Die Datenschleuder-Seite

Die folgende Liste von schweren Datenschutzversäumnissen kommerzieller Anbieter, staatlicher und quasi-staatlicher Organisationen und freier Projekte mit großem Wirkungskreis wirft ein Licht auf die Quellen der Spammer und anderer Krimineller. Ich werde versuchen, diese Liste regelmäßig zu ergänzen.

Diese Version der Liste ist mit Stand vom 25. April 2024. Sie ist unvollständig. Sie zeigt nur die Spitze eines Eisbergs, denn viele (auch größere) derartige Vorfälle werden nicht bekannt. Die Vorfälle sind chronologisch absteigend geordnet. Eine vollständigere, aber ebenfalls nicht vollständige Liste gibt es in der englischsprachigen Wikipedia.

Eine noch unbekannte Quelle hat Scans von Ausweispapieren veröffentlicht, die jetzt interessierte Kriminelle einfach für eine Handvoll Bitcoin kaufen können. Immer schön überall den Ausweis scannen lassen, oder einen Scan des Ausweises einsenden! Wird schon irgendwo wieder herauskommen.
Void Interactive, ein Hersteller von Computerspielen, hat mehr als vier Terabyte Daten in mehr als 2,1 Millionen Dateien „veröffentlicht“.
Nexperia, ein Halbleiterhersteller, hat möglicherweise ein Terabyte Daten „veröffentlicht“. Was für Daten das sind? „etwa 286 GByte an Qualitätssicherungsdaten, 24 GByte an Daten von knapp 900 Kunden wie SpaceX, IBM, Apple, Huawai und weiteren sowie 139 GByte an Projektdaten, die vertraulich seien wie NDAs, interne Dokumente, Handelsgeheimnisse, Designs, Spezifikationen oder Herstellung. Weiter seien umfangreiche Daten zu den Erfahrungen und Studien der Ingenieure dabei, Informationen aus dem Product Management, mehr als 200 GByte Daten zu Halbleiter-Herstellungstechniken, umfangreiche Daten aus der Personalabteilung, aber auch Zeichnungen und Schemata von Chips, Mikrochips, Transistoren und weiteren. Über 100 GByte an Postfachdaten (.pst-Dateien) seien ebenfalls im Fundus“. Das ist eine fette Beute!
Zu Microsofts aktueller Datenschleuderei zitiere ich einfach nur Heise: „Frei im Netz stand ein Microsoft-Server, der Softwarecode, Logins, Passwörter, Schlüssel, Scripte und Konfigurationsdateien bereithielt – für jedermann, der den Server fand. Denn Passwortschutz gab es keinen. Sicherheitsexperten von SOCRadar fanden den Schatz und informierten Microsoft am sechsten Februar. Es dauert geschlagene vier Wochen, bis Microsoft den Server schützte“. Deren „Cloud“ müsst ihr alle eure Daten anvertrauen!
Die ThingBring GmbH, eine Klitsche, die eine Software für Cannabisclubs anbietet, mittels derer die unfangreichen Dokumentationspflichten erledigt werden sollten, hat die Daten einer vierstelligen Zahl von Cannabisfreunden „veröffentlicht“ und sogar beliebigen Dritten die Manipulation dieser Daten ermöglicht. Die bestehenden Datenschutzprobleme wurden auch nach einem Hinweis nicht beseitigt. Na, wenigstens kann man sich den „Industriestandard des Datenschutzes“ jetzt legalisiert schönkiffen. Aber vielleicht sollte man sich doch besser die drei tiefgebücktgnädigerweise von der Bundesrepublik Deutschland erlaubten Pflänzchen in der Wohnung anbauen, denn dafür muss man sich wenigstens nicht vor unbekannten und datenschutztechnisch eher etwas verantwortungslosen Unternehmen datennackig machen. [Archivversion der Tagesschaumeldung]
AT&T, ein großes Telekommunikationsunternehmen aus den USA, hat die Daten zu 7,6 Millionen aktuellen Kunden und die natürlich nicht gelöschten Daten zu 65,4 Millionen ehemaligen Kunden „veröffentlicht“, jeweils völlig für einen kriminellen Identitätsmissbrauch ausreichend. Warum sollte man alte Daten auch löschen oder in einer Form archivieren, die den Zugriff durch Dritte zumindest deutlich erschwert? Das wäre ja Datenschutz.
