19.01.2010
RUF ist ein Veranstalter für Jugendreisen, der auch ein Portal zur Buchung der Reisen und eine Community-Plattform zum Informationsaustausch betreibt.
Wie Netzpolitik.org berichtet, hatte die Plattform — sie wurde inzwischen aus dem Netz genommen — eklatante Sicherheitslücken, weshalb es für Ottonormalhacker problemlos möglich war Profildaten der Jugendlichen einzusehen und zu kopieren. Zugriff bestand unter anderem auf die Adressen der Mitglieder. Auf das Datenleck wurde RUF bereits vor 3 Jahren hingewiesen. Der ehrliche Finder wurde damals aber mit Hilfe von Anwälten eingeschüchtert, so Netzpolitik.org.
Wie Heise Security berichtet, wies auch das Online-Buchungssystem Sicherheitsmängel auf. Durch einfache URL-Manipulation konnten Buchungen anderer Jugendlicher abgerufen werden. So war zum Beispiel sichtbar, wer wann mit wem in welchem Hotelzimmer schlafen wird.
15.01.2010
Wie sich herausstellte hatte die Leipziger Polizei Verhörprotokolle nicht ausreichend gesichert.
Vor einem dreiviertel Jahr wurde in Leipzig ein Kinderschänder verhaftet (“Mordfall Michelle”). Nachdem dieser den Mord gestanden hatte, wurde die Niederschrift der Aussage in das Computersystem der Leipziger Polizei eingespielt. Normalerweise sind solche Daten nur für die am Fall unmittelbar beteiligten Beamten zugänglich. In diesem Fall sollen jedoch 40 bis 50 unberechtigte Polizisten Zugriff auf die Protokolle gahabt haben.
Der Sprecher des sächsischen Datenschutzbeauftragten äußerte sich mit großer Zurückhaltung zu dem Fall.
13.01.2010
In diesen Tagen ist in den Medien von Googles Rückzug aus China zu lesen. Ausgelöst wurde dies von einem Hackerangriff, der – zumindest laut google – in geringen Umfang Erfolg hatte. So konnten Kontoinformationen und Betreffzeilen von zwei E-Mail-Konten eingesehen werden.
13.12.2009
Berlin hat seine Gewerberegister geöffnet, so daß eine Online-Recherche nach den Grunddaten von Berliner Unternehmen kostenfrei ist. Die Stadt hat allerdings nicht bedacht, daß diese Datenbank per Skript automatisiert auslesbar – und folglich nun auch nach Tätigkeitsfeldern recherchierbar ist. Und an diesem Punkt beginnt das eigentliche Datenproblem: nach dem Gesetz zu dieser eAuskunft ist eine alleine Suche nach einer Tätigkeit nichz zulässig – und genau das wäre bei den aufbereiten Daten nun der Fall.
04.12.2009
Hätten sie nur weiter Hausaufgabenhefte vertrieben: der Chaos Computer Club entdeckt schwerwiegende Sicherseitsmängel beim Internetportal von haefft.de. Die Online-Community ist eine Sozial-Netzwerk-Plattform insbesondere für Schulkinder.
Auch ohne Kenntnis das Paßwortes war es möglich, an die hinterlegten Daten der Schüler zu gelangen. Und dazu zählten Fotos, Adressen, Freunde, Hobbys, Vorlieben sowie private Nachrichten. Auch Administrationskonten waren frei zugänglich.
Der CCC bemängelt zudem den Sachverstand des Betreibers, denn er brauchte mehrere Anläufe, bis die Sicherheitsproblematik überhaupt verstanden wurde – und man letztendlich die Plattform erst einmal vom Netz genommen hat.
19.11.2009
Der us-amerikanische Krankenversicherer Health Net hat bereits im Mai eine tragbare Festplatte mit zahlreichen Kundendaten verloren – wie so oft unverschlüsselt.
Die Datenbank enthielt Sozalversicherungsnummern, Bankverbindungen und medizinische Daten von 1,5 Millionen Patienten. Außerdem waren persönliche Daten von etwa 5.000 Ärzten enthalten.
Der Fall wurde erst jetzt öffentlich, da die Versicherungsgesellschaft sechs Monate benötigte um herauszufinden, was für Daten sich vermutlich auf der Platte befanden. Außerdem wurde das Sicherheitsrisiko heruntergespielt, indem behauptet wurde, dass die Daten mit einem speziellen Verfahren komprimiert seien, für das nur Health Net die entsprechende Dekomprimierungssoftware hätte.
18.11.2009
Einige US-Amerikaner dürften sich in den letzten Tagen über Postkarten gewundert haben, auf denen ihr Name und direkt daneben ihre Sozialversicherungsnummer – offen und für jeden lesbar – stand.
Diesen Unfug hatte eine vom Universal American Action Network beauftragte Druckerei verzapft. Das Universal American Action Network ist ein Tochterunternehmen des Krankenversicherers Universal American Insurance. Delikat ist an dem Fall wohl auch noch, dass die Druckerei überhaupt Zugriff auf diese Daten hatte.
17.11.2009
Die kompletten Kundendaten von 11.000 Kunden des Telekommunikationsanbieters Kabel Deutschland waren öffentlich im Netz zugänglich. Betroffen ist hier insbesondere das südwestliche Niedersachsen. Betrüger hätten mit diesen Daten authentisch aussehende Rechnungen erstellen können. Die Daten sind mittlerweile gesperrt.
17.11.2009
Bei der hamburgischen CDU kann man sich für einen Newsletter anmelden. Die Registrierung erfolgt ohne Bestätigungsmail und jeder neue Nutzer bekommt eine URL mit einer fortlaufenden Nummer zugeordnet.
Damit ist es möglich durch einmalige Anmeldung beim Newsletter die E-Mailadressen aller anderen Abonnenten zu erfahren, indem man die Nummer in der URL einfach variiert.
16.11.2009
Rein vorsorglich haben zahlreiche Banken die Kreditkarten gesperrt. Betroffen sind hierbei vor allen die Kreditkarten, die in den vergangenen Wochen in Spanien im Einsatz waren.
Die Ursache des Lecks liegt bei einem sogenannten Prozessor. Diese sorgen für den Austausch beim Bezahlvorgang der notwendigen Daten zwischen Geschäft und der Bank. Und in diesem Vorgang müssen die Daten entwendet worden sein. Genauere Informationen zu diesem Leck sowie einen Verursache gibt es daher noch nicht.
In Deutschland hat zunächst die Lufthansa ihre “Miles&More”-Karten aus dem Verkehr gezogen. Im Anschluß haben nahezu alle weiteren Banken nachgezogen.