Schlagwort: Leak
8. April 2021
In einem Hacker-Forum sind vor kurzem Daten von 533 Millionen Facebeook-Nutzern aufgetaucht, die zumindest potentiell für Identitätsdiebstahl missbraucht werden könnten.
Konkret enthält der Datensatz die Telefonnummern, E-Mail-Adressen, Geburts- und andere Daten von Facebook-Nutzern aus über 106 Ländern der Welt. Eine Facebook-Sprecherin kommentierte den Vorfall auf Twitter und beschwichtigte, dass es sich um Daten handele, die bereits im August 2019 abhandengekommen seien, das Problem mittlerweile aber behoben wurde.
An die Daten kamen die Hacker wohl durch sogenanntes Scraping, bei dem über automatisierte Anfragen Daten in großem Stil abgegriffen werden können. Bereits 2019 waren Telefonnummern von 420 Millionen Nutzern in Netz aufgetaucht, nachdem eine Funktion zur Freundessuche für den Datenabgriff missbraucht wurde (wir berichteten).
Trotz Beschwichtigung seitens Facebook ist auch die Irische Datenschutzbehörde auf den Fall aufmerksam geworden und äußerte sich gegenüber der BBC dahingehend, eine eigene Prüfung anzustoßen, bei der festgestellt werden soll, um was für Daten es sich tatsächlich handelt.
Update (12.04.21): Leser des Blogs haben sich bei uns gemeldet und berechtigte Zweifel an der Theorie des „einfachen“ Scrapings geäußert. So sollen etwa auch Telefonnummern abgegriffen worden sein, die eigentlich nur für die 2-Faktor-Authentifizierung verwendet wurden. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber zeigt sich auf Twitter verwundert darüber, dass er von dem Datenleak betroffen ist, obwohl er sich bereits im Jahr 2018 von der Plattform abgemeldet hatte.
Um einen Erklärungsversuch, wie die Hacker so viele Telefonnummern erbeuten konnten, bemüht sich Jürgen Schmidt auf Heise.de. Wie die riesige Anzahl an Daten allerdings tatsächlich abhandenkommen konnte, wird sich erst im Laufe der Ermittlungen zeigen.
Wir werden Sie im Datenschutzticker dabei stets über aktuelle Entwicklungen auf dem Laufenden halten.
Wenn Sie testen wollen, ob auch sie von einen Datenleak betroffen sind, können Sie dies hier tun.
13. Januar 2017
Widerstand gegen den im Jahre 2015 in das Strafgesetzbuch (StGB) aufgenommenen Paragraphen 202d formiert sich unter einem Bündnis aus Bürgerrechtsorganisationen und Journalisten, darunter die Gesellschaft für Freiheitsrechte (GFF), welche bereits im Dezember 2016 beim Bundesverfassungsgericht Beschwerde eingerichtet hat.
§ 202d StGB regelt die Strafbarkeit für die Weitergabe von „geleakten“ Daten wie aus den bekannten sogenannten Whistleblower-Fällen, in denen vertrauliche Informationen, welche nicht für die Öffentlichkeit bestimmt sind, von Einzelnen publik gemacht werden. Prominente Beispiele, wenn auch außerhalb des deutschen Rechtsraums, sind Edward Snowden, Julien Assange oder Bradley Manning. Von der Strafbarkeit ausgenommen ist die Weitergabe solcher geleakten Information durch bestimmte Amts- oder Berufsträger, so zum Beispiel – natürlich, bedenke man die in Deutschland Praxis gewordenen Verwertung von Steuer-CDs – Finanzbeamte, aber auch Geistliche und Seelsorger, Rechtsanwälte und Journalisten.
Die Beschwerdeführer rügen vor allem hinsichtlich Letzteren den zu engen Wortlaut des Gesetzes, nachdem weder nebenberufliche Journalisten noch Hilfspersonen und externe Berater ausreichend von der Strafverfolgung ausgenommen sind. Darin sehen die Beschwerdeführer außer der Presse- und Rundfunkfreiheit das allgemeine Gleichheitsgebots, die Freiheit der Berufsausübung und den strafrechtlichen Bestimmtheitsgrundsatz verletzt.
Dass das Gesetz durchaus auch personenbezogene Daten Dritter schützt, welche durch einen Leak unkontrollierbar veröffentlicht werden, bedenken die Verfechter der Freiheitsrechte hoffentlich auch.
24. Oktober 2014
Bundesinnenminister Thomas De Maizière hat sich auf dem Nationalen IT-Gipfel in der Hamburger Handelskammer zur Sicherheit von Cloud-Diensten geäußert und dabei ein plakatives aktuelles Beispiel herangezogen. Es gehe darum, durch Sicherheitsstufen Vertrauen ins Netz zu schaffen. Passwortänderungen und Verschlüsselung könnten bereits 80 bis 90 % der Gefahren im Netz absichern. Trotz allem, so De Maizière: “Ein Nacktbild gehört einfach nicht in die Cloud”. Damit bezog sich der Bundesinnenminister auf die Cloud-Leak, im Rahmen derer vor einigen Wochen zahlreiche Nacktfotos prominenter Persönlichkeiten im Netz auftauchten, die zuvor aus Cloud-Diensten gestohlen worden waren.
Bereits Ende September hatte sich der EU-Digitalkommissar und IT-Fachmann Günther Oettinger hierzu geäußert: “Wenn jemand so blöd ist und als Promi ein Nacktfoto von sich selbst macht und ins Netz stellt, hat er doch nicht von uns zu erwarten, dass wir ihn schützen. Vor Dummheit kann man die Menschen nur eingeschränkt bewahren.”
15. April 2013
Das Kollektiv Anonymous hat auf Pastebin mehr als 37.000 Datensätze der FDP Plattform my-fdp.de veröffentlicht. Dieser Schritt wird mit der Zustimmung der FDP zur Vorratsdatenspeicherung begründet. Dabei wird die Frage gestellt, wie der Datenschutz bei Bestands- und Vorratsdaten sichergestellt werden könne, wenn eine Partei, die eine solche Speicherung befürworte, nicht zumindest auf ihre eigenen Daten aufpassen könne. Auch die administrativ Verantwortlichen der FDP werden von Anonymous mit Spott bedacht: Wer als Administrator Passwörter wie “Pupi” oder “herakles” verwende, sollte keine “Macht” haben, über Daten von Bürgern zu entscheiden.
Von der Veröffentlichung betroffen sind folgende Daten: Nutzername, Vor- und Nachname, E-Mail Adresse und Passwort Hashes. Bei FDP Mitgliedern wurden zusätzlich noch die Telefonnummern genannt. Von der Preisgabe der Telefonnummern und Adressen der sonstigen Forumsmitglieder sah Anonymous mit der Begründung ab, dass diese “immerhin nichts für die schlechte Sicherheit der FDP” könnten.
Die vorrangig betroffenen Internetangebote my.fdp.de und das Nachfolgeangebot meine-freiheit.de stehen momentan wegen Wartungsarbeiten nicht zur Verfügung. Die Nutzer der betroffenen Websites wurden mittlerweile per E-Mail von Harald Ruppe (Vorstand der Universum Kommunikation und Medien AG, die z.T. für die Webangebote verantwortlich ist) aufgefordert ihre Passworte neu zu setzen, sobald die Dienste wieder zur Verfügung stehen. Weiterhin wurde auf das Risiko hingewiesen, dass zumindest schwache Passwörter mithilfe der Passworthashes geknackt werden könnten. Auch das Schreiben Ruppes wurde von Anonymous auf Pastebin veröffentlicht.