Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Die Datenschleuder-Seite

„Wo haben die Spammer eigentlich meine E-Mail-Adresse her?“

Das ist eine häufige Frage, die sich allerdings nur dann mit mehr als einer Vermutung beantworten lässt, wenn für jeden Zweck und jede Registrierung bei einem Internet-Anbieter eine eigens dafür eingerichtete Mailadresse verwendet wurde. In einem solchen Fall kann man mit einer gewissen Sicherheit sagen, wo das Datenleck vorgelegen hat, über das die Kriminellen an eine E-Mail-Adresse (oft sogar mit Realnamen, mit Anschrift, mit Telefonnummer) gekommen sind.

Eine weitere Quelle der Spammer für Mailadressen sind trojanische Apps für Smartphones, die auch gern mal ein Adressbuch zu den Kriminellen „funken“. Generell sind die Wischofone, wie ich diese Gerätegattung zu nennen pflege, eine Kombination der Security-Blauäugigkeit der Neunziger Jahre mit der organisierten und technisch kompetenten Internet-Kriminalität der Zehner Jahre. Wer dennoch so ein Gerät nutzen möchte, kann das gern tun, es sind ja alles erwachsene Menschen. Manche machen sogar ihre Bankgeschäfte mit einem Wischofon. Aber niemand sage, dass er nicht gewarnt wurde! Und wer meine Mailadresse auf so einem Gerät speichert, ist ein Scherge der Spammer, die mir das Postfach mit ihrem kriminellen Dreck und ihrer Schadsoftware zumachen.

Die folgende Liste von schweren Datenschutzversäumnissen kommerzieller Anbieter, staatlicher und quasi-staatlicher Organisationen und freier Projekte mit großem Wirkungskreis wirft weiteres Licht auf die Quellen der Spammer und vergleichbarer Krimineller. Ich werde versuchen, diese Liste regelmäßig zu ergänzen. Die Links sind den Klick wert. (Eine vergleichbare und ergänzende Liste steht beim Projekt Datenschutz zur Verfügung.)

Diese Version der Liste ist mit Stand vom 6. Dezember 2016. Sie ist unvollständig. Sie zeigt nur die Spitze eines Eisbergs, denn viele (auch größere) derartige Vorfälle werden nicht bekannt. Die Vorfälle sind chronologisch absteigend geordnet.

