Schlagwort: Kundendaten

Datenleck bei OnePlus

25. November 2019

Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.

OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails erhalten. Es bleibt noch unbekannt, wie viele Kunden betroffen sind und wie lange Unbefugte die Daten abgreifen konnten.

In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht, dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um die Datensicherheit zu verbessern.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

Angriff durch Hacker bei Conrad Electronic

19. November 2019

Hackern war es möglich, sich durch eine Sicherheitslücke des Servers des Versandunternehmens Conrad Electronics Zugang auf ca. 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank zu verschaffen.

Kreditkarteninformationen oder Kundenpasswörter seien zwar nicht davon betroffen, jedoch Postadressen, E-Mail Adressen, Telefonnummern sowie bei einem Fünftel der Datensätze Bankverbindungen (IBANs). Die Conrad Electronics-Gruppe habe bereits Strafanzeige beim Landeskriminalamt erstattet sowie das Bayerische Landesamt für Datenschutzaufsicht informiert.

Einen Hinweis, dass die Daten zu einem Missbrauch führten gäbe es bislang nicht, teilte die Conrad Electronic SE mit, jedoch bittet das Unternehmen um Vorsicht, falls Kunden E-Mails mit unsauberen Anhängen erhalten sollten. Um den Kunden entgegen kommen zu können wurde eine Seite eingerichtet auf der Informationen zum Vorfall bereitstehen und Fragen gestellt werden können.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

Asset Deal- Katalog von Fallgruppen

3. Juli 2019

Am 24.05.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Unternehmensverkauf zu berücksichtigen sind.

Ein Asset Deal ist eine Unterart des Unternehmenskaufs, bei dem Wirtschaftsgüter (engl. Assets) eines Unternehmens, wie Grundstücke, Gebäude, Maschinen, Patente etc., im Rahmen der Singularsukzession übertragen werden.

Bisher war es umstritten, ob und in welchem Umfang in einem solchen Fall auch Daten von Kunden verkauft werden dürfen.

Folgende Fallgruppen wurden von der DSK nun beschlossen:

  • Kundendaten bei laufenden Verträgen
  • Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
  • Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als 3 Jahre
  • Kundendaten im Falle offener Forderungen
  • Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO
Kategorien: Allgemein
Schlagwörter: , , ,

Zugriff auf Kundendaten durch Phishing-Mails

21. Januar 2019

Es werden zurzeit E-Mails im Namen der Deutschen Bank mit dem Betreff „Informationen zu Ihrem Bankkonto“ versendet. In dieser E-Mail wird darauf verwiesen, dass aufgrund der Datenschutzgrundverordnung (DSGVO) das TAN-Verfahren annulliert werden müsste. Dabei soll der Betroffene das angehängte Formular benutzen um die Änderung des TAN-Systems kostenfrei durchzuführen. Tut er dies nicht, würde die Deutsche Bank dies manuell durchführen und eine Gebühr dafür verlangen.

Hierbei handelt es sich um keine E-Mail von der Deutschen Bank. Als Absender der E-Mail wird „info@db.com“ angezeigt. In der Email befindet sich in der Anlage eine Datei mit dem Namen „Formular.html“. Das ist die eigentliche Phishing-Seite, über die die Daten der Betroffenen gestohlen werden.

Die Deutsche Bank hat auf ihrer Seite einen Sicherheitshinweis veröffentlicht, in der sie vor den Phishing-Mails warnt. Die Empfänger der E-Mails sollen nicht auf enthaltene Buttons oder Links in der E-Mail klicken. Wurde bereits auf den Button oder Link geklickt, dürfen in keinem Fall persönlichen Daten eingegeben werden, da diese sonst unverschlüsselt bei den Cyberkriminellen landen.

Veröffentlichung von Videos auf Facebook-Fanpages

12. Oktober 2018

Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.

Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.

Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.

Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.

Defizite beim Schutz von Kundenportalen

23. Februar 2018

Laut Andreas Wiegenstein sind Kundenportale von Energieversorgern nicht ausreichend geschützt.

Ebenso wie andere Unternehmen sind auch Energieversorger verpflichtet den Anforderungen an Datenschutz und Datensicherheit nachzukommen. Nach einem Artikel von Andreas Wiegenstein kommen sie diesen Anforderungen jedoch in nur unzureichendem Maße nach.

Gerade bei Kundenportalen soll ein nicht ausreichender Schutz von Kundenkonten gegen Angreifer bestehen, obwohl die Kunden dort sensitive Daten eingeben. Die Angreifer benötigen zwar einige Informationen für einen Zugriff, jedoch ließen sich diese laut Wiegenstein zu leicht beschaffen. So sollen sich speziell die scheinbar sicheren Kundennummern und Zählernummern ohne erhebliche Probleme herausfinden lassen.

Neben einer unzureichenden Absicherung der Kundenkonten bemängelt Wiegenstein zusätzlich die Absicherung beim Transport der Daten.

Im Ergebnis fordert er für die Zukunft zusätzliche Sicherheitsmaßnahmen, um einen ausreichenden Schutz zu gewährleisten. Andernfalls seien für die Zukunft erhebliche Probleme bei der Einhaltung der DSGVO absehbar.

Datenschutz-Aktivisten stellen Strafanzeige gegen Real und Post wegen Gesichtserkennung

13. Juni 2017

In den letzten Wochen wurde bekannt, dass sowohl die Supermarktkette Real als auch die Deutschen Post die Aufzeichnungen der Kameras in ihren Ladenlokalen bzw. Filialen nicht mehr nur dazu genutzt werden, um Straftaten wie Ladendiebstahl aufzuklären oder zu vermeiden, sondern vermehrt auch, um Gesichtsanalysen durchzuführen und diese letztlich für personalisierte Werbung einzusetzen, wir berichteten. Die Kameras erfassen dabei Blickkontakte mit dem Bildschirm sowie Geschlecht und ungefähres Alter des Kunden, so dass Rückschlüsse auf das Kundenverhalten gezogen werden können.