Der National Health Service (NHS) Dumfries and Galloway, eine schottische „Gesundheitsbehörde“, hat eine unbekannte Menge weit in die Privat- und Intimsphäre ragender Daten über schottische Patienten „veröffentlicht“, bis hin zu psychologischen Gutachten in Patientenakten. Auch mit Gesundheitsdaten wird nicht eine Spur sorgsamer umgegangen als mit anderen Daten.
Stay Informed, eine App für Eltern von Schülern und Kindertagesstättenkindern sowie für Angehörige von Menschen in Pflegeeinrichtungen, die von der Stay Informed GmbH für besonders gute Sicherheit und guten Datenschutz beworben wurde, hat eine große Menge empfindlicher persönlicher Informationen ohne jeden Zugriffsschutz ins offene Web gestellt, also im wahrsten Sinn des Wortes veröffentlicht. Die Daten standen beinahe zwei Jahre lang völlig offen im Web. Auch Anwendungen, die mit besonderem Datenschutz und besonderer Sicherheit beworben werden, haben keinen besseren Datenschutz.
Die VF Group, unter anderem bekannt durch die Marken Vans, Dickies, Timberland, Northface, hat die Daten von 35 Millionen Kunden „veröffentlicht“, einschließlich Mailadressen, Telefonnummer, Anschrift und verwendete Lieferanschrift.
Firebase, eine Entwicklungsplattform für Webanwendungen von Google, hat wegen verantwortungslos ungenügender Konfiguration durch diverse Entwickler 125 Millionen Datensätze veröffentlicht, darunter neben den üblichen persönlichen Daten und Mailadressen auch Klartextpasswörter. Letzteres, weil einigen „Webentwicklern“ die Speicherung von gehashten und gesalteten Passwörtern, was übrigens eine Sicherheitstechnik aus den frühen Siebziger Jahren ist, zu aufwändig war. „Veröffentlicht“ ist hier bewusst nicht in Anführungszeichen geschrieben. Die Daten standen ohne Zugriffsschutz im Internet.
Das Arbeitsamt der Republik Frankreich hat die über zwanzig Jahre eingesammelten Daten von Arbeitssuchenden „veröffentlicht“. Die Daten sind für einen kriminellen Identitätsmissbrauch hinreichend. Auch beim Staat sind Daten niemals sicher, und gelöscht werden sie auch nicht.
Tonerdumping, ein Onlinehändler für Druckerzubehör und Büromaterialien, hat offensichtlich eine Datenbank mit rd. 345.000 Datensätzen zu Kunden „veröffentlicht“, die jetzt für eine Handvoll Bitcoin für Interessierte zu erwerben ist. Angeblich waren die Passwörter nicht gut genug gehasht, um sie nicht entziffern zu können. Vor betrügerischem Missbrauch dieser Daten wird bereits gewarnt [Archivversion der Meldung].
Das Bündnis Sahra Wagenknecht, eine junge Partei der Bundesrepublik Deutschland, hat offenbar die Daten von rd. 35.000 Mitglieder und Unterstützern „veröffentlicht“, neben den persönlichen Daten und Mailadressen auch Informationen über die Höhe von Spenden.
Dubidoc, ein Terminplaner für Arztpraxen, hat die Daten von rd. einer Million Patienten mit rd. drei Millionen Terminen in einer Datenbank gehalten, deren Zugangsdaten offen im Internet herumlagen und die in keiner Weise gegen direkte Zugriffe aus dem Internet abgesichert war. So sieht der „besondere Schutz empfindlicher Gesundheitsdaten“ in der Wirklichkeit aus.
WinStar, nach eigenen Angaben die „größte Casino-App der Welt“, hat eine ganze Datenbank mit Nutzerdaten im Internet veröffentlicht. Bei so viel Verantwortung im Datenschutz werden nicht nur die scheinbaren „Glücksspiele“ zum Glücksspiel.
Viamedis und Almerys, zwei Datenverarbeitungsdienstleister für das französische Gesundheitswesen, haben die Daten von 33 Millionen Menschen „veröffentlicht“.