  • Dailymotion, eine populäre Videostreaming-Site, hat die Daten von rd. 85 Millionen Nutzern „veröffentlicht“.
  • xHamster, eine beliebte Website für Pornografie, hat die Daten von mindestens 380.000 registrierten Nutzern „veröffentlicht“. Das kryptografische Hashing der Passwörter ist fragwürdig.
  • Mitfahrgelegenheit.de existiert zwar schon ein dreiviertel Jahr nicht mehr, aber das heißt nicht, dass die schönen eingesammelten Daten einfach gelöscht wurden. Und so kam es zur Veröffentlichung von rd. 650.000 IBAN-Nummern, rd. 100.000 Mailadressen und unbekannten weiteren Datenmerkmalen. Ich setze die Veröffentlichung nicht in Anführungszeichen, denn die Daten wurden vorsätzlich auf den Computern anderer Leute, in der so genannten „Cloud“, gespeichert.
  • Das Innenministerium der Bundesrepublik Österreich hat die E-Mail-Adressen, Namen und möglicherweise weitere Daten einer fünfstelligen Anzahl im Ausland lebender Österreicher an einen der Kandidaten der bevorstehenden Bundespräsidentenwahl gegeben, die dann prompt für politische Spam missbraucht wurden (sonst wäre die Datenschleuderei gar nicht aufgefallen). Auch beim Staat sind Daten niemals sicher!
  • Three, ein britischer Mobilfunkprovider, hat die Daten von 134.000 Kunden „veröffentlicht“, die aktiv für betrügerische Bestellungen missbraucht werden.
  • AdultFriendFinder hat die Daten von sportlichen rd. 400 Millionen Nutzern veröffentlicht, darunter auch von solchen, die schon längst gelöscht sein sollten. Die meisten Passwörter sind geknackt.
  • Web of Trust (WOT), ein Addon für diverse Webbrowser, hat systematisch Nutzer überwacht und die eingesammelten Daten an jeden verkauft, der dafür bezahlen konnte. Das ist schon von bemerkenswerter Niedertracht für ein Addon, das seinen Nutzern in Reklame und Selbstbeschreibung einen zusätzlichen Schutz ihrer Privatsphäre und Computersicherheit verspricht.
  • Weebly, ein webgetriebenes Baukastensystem zum Erstellen von Websites, hat rd. 43 Millionen Datensätze von Kunden „veröffentlicht“.
  • Modern Business Solutions, ein Datendienstleister aus Texas, USA, hat mindestens 58 Millionen Datensätze veröffentlicht. Die Daten lagen völlig offen im Internet, ein „Hack“ war nicht erforderlich.
  • Yahoo hat zwar schon vor zwei Jahren eine halbe Milliarde Nutzerdatensätze „veröffentlicht“, hat es aber in der ganzen Zeit nicht für nötig befunden, das einmal mitzuteilen oder hat es schlicht nicht mitbekommen. [Dauerhaft archivierte Version der Meldung].
  • ClixSense, ein Anbieter, der seine Nutzer (unter anderem) für das Betrachten von Werbung bezahlt, hat sportliche 6,6 Millionen Datensätze seiner Nutzer „veröffentlicht“. Die Passwörter waren im Klartext gespeichert. Mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem gesalteten Hashing von Passwörtern für die Speicherung, war dieser Anbieter offenbar überfordert.
  • Rambler, ein beliebtes russisches Webportal mit Freemailer, hat bereits im Jahr 2012 fluffige rd. hundert Millionen Passwörter seiner Nutzer im Klartext veröffentlicht.
  • Brazzers, eine populäre Website für Pornografie, hat rd. 800.000 Datensätze von Benutzern „veröffentlicht“. Die zugehörigen Passwörter waren im Klartext gespeichert. Mit der Implementation einer Sicherheitstechnik aus den frühen siebziger Jahren, dem gesalteten Hashing von Passwörtern für die Speicherung, war dieser offenbar beliebte Anbieter überfordert.
  • Last.fm, ein populärer Musikdienst, hat schon im Jahr 2012 die Daten von rd. 43,5 Millionen Nutzern „veröffentlicht“, die jetzt jedem daran interessierten Kriminellen zur Verfügung stehen. Mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, der Speicherung von Passwörtern als gesaltete Hashes, waren die Macher von Last.fm offenbar überfordert, und so kam es neben der üblichen „Veröffentlichung“ von Namen, Mailadressen und persönlichen Daten auch zur „Veröffentlichung“ von Passwörtern.
  • Minecraft World Map, ein Fan-Website für Spieler von World of Minecraft, hat schon vor sieben Monaten rd. 71.000 Benutzerkonten einschließlich Mailadressen „veröffentlicht“, ohne dass die betroffenen Nutzer bislang darüber informiert wurden. Lichtblick: Wenigstens waren die Passwörter nicht direkt von Kriminellen verwendbar, weil sie gehasht und gesaltet gespeichert wurden.
  • Epic Games hat durch Verwendung veralteter Forensoftware voller unbehandelter Fehler und Sicherheitslücken die Daten von 800.000 Nutzern „veröffentlicht“.
  • DLH.net, ein beliebtes Forum rund um die Gaming-Plattform „Steam“, hat geschätzt 3,3 Millionen Nutzerdatensätze „veröffentlicht“. An der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich das gesaltete Hashing von Passwörtern für eine Speicherung, sind die Macher dieser Website gescheitert, so dass sämtliche Passwörter mit relativ geringem Aufwand wiederherstellbar sind.
  • Yahoo hat jeweils Nutzernamen, Passwort-Hash und Geburtstag von rd. 200 Millionen registrierten Nutzern von Yahoo-Diensten „veröffentlicht“, die jetzt für eine Handvoll Bitcoin für jeden Interesierten zu haben sind.
  • Aerticket, ein Berliner Großhändler für Flugtickets, hat über Jahre hinweg die Daten von Millionen Flugreisenden (teilweise mit Zuordnung von Namen zu Bankverbindungen) offen ins Internet gestellt. Es waren weder Hacks noch tiefere technische Kenntnisse, die über das Erhöhen einer Zahl in einer URI hinausgehen, erforderlich.
  • Pollin, ein Elektronik-Versand, hat seine Kundendatenbank „veröffentlicht“.
  • Trillian, ein altes IM-Programm, hat zwar keine aktiven Nutzer mehr gehabt, aber trotzdem „zu Archivzwecken“ die ganze Datenbank mit ein paar Millionen Nutzerdatenstzen (inklusive Mailadresse) im Internet vorgehalten und schließlich „veröffentlicht“. Auch die ganzen Account-Leichen, die Menschen im Laufe ihres Lebens ansammeln (und die von den Unternehmen niemals gelöscht werden), können irgendwann einmal zum Problem werden.
  • UbuntuForums.org, das Support-Forum der populären Linux-Distribution Ubuntu, hat über zwei Millionen Nutzerdatensätze immer „schön“ mit der Mailadrese „veröffentlicht“. Immerhin scheinen die Passwörter sicher abgelegt worden zu sein.
  • Bitburger hat seine Kundendatenbank, pro Datensatz vollständige Anschrift, Mailadresse und „verschlüsseltes“ Passwort, „veröffentlicht“. Immerhin kam es nicht zu einem Zugriff auf Bank- und Zahlungsdaten. Prost!
  • T-Mobile hat einen Mitarbeiter gehabt, der 1,5 Millionen Datensätze tschechischer Kunden kopiert und verkauft hat.
