Alle Datenpannen von May 2012
31.05.2012
Anstelle Vertragsunterlagen mit einem Shredder in unlesbare Puzzles zu verwandeln, wanderten einige Schriftstücke in den normalen Papiermüll. Ob beabsichtigt oder nicht, verteilten sich die in Altpapiersäcken gesammelten Dokumente auf offener Straße, wo sie letztendlich auch Passanten entdeckt haben. Da es sich um Vertragsdokumente handelt, so dass personenbezogene Daten enthalten waren.
Als Konsequenz der Panne sollen künftig sämtliche Papierdokumente durch einen externen Dienstleister entsorgt werden, bisher waren es nur 90%.
Kommentar hinzufügen
24.05.2012
Eine Hackergruppe namens UGNazi nahmen sich den Bezahldienstleisters WHMCS komplett vor. Sie lasen die komplette Benutzerdatenbank aus und veröffentlichten die 500.000 Datensätze mit Adressen und persönlichen Angaben anschließend im Netz. Die Sicherheit der Kennwörter ist noch nicht in Frage gestellt, wohl aber die der Kredikartendaten. In diesem Falle ergeht neben der Datenpanne noch ein Datenverlust, denn der Webserver wurde restlos gesclöscht, darunter auch die Transaktionen der vergangenen 17 Stunden sowie Support-Anfragen.
Den Zugang verschafften sich die Täter in diesem Fall durch „Social Engeneering”, d.h. mit Hilfe von Sicherheitsabfragen erhielten die Täter den Zugang direkt durch den Hoster. Zudem kamen auch Injektionen zum Einsatz.
Kommentar hinzufügen
22.05.2012
Die Cracker von Anonyous haben 1,7 GB Daten auf The Pirate Bay veröffentlicht. Diese stammen von einem Server der Statistikabteilung des US-Justizministeriums (Bureau of Justice Statistics) und sollen beweisen, wie korrupt US-amerikanische Behörden sind. Neben der Statistikdatenbank enthält die Sammlung auch E-Mails. Der Angriff kann auch als Racheakt auf die Schließung des Hosters Megaupload durch die US-Justiz interpretiert werden.
Kommentar hinzufügen
21.05.2012
Der britische National Health Service hat sich mal wieder mächtig ins Zeug gelegt: Drei Monate lang wurden in einer Londoner Klinik Diagnosen an eine falsche Faxnummer gesendet, ohne dass davon jemand Notiz nahm. 45 mal wurden insgesamt 59 Diagnosen an einen privaten Faxanschluss gesendet. Der britische Datenschutzbeauftragte überbrachte seine Glückwünsche zum erneuten Erfolg des NHS in Form eines Bußgeldbescheids über 90.000 Pfund (rund 110.000 Euro). Der Gesundheitsdienst legte zunächst Widerspruch ein.
Kommentar hinzufügen
20.05.2012
Eine Gruppe von Hackern hat eine SQL-Injection auf einer SPD-Webseite gefunden, welche Benutzernamen und Passwörter ausspuckt. Da sie diese Daten veröffentlichten stellt sich die Frage, ob sich die Partei weigerte die Sicherheitslücke zu beheben oder ob die Eindringlinge doch nur etwas Aufmerksamkeit wollten und eher zur Kategorie „Cracker“ zählen. Die Liste enthält laut SpiegelOnline insgesamt 1928 Datensätze.
Kommentar hinzufügen
09.05.2012
Auf Pastebin wurden die Zugangsdaten zu 35.000 Twitterkonten veröffentlicht. Twitter sperrte die Accounts sofort. Spiegel-Online vermutet dass es sich nicht um echte Nutzeraccounts handelt, sondern um Spambots. Die Zugangsdaten stammen damit möglicherweise auch nicht von Twitter, bzw. dessen Nutzern, sondern aus einer Datenbank des Spammers, welcher alle 35.000 Konten betreibt.
Kommentar hinzufügen
04.05.2012
Eine Hackergruppe mit dem Namen „die Unbekannten“ hat nach eigenem Bekunden die Webseiten mehrerer großer Organisationen auf deren Sicherheit hin überprüft. Nach Angaben von ZD.net befinden sich darunter die NASA, die ESA, US-Heer und Luftwaffe, das französische und bahrainische Verteidigungsministerium, die Thai Royal Navy, die Harvard University, Renault und Jordanian Yellow Pages. Die Organisationen wurden über die gefundenen Sicherheitslücken informiert, um diese zu schließen. Allerdings – und hier waren die Hacker wohl mit ihrer Ethik am Ende – wurden neben Beweisscreenshots auch Zugangsdaten zu den Servern und Daten von NASA- und ESA-Mitarbeitern veröffentlicht (Namen, Adressen, E-Mail-Adressen). Zumindest im Falle der ESA wurden SQL-Injections für den Angriff genutzt.
Kommentar hinzufügen
03.05.2012
Unternehmen können sich bei der US-amerikanischen ICANN für Top-Level-Domains, wie zum Beispiel .berlin oder .sport bewerben. Während des Online-Bewerbungsverfahrens war es möglich die Namen anderer Bewerber, sowie die Titel von deren Bewerbungsdokumenten einzusehen. Die ICANN hatte das Bewerbungsverfahren nach Bekanntwerden des Vorfalls zunächst gestoppt.
Kommentar hinzufügen