammelbilder vorsehen, werden über den eigenen Konterfei hochgeladen. Bis vor kurzem war es eingeloggten Nutzern möglich, hochgeladene Bilder und personenbezogene Daten anderer Kunden einzusehen. Zu den personenbezogenen Daten der Betroffenen zählten neben dem (oftmals eigenen) Foto regelmäßig der volle Name, das Geburtsdatum sowie der Wohnort des Nutzers.

Auch wenn Giorgio Aravecchia, Paninis Direktor für Neue Medien, bereits erklärte, dass die Datenpanne umgehend durch ein Sicherheitsupdate behoben wurde, ist der Vorfall als gravierend einzustufen: Auf den für Unbefugte einsehbaren Bildern waren oftmals Kinder abgebildet, teilweise mit nacktem Oberkörper und/oder im privaten Umfeld.

Es liegt nun an Panini einen dsgvo-konformen Umgang mit den personenbezogenen Nutzerdaten sicherzustellen und in diesem Zusammenhang die geeigneten technischen und organisatorischen Maßnahmen zu treffen, um solche Datenschutzpannen präventiv auszuschließen.

 

Datenpanne bei PayPal-Tochter: 1,6 Millionen Kundendaten betroffen

6. Dezember 2017

Aufgrund eines Datenlecks bei TIO Networks, einem Unternehmen von Paypal, hat der Online-Bezahldienst bekanntgegeben, dass circa 1,6 Millionen Kundendaten abhanden gekommen sein könnten.

TIO Networks bietet Dienste an, die Kunden das Bezahlen von Rechnungen ermöglicht, die ansonsten keinen einfachen Zugang zu Banken haben. Paypal hatte das Unternehmen aus Kanada im Juli dieses Jahres für circa 233 Millionen US-Dollar gekauft. Zu den betroffenen Daten gehören die persönlichen Informationen von Kunden, insbesondere deren Bankdaten und Sozialversicherungsnummern. Schon am 10. November hatte Paypal die Angebote von TIO Networks daher vorübergehend eingestellt ohne bisher eine Abschätzung abgeben zu können, wann das Unternehmen wieder den Betrieb aufnehmen kann. Auch ist bislang unklar, wer den Angriff initiiert hat und für das Datenleck verantwortlich ist.

Kunden sind angehalten, einen Service zum Schutz ihrer Identität in Anspruch zu nehmen. Darüber hinaus bietet TIO Networks seinen Kunden als Entschädigung ein kostenloses Credit Monitoring für das nächste Jahr an.

Da TIO Networks völlig unabhängig vom Paypal-Netzwerk agiert, sind Kunden von Paypal selbst allerdings nicht betroffen.

Datenpanne bei Fahrradverleiher oBike

1. Dezember 2017

Eine Radtour mit einem Leihfahrrad des Anbieters oBike mag gesund, umweltfreundlich und praktisch sein. Doch leider wurden bis vor kurzem bei einer Fahrt mit einem der gelben Fahrräder, die in Berlin, Frankfurt, Hannover und München zum Verleih stehen, auch viele Daten preisgegeben.

Journalisten vom Bayerischen Rundfunk (BR) Data und BR Recherche konnten eine Vielzahl von Nutzerdaten im Internet einsehen. Nicht nur der Abstellort wurde übermittelt, sondern ein umfangreiches Bewegungsprofil. Ohne Verschlüsselung oder anderem Schutz lag der genaue Streckenverlauf online offen. Die Smartphone-App von oBike ermöglichte zudem, den Streckenverlauf in sozialen Netzwerken zu teilen. Damit gab der Fahrradfahrer auch persönliche Daten oder Profilbilder preis. Doch auch ohne Nutzung von Social-Media-Kanälen konnten Kriminelle Nutzerdaten kopieren, darunter Namen und E-Mail-Adressen.

Nachdem sich der BR an oBike gewandt hat, wurde die Sicherheitslücke geschlossen. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) wertete dieses Datenleck als Verstoß gegen das Bundesdatenschutzgesetz (BDSG). Der deutsche Firmensitz von oBike liegt in Berlin. Derzeit prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit ihre Zuständigkeit für diesen Fall.

1 2 3 4 5