  • Badoo, ein Dating-Menschenfleischmarkt im Web, hat sportliche 127 Millionen Benutzerdatensätze „veröffentlicht“. Bei der Ablage der Passwörter wurde auf die Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, das gesaltete Hashing für die Speicherug, verzichtet.
  • VK.com, eine große Social-Media-Website, hat die Daten zu sportlichen 171 Millionen [!] Nutzern „veröffentlicht“, von denen nun hundert Millionen Datensätze für eine Handvoll Bitcoin für jeden Kriminellen und sonstigen Interessierten zu haben sind. Die Passwörter liegen übrigens im Klartext vor. Nicht einmal elementare Versuche zur Herstellung von Datensicherheit wurden unternommen.
  • Hipp, Hersteller von Babynahrung, hat eine unbekannte Anzahl Datensätze seiner Werbe-Community „HiPP Mein BabyClub“ „veröffentlicht“, die für einen kriminellen Identitätsmissbrauch hinreichend sind.
  • Die Süddeutsche Zeitung hat 200.000 Datensätze angemeldeter Leser ihrer Website „veröffentlicht“, jeweils Mailadresse, Name und Postleitzahl.
  • LinkedIn hat die Daten von sportlichen 167 Millionen Nutzern „veröffentlicht“, die jetzt unter Kriminellen umlaufen und für eine Handvoll Bitcoin zu haben sind. Wie so viele andere fragwürdige und den Datenschutz ihrer Kunden verachtende Klitschen war auch LinkedIn mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich dem gesalteten Hashing von Passwörtern für die Speicherung, überfordert.
  • Das Rosebut Board, ein Forum für Freunde des analen Fistings und der extremen Anuserweiterung, hat durch die Verwendung veralteter Software mit bekannten Sicherheitslöchern rd. 107.000 Datensätze von Nutzern „veröffentlicht“, jeweils mit Nick, Mailadresse, verwendeten IP-Adressen und schlecht gehashten Passwörtern. Die Betroffenen, die für ihre Registrierung zum Teil auch berufliche Mailadressen von US-Regierung und US-Militär angegeben haben, könnten jetzt Opfer von Erpressungen werden.
  • Die AfD hat eine für den kriminellen Missbrauch völlig hinreichende Liste mit Anschriten, Geburtsdaten, Mailadressen und Telefonnummern der Teilnehmer ihres Parteitages „veröffentlicht“.
  • Beautifulpeople, eine Dating-Website, hat scheinbar 1,1 Millionen Datensätze von Nutzern „veröffentlicht“, es handelt sich um „detaillierte persönliche Angaben zu Körpergewicht, Größe, Berufstätigkeit, Augenfarbe sowie Mail-Adressen und Telefonnummern“ und natürlich auch gehashte Passwörter. Diese weit in die Privatsphäre ragenden Daten sind für Kriminelle frei käuflich geworden.
  • Mexiko hat die Daten von 93 Millionen Wahlberechtigten veröffentlicht. Der Zugriff auf die Datenbank war nicht durch ein Passwort abgesichert. Das ist der Stand des „Datenschutzes“ im Jahre 2016. Nachtrag 26. April 2016: Deutschsprachige Meldung bei Heise Online.
  • DuMont, ein großer Presseverleger (unter anderem Berliner Zeitung, Hamburger Morgenpost, Kölner Stadtanzeiger, Mitteldeutsche Zeitung), hat zehntausende Datensätze von Abonnenten und Websitenutzern für fünf Stunden völlig offen ins Internet gestellt, so dass diese jetzt unter Interessierten und Kriminellen zirkulieren. Passwörter wurden bei DuMont übrigens im Klartext gespeichert, weil es offenbar niemanden in diesem Verlag gibt, der eine Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich das gesaltete Hashing von Passwörtern für die Speicherung, implementieren konnte. Das muss an diesem von Journalisten ja ständig beschworenen „Fachkräftemangel“ liegen, dessen Hauptursache es nach wie vor ist, dass niemand mehr angemessen für Arbeit bezahlen will.
  • Die Philippinen haben ihr Wählerverzeichnis mit sportlichen 55 Millionen Datensätzen „veröffentlicht“ – einschließlich Fingerabdrücken, was einen Missbrauch biometrischer Daten ermöglicht. Auch beim Staat sind Daten niemals sicher.
  • Die Türkei hat offenbar ihre gesamte Einwohnerdatenbank „veröffentlicht“, die Meldedaten stehen jetzt jedermann zur Verfügung. Auch beim Staat sind Daten niemals sicher.
  • Mossack Fonseca, eine Unternehmung zum Erwerb anonym betreibbarer Briefkastenfirmen in so genannten „Steueroasen“, hat 2,6 TiB Daten zu Kunden und ihren oft kriminellen Projekten „veröffentlicht“.
  • Team Skeet, eine Pornografie-Seite aus den USA, hat angeblich rd. 230.000 weit in die Intimsphäre ragende Nutzerdatensätze „veröffentlicht“, die jetzt für eine Handvoll Bitcoin für jeden zu haben sind.
  • Facebook hat die Daten sämtlicher rd. 1,6 Milliarden Nutzerkonten „veröffentlicht“.
  • Disqus, ein beliebtes (und in vielen Fällen völlig überflüssiges) Kommentarsystem für die Einbettung in Websites, hat durch einen Fehler bei der Implementierung der Moderation Daten von Kommentatoren frei zugreifbar veröffentlicht. Ein Hack war nicht erforderlich.
  • Linux Mint hat die Datenbank seines Supportforums „veröffentlicht“, mit Mailadressen, Avataren, Geburtstagen, Nicks und allem, was sonst so in Nutzerprofilen steht. Nach Aussage des Hackers sind die Passwörter in der Datenbank bereits gecrackt. Wenn das stimmt, wurde auf die Implementation einer Sicherheitstechnik aus den Siebziger Jahren, nämlich auf das gesaltete Hashing von gespeicherten Passwörtern, „verzichtet“.
  • Das Klinikum Bad Salzungen hat Patientenakten zu Konfetti verarbeiten lassen. Nach dem Karnevalsumzug waren Namen, Geburtsdaten, Anschriften und Mailadressen vieler Patienten auf den Papierschnippseln gut lesbar.
  • Die Stadt Wiesbaden hat die Briefwahl bei der Kommunalwahl so organisiert, dass man die Anschrift beliebiger Wahlberechtigter herausbekommen konnte, wenn man in ein Webformular den Namen und das Geburtsdatum eingegeben hat [Dauerhaft archivierte Version gegen die Depublikation]. Auch die Daten in staatlichen Datensammlungen sind niemals sicher!
  • Dell hat scheinbar eine unbekannte Menge Kundendaten „veröffentlicht“, die von Kriminellen bereits seit über einem halben Jahr benutzt werden. Die Kunden wurden offenbar bislang (5. Januar 2016) nicht von Dell informiert und damit vorgewarnt.
  • Die japanische Pensionskasse hat rd. zwei Millionen Datensätze „veröffentlicht“.
  • Die Vereinigten Staaten von Amerika haben die Daten von rd. 191 Millionen registrierten Wählern „veröffentlicht“.
  • Die Unternehmung „Icon Health & Fitness“ macht ihre Geschäfte mit einer App für Wischofone, mit der Nutzer sich selbst bei ihrer körperlichen Ertüchtigung tracken können. Die Datenbank mit Daten zu sportlichen rd. 600.000 Nutzern stand frei und ungesichert im Internet für jeden zur Verfügung, der sich aus diesem Datenbestand bedienen wollte.
  • Sanrio, Hersteller der Hello-Kitty-Produkte, hat seine Kundendatenbank mit rd. 3,3 Millionen Datensätzen „veröffentlicht“, darunter viele weit in die Privatsphäre hineinragende Daten von Kindern.