Der Landkreis Lörrach hat persönliche Daten von rd. 56.000 Menschen und an die tausend Unternehmen offen und ohne Zugriffsschutz im Internet veröffentlicht [Archivversion der SWR-Meldung]. So genannte „Hackertools“ waren für den Zugriff nicht nötig. Die Daten ließen sich sogar mit allgemeinen Websuchmaschinen wie „Google“ auffinden.
Schneider Electric hat einige Terabyte Daten „veröffentlicht“, darunter auch Kundendaten.
Mercedes-Benz hat Teile seiner Quellcodes veröffentlicht. Ob dabei auch Kundendaten veröffentlicht wurden, ist zurzeit unbekannt. Sicher ist nur, dass die Quellcodes unter Kriminellen zirkulieren, und ein paar Leute, die gern hochpreisige Autos klauen, werden sicherlich einen tieferen Blick hineingeworfen haben [Archivversion der Golem-Meldung].
Subway, eine große Schnellimbisskette, hat angeblich hunderte Gigabyte „empfindlicher“ Daten vor allem geschäftlicher Natur „veröffentlicht“, auch zu Mitarbeitern und ihrem Einkommen. Auch beim so genannten „Arbeitgeber“ sind die Daten niemals sicher.
Nexus Telecom, eine Schweizer Unternehmung, die ihr Geschäft mit Überwachungssoftware für den Mobilfunk macht, hat eine zurzeit noch unbekannte Menge „vertraulicher Informationen“ gegenüber Kriminellen „veröffentlicht“ [Archivversion].
Über das alte Protokoll Dicom ausgetauschte Gesundheitsdaten von Patienten sind massenhaft ungeschützt in der „Cloud“ und damit im offenen Internet gelandet. „Zu den offengelegten persönlichen Daten (16,1 Millionen Datensätze) gehören vollständige Namen, Anschriften, Geburtsdaten und Telefonnummern, in einigen Fällen sind angeblich auch Sozialversicherungsnummern betroffen. Die medizinischen Daten (43,5 Millionen Datensätze) umfassen Informationen wie Untersuchungsergebnisse, zuständige Ärzte, angewandte Behandlungsmethoden sowie Ort und Zeit durchgeführter Untersuchungen“. Auch für empfindliche und weit in die Privat- und Intimsphäre hineinragende Gesundheitsdaten gibt es keinen besseren Datenschutz als für andere Daten. [Archivversion]
Diverse Entwickler so genannter „künstlicher Intelligenz“ haben ihre Zugangsdaten für die Entwicklungsplattform „Hugging Face“ auf „GitHub“ im wahrsten Sinn dieses Wortes veröffentlicht. So genannte Hackertools waren für den Zugriff nicht erforderlich, sie lagen offen im Internet. Die Entdecker der Datenschleuderei teilen mit: „Dies stellt eine ernste Bedrohung dar, da das Einschleusen von beschädigten Sprachmodellen Millionen von Nutzern beeinträchtigen könnte, die sich für ihre Anwendungen auf diese grundlegenden Modelle verlassen“. Angesichts der Tatsache, dass man zurzeit in jeden Quatsch die angelernten neuronalen Netzwerke integriert, scheint mir diese Warnung eher übertrieben milde formuliert. [Archivversion der Golem-Meldung]
Das King Edward VII’s Hospital in London hat einen größeren Haufen Patientendaten „veröffentlicht“, darunter auch Gesundheitsdaten des britischen Hochadels. Empfindliche Gesundheitsdaten sind allen Beschwichtigungen zum Trotz nicht besser und erst recht nicht wirksamer geschützt als andere Daten, nicht einmal die Gesundheitsdaten des britischen Königshauses.
ChatGPT, ein populärer Chatbot auf Grundlage eines angelernten neuronalen Netzwerkes, hat mit einem einfachen Trick gigabyteweise seine Trainingsdaten ausgegeben, einschließlich persönlicher Daten und Telefonnummern. Die verwendete Angriffstechnik funktioniert auch bei anderen angelernten neuronalen Netzwerken. [Archivversion der Golem-Meldung]
Die Schweiz hat einen großen Haufen staatlich erhobener Daten an einen Dienstleister gegeben, und der hatte einen „umfangreichen Datenabfluss“. Neben den üblichen persönlichen Daten werden zurzeit auch Daten der Steuerverwaltung im Darknet gehandelt. Auch beim Staat sind Daten niemals sicher. [Archivversion]
Bauhaus, eine bekannte Baumarktkette, hat ihre Kundendaten im wahrsten Sinn des Wortes im Internet veröffentlicht, sie waren frei einsehbar. Irgendwelche „Hackertools“ waren für den Zugriff nicht erforderlich. Sie waren mit einer Websuchmaschine einsehbar, befanden sich dort auch nach der Löschung noch im Cache und waren mit etwas Trickserei auch über die in der Suchmaschine integrierte „künstliche Intelligenz“ (das ist ein von Journalisten, Politikern und anderen Nichtsblickern verwendetes Reklamewort für ein angelerntes neuronales Netzwerk) zugreifbar [Archivversion].
