Sprung zum Inhalt / Skip to main content
Alle Datenpannen aus Deutschland
30.08.2010
Schlecker ist ein weiteres Mal" hoch kommunikativ: über eine öffentliche Internetadresse war es möglich, zu prüfen, ob jemand die Rundschreiben von Schlecker abonniert hat. Wird die Adresse gefunden, wird der hinterlegte Name und die abonnierten Themen aufgelistet.
27.08.2010
Insgesamt sieben Millionen E-Mail-Adressen und 150.000 vollständige Adressdatensätze, das ist die Ausbeute aus einer Sicherheitslücke beim Marketing-Dienstleister Artegic. Es handelt sich dabei um persönliche Daten von Nutzern des Online-Shops der Drogeriekette Schlecker.
Unbekannte sollen auf einen Server der Firma ein Trojanisches Pferd aufgespielt haben. Durch dieses Programm war es dann möglich aus dem Internet auf die Datenbank zuzugreifen und die Datensätze herunterzuladen. Artegic vermutet, das schwarze Schaf deshalb unter seinen Mitarbeitern dass interne oder externe Zugriffsberechtigte das Programm installiert haben oder aber, dass Fremde das Passwort erlangten um das Trojanische Pferd zu installieren.
Schlecker betonte, dass die Sicherheitslücke mittlerweile geschlossen und kein unbefugter Zugriff auf die Daten mehr möglich sei. Bleibt abzuwarten, ob die Drogeriekette die betroffenen Kunden wie angekündigt „umfassend“ informiert.
Update: Schlecker beabsichtigt, die Kunden mit einem Einkaufsgutschein in Höhe von 5 Euro zu entschädigen. Wenn man einem Kommentar im heise-Forum Glauben schenken will, scheint dieser jedoch an einen Mindestbestellwert gekoppelt zu sein.
04.08.2010
Ein Gebührenbeauftragter des Bayrischen Rundfunks hatte in Regensburg einige seiner Karteikarten verloren. Delikat ist das deshalb, weil auf den Kärtchen sämtliche Details zu den Gebührenzahlern verzeichnet sind: Name, Adresse, Geburtsdatum, Bankverbindung, Kundenstatus (privat oder geschäftlich) und eine eventuelle Befreiung von den Gebühren. Bereits im März hatte es in Hessen einen ähnlichen Vorfall gegeben.
10.07.2010
Wie das Blog Hackerinfo berichtet sind Server der Firma Penny-Markt GmbH frei aus dem Internet erreichbar. Neben Informationen zu Geschäftsabläufen und Planungen sowie Daten zur gesamten IT-Infrastruktur des Unternehmens, fand sich auch eine Liste mit Mitarbeiternamen und deren E-Mail-Adressen. Nach Informationen der REWE-Group, zu welcher Penny gehört, handelt es sich bei dem Server um eine unerlaubte Kopie eines ehemaligen Mitarbeiters in Bulgarien. Solche Vorfälle könnten in einem so großen Unternehmen niemals ausgeschlossen werden.
06.07.2010
Am 28.06. präsentierte der Fußballverein SV Werder Bremen der Öffentlichkeit seine Mitgliederdatenbank. Sie haben einen Newsletter versandt, der einen Link zu der Datenbank enthalten hat. Für ca. 2 Stunden waren Namen, Adressen, Geburtsdaten und Kontonummern von 34.700 Mitgliedern abrufbereit.
Der Verein informierte die Betroffenen, der Datenschutz wird den Fall weiter prüfen.
16.06.2010
Über mehrere Zwischenwege sind die Privatanschriften von 15.000 Briefwählern aus München abhanden gekommen. Aufgetaucht waren sie bei einem Adreßhändler, der diese weiter veräußern wollte.
Nach Angaben der Müncher Stadtverwaltung wurden dem Berchmanskolleg des Jesuitenordens Umschläge von Briefwahlanträgen überlassen, “zur Ablösung von Briefmarken für wohltätige Zwecke”. Allerdings wurden die Umschläge als Massenware für Markensammler an einen privaten Händler verkauft. Diese landeten am Ende bei MTM. Der Berchmanskolleg beruft sich hierbei, daß keinerlei Auflagen über die Briefhüllen gemacht worden.
Bliebe nur die Frage offen, was die Stadt München zu so einen Schritt bewegt hat – immerhin geht es keinem etwas an, wer an einer Briefwahl teilgenommen hat.