  • Zeobit und Kromtech, Herausgeber der Macintosh-Sicherheitssoftware „MacKeeper“ haben fluffige rd. 13 Millionen Datensätze der Nutzer dieses intensiv und nach Meinung vieler Menschen und einiger Gerichte irreführend beworbenen Schlangenöls veröffentlicht. Ich schreibe das nicht in Anführungszeichen, denn es war kein „Hack“ erforderlich. Oder, um es mit einem Zitat aus dem verlinkten Artikel zu sagen: „Es sei schlicht kein Login erforderlich gewesen“. Ja, es wurde von den Herstellern dieser Software für gefühlte Computersicherheit unterlassen, die Nutzerdatenbank durch ein Passwort abzusichern. Das ist der Stand des Datenschutzes bei Vertreibern von Sicherheitssoftware im Jahre 2015!
  • VTech, ein Hersteller digitalen Kinderspielzeuges, hat die weit in die Privatsphäre hineinragenden Daten von rd. 5 Millionen Eltern und über 200.000 Kindern „veröffentlicht“, einschließlich Mailadressen und unzureichend gehashten Passwörtern. Schneller Nachtrag: Deutschsprachige Meldung bei Golem. Nachtrag vom 30. November 2015: Hinweis des LKA Niedersachsen, wo man die gleiche Auffassung von den Quellen der Spammer pfliegt, wie ich es hier tue, allerdings ohne die Leser deutlich darauf hinzuweisen, dass es keinen anderen wirksamen Datenschutz außer strikter Datensparsamkeit gibt. Nachtrag vom 2. Dezember 2015: VTech hat wesentlich mehr Daten „veröffentlicht“, als zunächst eingeräumt, allein in Deutschland sind die Daten einer halben Million Kinder veröffentlicht worden.
  • Touchnote, eine Klitsche mit einer App für Smartphones, die das Zusenden von Grußkarten anbietet, hat seine Kundendatenbank „veröffentlicht“ und die Zuordnung von Namen zu Mailadressen ist jetzt auch Kriminellen bekannt.
  • 000webhost, ein Webhoster, hat die Daten von fluffigen 13 Millionen Kunden „veröffentlicht“, und die Passwörter waren im Klartext gespeichert, weil die Sicherheits- und Datenschutzexperten eines großen Webhosters von der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem gesalteten Hashing von Passwörtern, überfordert waren. Was einem Menschen passieren kann, dessen administrativer Zugang zur Website in den Händen von Verbrechern ist, lässt sich zum Beispiel im Forum des Antispam e.V. nachlesen.
  • TalkTalk, ein britischer Provider für Internet und Mobilfunk, hat eine zurzeit unbekannte Anzahl von Datensätzen aus seiner Kundendatenbank – neben den „üblichen“ persönlichen Daten auch Bank- und Zahlungsdaten – „veröffentlicht“. Nachtrag 6. November 2015: Es waren rd. 157.000 Kundendatensätze.
  • Pharmacy2U, eine britische Online-Apotheke, hat Kundendaten recht wahllos an jeden verkauft, der dafür bezahlt hat – unter anderem an einen australischen Lotterieveranstalter.
  • Die Dow Jones & Company, bekannt durch das Wall Street Journal und den Dow-Jones-Index, hat Daten einer unbekannten Anzahl von Lesern „veröffentlicht“, teilweise neben den „üblichen“ persönlichen Daten auch Kreditkartendaten. Lichtblick: Die Passwörter wurden hinreichend gehasht und müssen von den Betroffenen nicht geändert werden.
  • T-Mobile USA hat die Daten von 15 Millionen Kunden „veröffentlicht“, darunter jeweils Name, Anschrift, Geburtstag, Nummern von Führerschein und Reisepass sowie die Sozialversicherungsnummer.
  • Patreon, eine Website, die langfristige freiwillige finanzielle Unterstützung von Menschen und Projekten organisiert, hat 15 GiB Daten „veröffentlicht“. Die jetzt unter Kriminellen und Interessierten zirkulierenden Daten ermöglichen es zum Beispiel, auf das Einkommen der Benutzer zu schließen.
  • Die 56 Dean Street clinic in London, spezialisiert auf die Behandlung von sexuell übertragbaren Krankheiten, hat die Namen und E-Mail-Adressen von 780 HIV-Patienten veröffentlicht, indem die gesamten Empfänger eines Newsletters offen für jeden Leser eingetragen wurden. Ein Hack war nicht erforderlich. Die Meldung in deutscher Sprache gibts bei derStandard.at.
  • 1blu, ein Webhoster, hat Datensätze von einer sportlichen Viertelmillion Kunden „veröffentlicht“; neben den Bankdaten übrigens auch Passwörter. Mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem Speichern von Passwörtern als gesaltete Hashes, war man dort offenbar überfordert.
  • Facebook hat die angegebenen Telefonnummern sämtlicher Teilnehmer veröffentlicht. Ein Hack ist nicht erforderlich, und Facebook sieht darin kein Problem. Ist doch schön, wenn man angerufen wird…
  • Carphone Warehouse, ein großer Verkäufer von Telekommunikationstechnik, war sehr kommunikativ und hat fluffige 2,4 Millionen Kundendatensätze „veröffentlicht“.
  • BitDefender, Hersteller eines Antivirus-Schlangenöls, hat die Daten einer zurzeit unbekannten Anzahl Nutzer „veröffentlicht“. Besonders übel: Eine Unternehmung, die Produkte für die Computersicherheit verkauft, ist daran „gescheitert“, eine Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich das gesaltete Hashing von Passwörtern, zu implementieren, so dass die Angreifer auch im Besitz der unverschlüsselten Passwörter gelangt sind. Diese Inkompetenz oder Gleichgültigkeit ist in meinen Augen das genaue Gegenteil einer Kaufempfehlung.
  • Die Universität von Los Angeles hat weit in die Privatsphäre hineinragende Gesundheitsdaten von 4,5 Millionen Patienten ihres Krankenhaus-Netzwerkes „veröffentlicht“.
  • Ashley Madison, eine Website zur Vermittlung von „Seitensprüngen“, hat mutmaßlich die Daten von bis zu 37 Millionen Kunden „veröffentlicht“. Die Cracker drohen mit der Veröffentlichung der weit in die Privatsphäre hineinreichenden Kundenprofile mitsamt den darin enthaltenen echten Namen. Unabhängig davon sind alle diese Daten jetzt in den Händen von Kriminellen. Nachtrag: Die Daten sind jetzt für jeden Menschen einsehbar.
  • Epic Games hat die Nutzernamen, E-Mail-Adressen, Geburtsdaten und mutmaßlich die Klartext-Passwörter aller Nutzer ihres Forensystems für alte Versionen von Unreal Tournament, Gears of War und Fortnight „veröffentlicht“. Die Passwörter waren offenbar im Klartext oder unzureichend gehasht gespeichert und deshalb für Angreifer „mitnehmbar“. Der einzig mögliche Grund dafür ist, dass auf eine Sicherheitstechnik der Siebziger Jahre, das gesaltete Hashing von Passwörtern, „verzichtet“ wurde.
  • Die Personalverwaltung der Bundesregierung der Vereinigten Staaten von Amerika hat 21,5 Millionen weit in die Privatsphäre der Betroffenen hineinragende Datensätze von Regierungsangestellten und ihren Familien „veröffentlicht“. Ich wünsche auch weiterhin viel Spaß dabei, einfach daran zu glauben, dass die von Staaten in obszöner Menge eingesammelten Daten sicher sind!