In der Türkei sind massenhaft Daten über Impfungen „veröffentlicht“ worden [Archivversion der Meldung].
Shimano, ein bekannter Hersteller von Fahrradteilen, hat 4,5 Terabyte interner Daten [!] aller Art veröffentlicht, darunter auch Kundendaten.
Die Wahlbehörde von Washington DC hat eine Datenbank veröffentlicht, unter anderem mit rd. 600.000 registrierten Wählern im District of Columbia, jeweils Sozialversicherungsnummer, Führerscheinnummer (die Kombination ist in den USA bereits für einen Identitätsmissbrauch ausreichend), Geburtsdatum, Telefonnummer und Mailadresse. Dabei haben die Angreifer nicht einmal Zugriff auf die Datenbanken der Behörde gehabt, aber eine Kopie dieser Daten befand sich auf einem Webserver. Um es mit Fefe zu sagen: „Damit es leichter klaubar ist, nehme ich an, denn andere Gründe sehe ich gerade keine“. Auch beim Staat und bei Behörden sind Daten niemals sicher, und zwar nirgends.
23andme, eine Klitsche, die Genanalysen anbietet, hat vermutlich die Genanalyse-Daten von mindestens vier Millionen Kunden „veröffentlicht“. Immerhin haben alle Betroffenen ihr Genom freiwillig an Leute mit windigem Geschäftsmodell abgegeben, von daher habe ich auch kein Mitleid. Im schlimmsten Fall wachen einige dieser Menschen demnächst irgendwo mit einem schweren Schädel und einer Operationsnarbe auf, weil ihre computerauswertbaren Gene versprechen, dass sie ein möglicherweise brauchbares Spenderorgan haben. Oder sie wachen eben nicht wieder auf… tja, hätte ihnen doch nur vorher jemand gesagt, dass Datensparsamkeit der einzige Datenschutz ist, der auch funktioniert! Vielleicht erwischt es aber auch erst in ein paar Jahren die Kinder bei einer so genannten „ethnischen Säuberung“. Auf jeden Fall ist es für alle Betroffenen jetzt zu spät, etwas vorsichtiger mit ihren Genen umzugehen und diese nicht in einer riesigen Datenbank speichern zu lassen.
Der Vatikan hatte bei seiner Weltsynode ein kleines Datenproblemchen, das gar nicht der Erwähnung wert wäre, wenn die Ausrede nicht so blöde wäre: „Die vorübergehende Zugangsmöglichkeit zu diesen Texten wurde laut Ruffini bewusst eingeräumt, um einigen Teilnehmern, die Schwierigkeiten mit ihrem Passwort hatten, dennoch einen Zugang zu geben“. Na, dann ist ja alles gut! Halleluja! [Archivversion]
Motel One hat eine größere Menge Daten „veröffentlicht“ und will jetzt vom eigenen Versagen ablenken, indem dem Staat die Schuld dafür zugeschrieben wird. Von mir dazu nur ein Tipp: Daten, die man löscht, kann man nicht mehr „veröffentlichen“.
Vodafone, ein großes Telekommunikationsunternehmen, hat die Daten einer noch unbekannten Zahl von Kunden „veröffentlicht“. Darunter nicht nur die üblichen Namen, Passwörter und gewöhnlichen Kundendaten, sondern auch die Scans von Personalausweisen und Kreditkarten, jeweils Vorder- und Rückseite [Archivversion des Correctiv-Artikels].
Diverse Mobilfunkanbieter aus der Bundesrepublik Deutschland haben illegalerweise ihre Kundendaten an Auskunfteien verkauft. Als ob die Mobilfunkpreise in der Bundesrepublik Deutschland nicht schon hoch genug wären!