10.05.2010
Immer wieder gelangen Kriminelle mühelos an sensible Daten, weil Datenträger unachtsam entsorgt werden. Zumindest einige der ausgedienten Festplatten des Traunsteiner Finanzamtes kaufte zum Glück ein ehrlicher Bauunternehmer. Nach dessen Angaben war sofort nach dem Einbau von zwei Festplatten zu erkennen, dass diese zuvor der Behörde gehörten. Dort hatte man sich offenbar nicht einmal die Mühe gemacht, die Festplatten auf herkömmliche Weise zu löschen, geschweige denn die Daten sicher zu entfernen.
Nachdem der Käufer die beiden Festplatten der Polizei übergeben hatte, besorgte er auf dem gleichen Flohmarkt neue. Auch diese enthielten wieder Daten des Finanzamtes in Traunstein. Da die Behörden verpflichtet sind, solche Daten zu vernichten, ermittelt nun die Polizei.
Auf den Festplatten befanden sich Listen von Steuersündern, Unterlagen über Steuerstrafverfahren, Vollstreckungsbescheide, Übersichten über Steuerbescheide, eine Übersicht über Steuersünder, Unterlagen über die Einnahmen eines Finanzamtes, ein Verzeichnis über die Käufer von rund 500 Waffen, sowie Angaben zu Fehlzeiten von Mitarbeitern und zu einem Disziplinarverfahren.
07.05.2010
Diese Datenpanne ist eine von vielen hübschen Begründungen, warum es sinvoll sein kann E-Mails zu verschlüsseln:
Eine Panne im Authentifizierungssystem von Vodafone hat in den Abendstunden des 5. Mai dazu geführt, dass vereinzelte Kunden bei der Nutzung von MobileMail über das Handy die E-Mails anderer Kunden sehen konnten. Nach Angaben von Vodafone wurde das Problem aber sehr schnell behoben.
Heise berichtet außerdem, dass ein Betroffener darauf aufmerksam wurde, als er 40 E-Mails von anderen Vodafone-Kunden einsehen konnte. Als er dies der Vodafone-Hotline mitteilte soll er allerdings gebeten worden sein, am nächsten Tag nocheinmal anzurufen, da vom zuständigen IT-Personal niemand verfügbar sei.
04.05.2010
Es ist ja auch schon eine gefühlte Ewigkeit her, dass sich das Schülerverzeichnis mit Datenpannen schmückte.
Netzpolitik veröffentlichte jetzt eine wissenschaftliche Untersuchung (Paper), die belegt, dass noch immer problemlos Millionen von Schülerdaten gecrawlt und in eine externe Datenbank überführt werden können.
Im konkreten Fall wurde in wenigen Tagen eine Datenbank mit 1,6 Millionen Datensätzen angelegt (rund 30% aller Nutzerprofile). Alle Datensätze enthalten mindestens Name, Schule und Link zum Bild. Je nach Privatsphäreneinstellungen der Schüler sind aber in der Regel weitere Daten verfügbar.
Interessant ist bei diesem Fall auch, dass VZNet nicht auf die Hinweise des Studenten reagiert hat, welcher den Crawler programmierte. Da alle drei VZNet-Netzwerke auf der gleichen Technologie basieren ist der Angriff auch auf MeinVZ und StudiVZ übertragbar.
Die Frage, ob es sich dabei allerdings um eine Datenpanne im eigentlichen Sinne handelt bleibt noch zu klären. Der Nutzer kann eigentlich nicht erwarten, dass personenbezogene Daten, welche er online stellt, nicht kopiert werden. Hier besteht eher ein Aufklärungsproblem – Stichwort: Medienkompetenz. Kann der Nutzer aber erwarten, dass diese Daten nur bestimmten Personen zugänglich sind?
29.04.2010
Wieder hat ein Bürger ein Visitenblatt des Kasseler Klinikums gefunden. Bereits vier Wochen zuvor hatte ein solches Papier mit Patientennamen, Geburtsdaten und Diagnosen den Weg aus dem Krankenhaus auf die Straße geschafft. Der betreffende Mitarbeiter war diesmal auf Grund handschriftlicher Notizen auffindbar. Geschäftsleitung und Mitarbeiter haben sich laut Frankfurter Rundschau “einvernehmlich getrennt.”
Normalerweise werden Visitenblätter nach dem Schichtwechsel im Schredder entsorgt.