  • Hacking Team, ein italienischer Hersteller von Spionagesoftware, hat sportliche rd. 400 GiB Daten „veröffentlicht“, darunter auch internen Mailverkehr, mit der Software bei Überwachten abgegriffene, weit in die Privatsphäre hineinragende Daten und der Quellcode der Software, der jetzt auch Kriminellen zur Verfügung steht.
  • Magento, ein Shop-System, das unter anderem für eBay-Shops eingesetzt wird, hat es kriminellen Angreifern ermöglicht, systematisch Kundendaten einzusammeln.
  • Tapatalk, eine Wischofon-App, die Inhalte aus Webforen besser lesbar zu machen verspricht, hat „aus Versehen“ die Mailadressen von 200.000 Nutzern und möglicherweise anderen Menschen „nach Hause gefunkt“. Natürlich ist es der Hersteller von „Tapatalk“, der das als ein Versehen bezeichnet, ganz so, als ob sich Trojaner-Code von allein schriebe, ergänzt um die Zusicherung, dass die Daten nicht gespeichert würden. Die Beobachtung, dass die so ermittelten Mailadressen für Spam verwendet werden, muss also eine Illusion sein.
  • LastPass, eine Anwendung zur Speicherung von Passwörtern in der Cloud, hat eine unbekannte Anzahl Mailadressen von Nutzern „veröffentlicht“.
  • Der National Health Service, der in Großbritannien für das Gesundheitswesen zuständig ist, hat weit in die Privatsphäre reichende Daten von bis zu 700.000 Menschen, die sich explizit gegen eine solche Weitergabe ausgesprochen haben, an Dritte weitergegeben. Das ist schon ein Vorgeschmack auf das, was demnächst in der BRD mit Gesundheitsdaten geschehen wird. Und zwar mit ausdrücklichem und mit Zwangsmaßnahmen durchgesetzem politischen Willen.
  • Die Technische Universität Berlin hatte offenbar Probleme mit der Beherrschung der dort verwendeten Technik zur Verwaltung der Studenten und sendete einer bislang unbekannten Anzahl Studenten irrtümlich teilweise massenhaft Daten anderer Studenten zu. Vermutlich hat das einer der dort ausgebildeten akademischen Fachleute programmiert.
  • Die IRS, die Steuerbehörde der USA, hat rd. 100.000 weit in die Privatsphäre ragende Datensätze von Steuerzahlern „veröffentlicht“. Auch beim Staat sind Daten niemals sicher.
  • Adult Friend Finder, eine Website zum Knüpfen von Sexkontakten, hat sportliche 3,9 Millionen sehr weit in die Privat- und Intimsphäre ihrer Nutzer ragende Datensätze „veröffentlicht“. Eine Ermittlung der bürgerlichen Namen ist in vielen Fällen durch Hinzunahme weiterer Quellen möglich.
  • MySpy, eine Unternehmung, welche die Überwachung anderer Menschen mithilfe von Schadsoftware angeboten hat, hat scheinbar teilweise sehr weit in die Privatsphäre hineinragende Daten von rd. 400.000 Kunden und Zielpersonen „veröffentlicht“, die jetzt zum freien Download im Internet stehen.
  • AT&T hat keine Vorkehrungen zum Schutz der Daten vor externen Mitarbeitern getroffen, so dass Angestellte von „billigen“ Callcentern in großem Maße Handel mit teilweise sehr weit in die Privatsphäre der rd. 280.000 Betroffenen hineinragenden Daten getrieben haben. Sie sollten jedesmal daran denken, wenn sie als Kunde mit einem im Ausland liegenden Callcenter telefonieren, dessen Mitarbeiter eventuell nicht einmal den lächerlichen deutschen Mindestlohn bekommen! In der Bundesrepublik Deutschland mit ihrem angeblich großartigen „Verbraucherschutz“ wurde für derart fahrlässige Datenschleuderei übrigens noch nie eine Geldstrafe verhängt.
  • Twitch, eine von Amazon aufgekaufte Streaming-Plattform, die es ermöglicht, anderen beim Spielen zuzuschauen, hat vermutlich eine unbekannte Anzahl Datensätze aus E-Mail-Adresse, gehashtem Passwort – und in einigen Fällen: Name, Telefonnummer, Anschrift, Geburtsdatum – „veröffentlicht“.
  • Kreditech, ein Hamburger „Big-Data“-Startup, hat mehrere tausend Datensätze (einschließlich Kreditanträgen, eingescannten Ausweisen und Mailadressen) „veröffentlicht“ und seine davon betroffenen Nutzer ein dreiviertel Jahr lang nicht über das längst bekannte Problem informiert. Siehe auch bei Fefe.
  • Die Infoscore Consumer Data GmbH, eine Auskunftei aus dem Bertelsmann-Konzern, hat Millionen von weit in die Privatsphäre ragenden Datensätzen für jeden zugreifbar gegen Zahlung von Geld veröffentlicht. Ein Hack war nicht erforderlich. [Weil Inhalte auf Websites des Quasi-Staatsrundfunks häufig nach kurzer Zeit verschwinden, hier eine dauerhaft archivierte Version der NDR-Meldung.]
  • Onlinetvrecorder.com hat die Benutzernamen, mutmaßlich die Klartext-Passwörter sowie die FTP-Zugangsdaten einer unbekannten Menge von Nutzern „veröffentlicht“.
  • Uber, der in der BRD sehr umstrittene Quasitaxidienst mit App, hat die Daten von mehreren zehntausend Fahrern „veröffentlicht“.
  • Mars, Hersteller von „M&M’s“, hat sämtliche angegebenen Daten von Online-Bestellungen mindestens aus dem Zeitraum 2007 bis Anfang 2015 veröffentlicht, also für jeden Menschen offen und ohne Schutzmechanismen zugänglich ins Web gestellt. Ein Hack war nicht erforderlich, nur die Angabe fortlaufender Nummern in der URI.
  • Rd. 40.000 Installationen des Datenbanksystems MongoDB waren wegen Unwissens und/oder Fehlentscheidungen der dafür zuständigen Admins völlig offen über das Internet zugreifbar, darunter auch die Datenbank eines Mobilfunk-Anbieters aus Frankreich mit sportlichen acht Millionen Kundendaten. Zu dieser massenhaften Veröffentlichung von Daten kam es, weil kein Zugriffsschutz durch ein Passwort eingerichtet wurde. Nein, das ist kein Witz. Das ist die gegenwärtige Praxis des Datenschutzes.
  • Anthem, eine US-Krankenkasse, hat mehrere Millionen weit in die Privatsphäre hineinragende Datensätze ihrer Kunden „veröffentlicht“.
  • Impact Mailorder, ein Versand für Punk-Accessoires, hat rd. 40.000 Datensätze von Kunden „veröffentlicht“.
  • 1&1, ein großer deutscher Webhoster, bei dem sehr viele Websites liegen, ermöglichte bei etlichen der gehosteten Websites über eine zurzeit noch unbekannte Zeitspanne hinweg den Zugriff auf die Website-Administration durch Eingabe eines beliebigen Passwortes. Jemand, der sich auf diese Weise eingeloggt hat, konnte sich auch Zugriff auf sämtliche Daten der jeweiligen Webpräsenz verschaffen, insbesondere auch auf Datenbanken von Webshops, Foren, etc.; ferner war der Einbau beliebiger Hintertüren in Websites möglich. Um im Duktus dieser Liste zu bleiben: Der Webhoster 1&1 hat die Datenbestände von etlichen bei ihm gehosteten Websites „veröffentlicht“.
  • Lizard Squad, eine „Hackergruppe“, hat rd. 14.000 E-Mail-Adressen, Nutzernamen und Passwörter von Nutzern ihres (natürlich illegalen) DDoS-Dienstes veröffentlicht. Diese wurden im Klartext auf dem Server abgelegt.