Duolingo, eine beliebte Kurs- und Lernplattform vor allem für Fremdsprachen, hat die Daten von rd. 2,6 Millionen Nutzern „veröffentlicht“, jeweils Name, Nutzername und Mailadresse, ergänzt um intern erhobene Daten. Diese Goldgrube für Kriminelle steht jetzt jedem Interessierten für eine Handvoll Bitcoin zur Verfügung. Obwohl es zu dieser „Veröffentlichung“ kam, ist die Schwachstelle, die mutmaßlich zu dieser „Veröffentlichung“ führte, weiterhin vorhanden.
Jodel, eine Chat-App für Studenten, die zu blöd für XMPP sind, hat die Mailadressen seiner Nutzer „veröffentlicht“.
Discord.io hat seine gesamte Datenbank mit Daten zu rd. einer dreiviertel Million Nutzer „veröffentlicht“.
Die Schufa, eine große deutsche Auskunftei, bei der es kaum ein Mensch vermeiden kann, dass sich dort Bonitätsdaten über ihn sammeln, hat durch einen Programmierfehler in ihrer Bonify-App eine Zeitlang jedem Menschen ermöglicht, dass er Bewertungen zu beliebigen Personen anschauen kann [Archivversion der Golem-Meldung]. Auch für Bonitätsdaten gibt es keinen besseren Datenschutz als für andere Daten. Nur seriöser aussehende Versprechungen.
VirusTotal, ein von Google betriebener Dienst, mit dem man Dateien und Websites mit diversen Antivirusprogrammen auf Schadsoftware untersuchen kann, hat seine Nutzerdatenbank „veröffentlicht“. Auch bei Google sind eure Daten nicht sicher.
Xplain, ein Schweizer Dienstleister, hat polizeiliche Daten über 766 Fußballfans „veröffentlicht“. Nicht nur, dass Daten auch beim Staat nicht sicher sind, sie werden auch nicht nach Ablauf der gesetzlichen Frist gelöscht.
Ein Dienstleister mit bislang unbenannter Firmierung wurde von der Deutschen Bank und Postbank mit der Abwicklung von Kontoumzügen beauftragt, und dieser Dienstleister hat eine bislang unbenannte Anzahl Kundendatensätze „veröffentlicht“. Nicht, dass noch jemand glaubt, bei den großen Banken würde besser gearbeitet als bei den kleinen Klitschen!
Die Barmer, eine große Krankenkasse, hat ihre Daten an einen externen Dienstleister gegeben, und der wurde gecybert und hat die Daten „veröffentlicht“, immer schön mit Name, Versicherungsnummer, Bankverbindung und weiteren Daten. Die betroffenen Kunden sind bereits gewarnt: „Leider können wir nicht ausschließen, dass die abgeflossenen Daten im Internet verwendet werden oder Dritte sich als die betroffenen Personen ausgeben“, warnt die Barmer ihre Kunden. Folglich empfiehlt die Krankenkasse den Versicherten, im Hinblick auf fragwürdige Nachrichten oder Abbuchungen von ihrem Bankkonto fortan besonders wachsam zu sein. „Wir bedauern diesen kriminellen Vorfall sehr und tun alles dafür, einen möglichen Schaden zu vermeiden“, erklärt das Unternehmen weiter. „Für die Ihnen bereits jetzt entstandenen Unannehmlichkeiten bitten wir Sie um Entschuldigung“. Digital first, Cyber second, Hochdruck third, Fatalismus fourth.
Die AfD hat (natürlich ausgefüllte) Mitgliedsanträge ohne Zugriffsschutz in Web gestellt, also im wahrsten Sinne des Wortes veröffentlicht.
Indien hat „möglicherweise“ – es wird zurzeit offiziell dementiert – in einer sportlichen Leistung des Datenschleuderns die persönlichen Daten jener rd. eine Milliarde Staatsbewohner [!] „veröffentlicht“, die gegen Corona geimpft wurden. Was das für Daten sind, die beim Impfen erhoben wurden? Handynummer, nationale Identifikationsnummer, Ausweisnummer, Wahlausweise, weitere Angaben zur Familie. Wozu man diese Daten für eine Impfung benötigt? Ach, egal, man konnte die Daten erfassen und langfristig in einer Datenbank wegspeichern, damit man sie auch schnell wiederfindet, wenn man sie irgendwann mal für einen anderen Zweck benötigt. Wie gesagt, dieser Vorfall wird zurzeit offiziell dementiert, obwohl man sich auf einem botbetriebenen Telegram-Kanal einzelne Datensätze anschauen konnte, wenn man die Telefonnummer kannte. So etwas kann schließlich gar nicht passieren mit einer umfassenden, cloudbasierten IT-Lösung. Auch beim Staat sind Daten niemals sicher.