Die Aktivisten vom Verein Digitalcourage halten dieses Vorgehen für datenschutzrechtlich unzulässig und haben daher Strafanzeige gegen die beiden Unternehmen gestellt. Ihre Argumentation gründet sich vor allem auf § 6b Bundesdatenschutzgesetz (BDSG): Die von den beiden Unternehmen durchgeführte Videoüberwachung diene nicht mehr dem eigentlichen Zweck sondern werde zu Werbezwecken zweckentfremdet. Außerdem werde mit dem Text „Dieser Markt wird videoüberwacht“ nicht ausreichend auf die Ausmaße der Beobachtung durch die Kameras hingewiesen.

Auch wenn die Erfolgsaussichten dieses Strafverfahrens eher gering scheinen, so wird mit dieser Aktion doch deutlich, wie befremdlich für Einige das ist, was andere als personalisierte Werbung für eine großartige Errungenschaft halten.

Datenbank des Spielzeugherstellers VTech gehackt

3. Dezember 2015

Eine Kundendatenbank des Spielzeugherstellers VTech ist nach Angaben des Unternehmens gehackt worden. VTech, ein international agierendes Unternehmen mit seinem Hauptsitz in Hong Kong, verkauft unter anderem elektronisches Lernspielzeug für Kinder. Über die sogenannte „Learning Lodge“ können Kinder und Eltern Lernspiele, E-Books und weitere Lernsoftware für ihre VTech-Produkte herunterladen.
Wie VTech in einer Pressemitteilung berichtet, haben Unbekannte Mitte November die Kundendatenbank der Learning Lodge gehackt. Dadurch konnten die Hacker auf umfassende Kundendaten zugreifen. Zu der betroffenen Personengruppe gehören überwiegend Kinder beziehungsweise deren Eltern. Bei den gestohlenen Daten handelt es sich um die E-Mailadressen, IP-Adressen, eine Übersicht mit den getätigten Downloads der Nutzer sowie verschlüsselte Passworte einschließlich der Sicherheitsfragen und -antworten.

Auch wenn die gestohlenen Passwörter verschlüsselt waren, besteht zum einen das Risiko, dass die Täter den Verschlüsselungscode entziffern und die Passwortdaten entschlüsseln können. Weiterhin stehen den Tätern die Sicherheitsfragen und -antworten der Nutzer zur Verfügung. Dadurch vereinfacht sich der Aufwand für die Hacker mit diesen Daten auch auf weitere Nutzerkonen zugreifen. Sollten VTech-Kunden ihr Passwort für die Learning Lodge auch bei anderen Nutzerkonten verwenden, wird Ihnen dringend empfohlen, diese zu ändern.
Nach Angaben von VTech werden die den getätigten Käufen anschließenden Zahlungsprozesse nicht über die Learning Lodge abgewickelt. Daher haben die Hacker angeblich keine Kreditkartendaten und Kontodaten erbeuten können.
Bisher konnte VTecht die Ermittlungen bezüglich der Datenpanne nicht abschließen, mit der Folge, dass die Learning Lodge nach wie vor für Kunden gesperrt ist.

Bankmitarbeiter verbreitet Kundendaten im Internet

8. Januar 2015

Wie die amerikanische  Großbank Morgan Stanley berichtete, hat am vergangenen Montag einer ihrer Mitarbeiter die Daten von rund 350.000 Kunden gestohlen und einige von ihnen im Internet veröffentlicht.

Inzwischen sei dem Mitarbeiter gekündigt worden, teilte das Geldhaus mit. Es sei den betroffenen Kunden dadurch jedoch kein finanzieller Schaden entstanden, so alle bisherigen Erkenntnisse. Man habe die betroffenen Kunden bereits informiert und die Kontonummern geändert. Zudem informierte die Großbank nach eigenen Angaben die Aufsichtsbehörden.

Nach Angaben der Frankfurter Allgemeinen Zeitung veröffentlichte dieser Mitarbeiter von 900 Kunden der Vermögensverwaltung Informationen wie Namen oder Kontonummer im Internet. Er hatte offenbar die Absicht, die übrigen Datensätze zu verkaufen.

Es ist noch ungeklärt, wie der Mitarbeiter an die Datensätze gelangen konnte.

 

Barclays: Diebstahl von 27.000 Kundendaten

10. Februar 2014

Die britische Großbank Barclays hat Medienberichten zufolge Ermittlungen wegen Diebstahls von 27.000 Kundendaten eingeleitet und die britische Aufsichtsbehörde hinzugezogen. Es seien Kundendaten, u.a. auch Reisepassnummern, medizinische Informationen und Informationen, welches Risiko die Kunden bei Finanzgeschäften einzugehen bereit sind, zunächst entwendet und anschließend für umgerechnet rund  60 Euro pro Datensatz weiterverkauft worden.  Eine Sprecherin von Barclays habe mitgeteilt, dass man unternehmensseitig nun alle notwendigen Schritte unternehmen werde, um die betroffenen Kunden zu unterrichten, damit diese ihre Datensicherheit wiederherstellen können. Es sehe so aus, als handele es sich um einen kriminellen Akt. Man kooperiere nun in vollem Umfang mit den Behörden, um den Täter zu finden.

 

 

Kategorien: Allgemein
Schlagwörter: ,
1 2