  • Nvidia hat Daten mit zurzeit unbekannten Merkmalen von rd. 8.000 Mitarbeitern und von einer unbekannten Anzahl Kunden „veröffentlicht“, unter anderem Mailadressen. Diese werden aktiv für offenbar gefährliches Phishing verwendet.
  • Die Betreiber des PhpBB-Supportforums haben die gesamte Datenbank ihres Forums „veröffentlicht“. Immerhin waren die Passwörter sicher gespeichert, aber die Mailadressen zusammen mit dem Nick im Forum und allen angepassten Einstellungen eines Nutzers (Wohnort, IM-Kontaktmöglichkeit, Sprache) laufen nun auch unter Kriminellen um.
  • Sony Pictures hat – neben dem üblichen Großtanker voller Kundendaten – die persönlichen Daten von 6.800 aktiven und früheren Mitarbeitern „veröffentlicht“ und darüber hinaus mehrere Terabyte interner Daten aller Art, einschließlich sehr persönlicher Daten diverser Menschen.
  • Der US Postal Service, die staatliche Post der Vereinigten Staaten von Amerika, hat 2,9 Millionen [!] Datensätze ihrer Kunden und 750.000 Datensätze ihrer Beschäftigten „veröffentlicht“, jeder einzelne für einen kriminellen Missbrauch der Identität oder für eine personalisierte Betrugsnummer ausreichend.
  • Sony hat die Nutzerdatenbank des Playstation Network „veröffentlicht“.
  • Die AfD, eine noch junge und markant konservative Partei, die auch unter den vielen Mitmenschen mit geschlossenem rechtsradikalen Weltbild Anhänger sucht und findet, hat unter anderem Gold übers Internet verkauft und die Daten einer zweistelligen Anzahl von Käufern „veröffentlicht“. [Archivierte Meldung]
  • JP Morgan Chase & Co., die größe Bank der Vereinigten Staaten von Amerika, hat 76 Millionen Datensätze von Privatkunden und 7 Millionen Datensätze von Geschäftskunden „veröffentlicht“.
  • Die Mozilla-Foundation hat monatelang die Mailadressen und Passwörter von rd. 97.000 Bugtracker-Nutzern im Internet veröffentlicht. Ja: Diese Daten lagen ohne Zugriffsschutz frei zugänglich im Internet herum.
  • Ups liefert nicht nur Pakete, sondern hat auch eine unbekannte Menge an Kreditkartendaten an Kriminelle ausgeliefert, die Trojaner in den Filialen installieren konnten.
  • Community Health Systems, ein Krankenhausbetreiber aus den USA, hat 4,5 Millionen Datensätze von Patienten „veröffentlicht“, die jeweils für einen kriminellen Identitätsmissbrauch hinreichen.
  • Die Mozilla-Foundation hat 76.000 Mailadressen und rd. 4000 gehashte (und gesaltete) Passwörter für jedermann und jedefrau zugänglich ins Internet gestellt.
  • Die Europäische Zentralbank [!] hat 20.000 Mailadressen und eine zurzeit noch unbekannte Anzahl Namen, Anschriften und Telefonnummern (sowie mutmaßlich: gehashte Passwörter – es geht aber nicht klar aus dem Artikel hervor) „veröffentlicht“.
  • Avast, einer der größeren Hersteller von Antivirus-Software, hat 350.000 Datensätze der Nutzer seines Webforums „veröffentlicht“ und geht davon aus, dass die Passwörter so mies gehasht wurden, dass sie gecrackt werden können. Natürlich wird Avast auch weiterhin Software für die „Computersicherheit“ verkaufen.
  • Ebay hat sportliche 145 Millionen [!] Kundendaten „veröffentlicht“. Die hier mitgeteilte Mutmaßung, dass es bei Ebay ein Datenleck geben könnte, hat sich somit bestätigt.
  • Die ARD hat die Daten von rd. 50.000 Teilnehmern einer (technisch übrigens misslungenen) TV-Quizshow „veröffentlicht“.
  • Orange, der französische Telefon-Provider, hat sich nicht mit den 800.000 Datensätzen vom Janaur 2014 begnügt, sondern im April 2014 noch mal weitere 1,3 Millionen Datensätze von Kunden „veröffentlicht“.
  • Kabel BW hat Name, Anschrift, Mailadresse und Telefonnummer aller Teilnehmer eines Gewinnspiels „veröffentlicht“.
  • Bei AOL konnten Angreifer von mindestens zwei Prozent der Konten das Passwort mitnehmen und vermutlich vielfach weitere Daten – wie etwa die bei AOL gespeicherten Adressbücher mit einer Zuordnung von Mailadressen zu bürgerlichen Namen – abgreifen.
  • LaCie, ein von Seagate aufgekaufter Hersteller von Festplatten, hat kriminellen Angreifern über ein Jahr lang Zugriff auf Kundendaten gegeben, und zwar mindestens jeweils Name, Anschrift, Kreditkartendaten, Bankverbindung, E-Mail-Adresse und Passwort. LaCie versicherte allerdings auf Twitter, dass Nutzer des Cloud-Speichers „Wuala“ nicht betroffen sind.
  • Boxee, ein von Samsung aufgekaufter Streaming-Dienst, hat mindestens 158.000 Datensätze registrierter Nutzer des zugehörigen Forums „veröffentlicht“, einschließlich Geburtsdatum, Mailadresse und gehashtem Passwort.
  • Chip Online, die Website einer beliebten Computerzeitschrift, hat bis zu 2,5 Millionen Datensätze registrierter Forumsnutzer „veröffentlicht“. Einschließlich unzureichend kryptografisch gesicherter Passwörter, die leicht lesbar gemacht werden können.
  • Statista, ein beliebtes Daten- und Statistikportal, hat eine unbekannte Menge an Nutzerdaten (mindestens E-Mail-Adresse und gehashtes Passwort) „veröffentlicht“.
  • Die Bundesrepublik Österreich hat Adressdaten, Mailadressen und – im Falle der Schüler: Testergebnisse – von 37.000 Lehrern und 400.000 Schülern „veröffentlicht“. Auch beim Staat sind Daten niemals sicher!
  • Die University of Maryland hat 300.000 über einen Zeitraum von 16 Jahren gesammelte Datensätze von Studenten und Angestellten „veröffentlicht“, die für einen kriminellen Identitätsmissbrauch hinreichend sind. Zitat: „Es habe sich um einen äußerst ausgeklügelten Hacker-Angriff gehandelt, teilte die Universität mit, die unter anderem groß mit ihrem Studiengang ‚Cybersecurity‘ wirbt“. Tja, große Datensammlungen wecken Begehrlichkeiten!
  • Kickstarter, eine Website, die es ermöglicht, in Geschäftsideen zu investieren, hat auch das Geschäft der Organisierten Kriminalität mit der „Veröffentlichung“ einer unbekannten Anzahl von Nutzerdatensätzen (Gewählter Name, E-Mail-Adresse, Anschrift, Telefonnummer, gehashtes Passwort) vorangebracht. Lobenswert: Die Nutzer wurden schnell informiert, und Kreditkartendaten wurden offenbar so abgelegt, dass sie nicht mitgenommen werden konnten.
  • Barclays, eine britische Großbank, die schon in vielerlei Weise von sich reden gemacht hat, hat auch 27.000 offenbar recht vollständige Kundendatensätze „veröffentlicht“, die neben den üblichen weit in die Privatsphäre hineinragenden Angaben auch Aufschluss über die finanzielle Risikobereitschaft und gemachte Geschäfte geben.
  • Happyshops, ein Betreiber von mehreren Handvoll Webshops mit einer halben Million Kunden, hat ein paar Kriminelle sehr glücklich gemacht, indem eine zurzeit noch unbekannte Anzahl von Kundendatensätzen „veröffentlicht“ wurde, die mindestens den Namen, die Mailadresse und ein gehashtes Passwort beinhalten.
  • Orange, ein großer französischer Internet- und Telefon-Provider, hat 800.000 Kundendatensätze mit Name, Anschrift, Mailadresse und Telefonnummer „veröffentlicht“.
  • Verschiedene Webshops, die mit der Software xt:Commerce 3 betrieben wurden, haben insgesamt mindestens 230.000 Kundendatensätze mit Passwort „veröffentlicht“.
  • Opensuse hat mal eben alle Mailadressen der Nutzer des zugehörigen Forensystems „veröffentlicht“ – in diesem Fall ist aber besonders lobenswert, dass die Passwörter auf einem anderen Rechner gespeichert wurden und deshalb nicht mit abgegriffen werden konnten. So viel Umsicht würde ich mir bei kommerzielleren Auftritten im Web auch wünschen! Und zwar zusätzlich zur schnellen Information der betroffenen Nutzer und dem Einräumen des erfolgreichen Angriffs, die auch nicht selbstverständlich sind, obwohl sie es sein sollten!
  • SnapChat, ein Anbieter des Dienstes, Fotos so zu versenden, dass sie angeblich nur einmal betrachtet werden können, hat – nachdem monatelang nicht auf ein bekanntes Sicherheitsloch reagiert wurde – 4,6 Millionen Datensätze seiner Nutzer veröffentlicht.
  • Target, ein sehr großes US-amerikanisches Einzelhandelsunternehmen, hat 40 Millionen Kontoinformationen zu Kredit- und Debitkarten „veröffentlicht“, die aktiv kriminell missbraucht wurden.
  • Die Spieleklitsche EA hat eine unbekannte Anzahl ihrer Kundendatensätze mit unbekannten Merkmalen „veröffentlicht“, die von Spammern verwendet werden.
  • Vodafone hat die SMS von 70.000 isländischen Kunden „veröffentlicht“, und natürlich auch die Kundendaten.
  • Das vBulletin-Supportforum hat seine gesamte Nutzerdatenbank „veröffentlicht“.
  • Sky, dieser Gib-Geld-fürs-Glotzen-Sender, hat seine Kundendatenbank „veröffentlicht“.
  • Adobe hat 153 Millionen [!] Kundendatensätze „veröffentlicht“.
  • Vodafone Deutschland hat zwei Millionen Kundendatensätze „veröffentlicht“. Die ganz besondere Kompetenz und der unbändige Wille zum Datenschutz bei Vodafone Deutschland zeigt sich darin, dass externe Dienstleister lt. Presse Vollzugriff auf die Kundendaten haben und sie einfach mitnehmen können. Deshalb spreche ich auch hier von einer „Veröffentlichung“, obwohl es sich um einen gezielten Angriff handelt und die Daten nicht über das Internet zugänglich waren.
  • Apple hat Mailadressen, Namen und Anschriften der registrierten Entwickler „veröffentlicht“.
  • Canonical hat die Nutzerdatenbank des Ubuntu-Forums „veröffentlicht“.
  • Ubisoft hat die Mailadressen seiner Kunden „veröffentlicht“.
  • Eset hat seine Kundendatenbank „veröffentlicht“ (und bietet trotzdem weiterhin Produkte für Computersicherheit an und muss trotz dieser öffentlich belegten Unfähigkeit nicht in die Insolvenz).
  • Facebook hat mindestens sechs Millionen Mailadressen und Telefonnummern von Nutzern „veröffentlicht“.
  • Das Drupal-Projekt hat eine fluffige Million Benutzerdatensätze „veröffentlicht“.
  • LivingSocial hat fünfzig Millionen Datensätze von Nutzern „veröffentlicht“.
  • Die FDP hat 37.000 Mailadressen eines Wahlkampfforums „veröffentlicht“.
  • Scribd hat rd. eine Million Datensätze „veröffentlicht“.
  • Amazon hat in seinem Cloud-Angebot sportliche 120 Milliarden Dateien [!] aller Art (darunter auch Datenbanken, Korrespondenz, Adressbücher, Kalkulationen, Notizen) „veröffentlicht“, was leider niemanden dazu motiviert, auf den in aller Regel überflüssigen Bullshit der „Cloud“ zu verzichten.
  • Groupon hat offenbar seine Nutzerdatenbank „veröffentlicht“, was aber niemals offiziell von Groupon bestätigt wurde. So wissen die Groupon-Kunden gleich, wie sehr sie verachtet werden, wenn bei Groupon offiziell keine Daten mitgenommen wurden, aber das Phishing mit einer bei Groupon angegebenen Mailadresse und dem Klarnamen läuft. Leider hat das keine Folgen für Groupon gehabt.
  • Evernote hat die Mailadressen aller seiner Nutzer „veröffentlicht“.
  • Facebook hat jedem registrierten Entwickler Zugriff auf alle Daten jedes Benutzerkontos gegeben – und es war für einen Kriminellen relativ einfach, sich gegenüber Facebook als Entwickler auszugeben.
  • Google gab bei jedem App-Verkauf im Android-Store die Mailadresse des Käufers an den Verkäufer weiter. Ja, mit jedem App-Kauf für eine Handvoll Cent hat man seine Mailadresse an ein weitgehend anonymes Gegenüber gegeben, ohne dass diese Datenweitergabe Googles klar war.
  • Twitter hat eine Viertelmillion Mailadressen „veröffentlicht“.
  • Die belgische Staatsbahn hat ihre gesamte Kundendatenbank für den freien Zugriff im Web veröffentlicht. Hier ist das Wort „veröffentlicht“ ausnahmsweise kein Euphemismus für eine ausgebeutete Sicherheitslücke, sondern eine Beschreibung dessen, was getan wurde.
  • Coca-Cola hat über mit Schadsoftware übernommene Computer eine unbekannte Menge interner Daten an Kriminelle übermittelt.
  • Mister Spex hat seine Kundendatenbank „veröffentlicht“.
  • DropBox hat mal eben die Kundendatenbank mit einer Reihe von unfassbaren Schlampigkeiten an unerfreuliche Zeitgenossen gegeben.
  • meetOne hat durch seine „Veröffentlichung“ bei 900.000 Nutzern dafür gesorgt, dass sich wenigstens der Posteingang nicht mehr ganz so einsam anfühlt.
  • Gamigo hat acht Millionen Mailadressen „veröffentlicht“.
  • AndroidForums.com hat anderthalb Millionen Mailadressen „veröffentlicht“.
  • Formspring hat seine Nutzerdatenbank „veröffentlicht“.
  • DHL hat es zwar niemals bestätigt, aber es deutet einiges darauf hin, dass DHL Mailadressen „veröffentlicht“ hat. Diese wurden für sehr gefährliches, personalisiertes Phishing verwendet.
  • Twitter hat 55.000 Accountdaten „veröffentlicht“.
  • YouPorn hat die Mailadressen einiger registrierter Nutzer „veröffentlicht“.
  • Zappos hat 24 Millionen Datensätze seiner Kunden „veröffentlicht“.
  • Immobilienscout 24 hat große Teile seiner Kundendatenbank „veröffentlicht“.
  • BuyVIP hat eine unbekannte Anzahl von Kundendaten „veröffentlicht“.
  • Netlog ist ein Datenstaubsauger, der jeder Beschreibung spottet. Wofür die Daten benutzt werden, ist nicht klar. Sie werden auf jedem denkbaren Weg klandestin eingesammelt.
  • Sony hat seine Kundendatenbank teilweise „veröffentlicht“.
  • Acer hat seine Kundendatenbank zum freien FTP-Download gestellt. Ein „Hack“ war nicht erforderlich.
  • Neckermann hats möglich gemacht, auf 1,2 Millionen Kundendatensätze mit unbekannten Merkmalen zuzugreifen.
  • The Pirate Bay [!] hat vier Millionen Datensätze von registrierten Nutzern „veröffentlicht“.
  • SchülerVZ hat mit echtem „Datenschutz made in Germany“ 1,6 Millionen Datensätze „veröffentlicht“.

Es ist egal, wie renommiert eine Unternehmung ist.

Es ist egal, welche Datenschutzversprechungen sie macht, welche (teuren) Siegel irgendwelcher Prüfstellen sie in ihre Website einfügt und wie sehr sie mit der ganzen Kraft einer verlogenen Reklamefirma darum bemüht ist, so zu tun, als seien alle Daten in sicheren Händen.

Datenschutz kostet Geld. Jeden Monat. Jeden Tag. Und wenn dieses Geld eingespart wird, dann sinkt der Umsatz in der Regel nicht. Deshalb wird am Datenschutz gespart. Fast überall. Und es fällt dem normalen Nutzer oder Kunden erst dann auf, wenn es zu spät ist.

Und. Es wird an mehr Orten am Datenschutz gespart, als sie es in diesem Moment für möglich halten.

Aber es kommt noch schlimmer: Es ist letztlich egal, wie viel Geld in den Datenschutz investiert wird.

Jeder Computer mit permanenter Anbindung ans Internet ist ein Opferrechner. Er ist jeden Augenblick allen möglichen Angriffen ausgesetzt, deren Bandbreite vom Kinderkram bis zur planvollen kriminellen Attacke mit einem bestimmten Ziel geht. Selbst der aufmerksamste und fachkundigste Administrator kann es nicht verhindern, dass auch einmal ein Angriff gelingt. Und je größer die Datensammlung und damit das kriminelle Potenzial ist, desto größer ist die Wahrscheinlichkeit, dass völlig neuartige Angriffsmethoden erstmals ausprobiert werden.

Alle Daten, die auf einem Computer mit permanenter Anbindung ans Internet (auch mit indirekter Anbindung über eine intern verwendete API) gespeichert sind, sind gefährdet.

Der einzig wirksame Datenschutz ist Datenvermeidung. Das heißt auch: Auf Datenpreisgabe gegenüber anderen so oft wie möglich verzichten. Und. Dazu gehört (zurzeit) unter anderem, kein Smartphone zu benutzen. Smartphones sind eine große Gefährdung für die Privatsphäre.

Jede andere Maßnahme außer strikter Datensparsamkeit ist der eigenen Kontrolle enthoben, ist ein Fürwahrhalten der Versprechungen eines recht anonym bleibenden Gegenübers in einem technischen, anonymisierenden Medium. Die hier gegebene Liste sollte zeigen, dass die Versprechungen auch bei renommierten Unternehmen nicht die Elektronen wert sind, über die sie durchs Internet befördert werden. Tatsächlich halte ich irgendwelche „Siegel“ (auch die Siegel des TÜV), die Datenschutz garantieren sollen, für ein Zeichen, dass Kunden und Nutzer mit leeren Versprechungen verblendet werden sollen.

Und was bei dieser schon erdrückenden Liste von bekannt gewordenen Datenschutz-Vorfällen niemals vergessen werden sollte: Nicht jedes Datenleck wird bekannt. Ich habe mich zwar beim Zusammenstellen darum bemüht, auch ein paar unbekanntere aufzunehmen, die nicht in die allgemeine Presse gingen, aber vieles ist auch an mir vorbeigegangen. Und einiges bleibt trotz starker Hinweise unklar, etwa der mit Indizien begründete Verdacht, dass ein Datenleck ausgerechnet beim DE-Mail-Teilnehmer GMX aufgetreten ist. Da müsste es viele hunderttausend Betroffene geben. Er ist leider kein Thema für die Journaille – stattdessen wird die Sicherheit und der Datenschutz von DE-Mail bejubelt, die ja sind, weil im Gesetz steht, dass es sicher und datenschützend ist…

Ach! :(