Gesundheit Nord, ein Verbund von Kliniken, hat eine noch unbekannte Menge Daten „veröffentlicht“, darunter auch Patientendaten. „Grundsätzlich besteht das Risiko, dass die abgeflossenen Daten durch unbefugte Dritte genutzt werden. Das heißt, dass jemand diese Daten nutzen könnte, um Ihnen zu schaden, beispielsweise um Sie zu diskriminieren, Ihren Ruf zu schädigen oder Sie finanziell zu schädigen. In jedem Fall bedeutet es den Verlust der Kontrolle über Ihre personenbezogenen Daten und den Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen“. Tja, ich habe nie daran geglaubt, dass „empfindliche Gesundheitsdaten“ besser geschützt sind als andere Daten; und ich werde deshalb zuweilen für einen technikfeindlichen Spinner gehalten. Digital first, Hochdruck second, Bedauern third, Fatalismus fourth.
FreeVPN, ein Dienstleister, der die kostenlose anonymisierende Nutzung des Internet durch verschleierte IP-Adressen verspricht, hat 300 Millionen [!] Datensätze seiner Nutzer „veröffentlicht“, einschließlich Mailadressen, Standortdaten, reale IP-Adressen und besuchte Websites. Von der zugesagten Anonymität ist nichts mehr übrig.
Die Stadt Basel hatte einen schönen Bildungsserver eduBS für Schüler und Lehrer, aber jetzt kann jeder für eine Handvoll Bitcoin die Daten kaufen. Nein, nicht Aufsatzversuche von Schülern, sondern zum Beispiel psychologische Berichte und andere empfindliche Daten über Schüler. Aber keine Sorge, auch der Herr Regierungsrat hat ein tröstlich Wort: „Jede Computerinfrastruktur ist anfällig“. Tja, dann kann man wohl leider nichts machen. Auch beim Staat sind Daten niemals sicher.
Discord hat eine noch unbekannte Menge Nutzerdaten „veröffentlicht“.
Toyota hat die Positionsdaten und teilweise auch die Außenaufnahmen der Videokameras seiner Autos über zehn Jahre hinweg offen und ohne jeden Zugriffsschutz in der „Cloud“ abgelegt und damit im wahrsten Sinn des Wortes veröffentlicht. Von dieser verantwortungslosen Datenschleuderei waren rd. zwei Millionen Kunden betroffen. Auch die Daten, die mit „smarten“ Autos erhoben und nach Hause gefunkt werden, unterliegen keinem besseren Schutz als andere Daten. Und auch große Unternehmen, die eine beachtliche Reputation haben, sind mit der sicheren Nutzung einer „Cloud“ überfordert.
Western Digital hat einen Großlaster Daten aus seinem Cloud-Dienst „veröffentlicht“. Bonus: Die entsprechenden Dienste sind jetzt offline. Hach, wie schön die Werber doch versprachen, dass Daten in der „Cloud“ sicher und permanent verfügbar seien. Schade nur, wenn jemand der Reklame geglaubt hat.
Die Sofy GmbH stellt eine von den Krankenkassen bezahlte Handy-App für Depressive her, die unter anderem Namen, Kundennummern, Mailadressen und Gesundheitsdaten der Nutzer „veröffentlicht“ hat. Nicht, dass noch jemand glaubt, „empfindliche Gesundheitsdaten“ stünden unter einem wirksameren Datenschutz als andere Daten! Gruß auch an die Krankenkassen, die so etwas finanzieren!
Das Kultusministerium von Nordrhein-Westfalen hat über Jahre hinweg einen beliebig auslesbaren Server im Internet betrieben und damit die Zugangsdaten von 16.557 Personen und darüber hinaus 3.765 Datensätze mit personenbezogenen Daten im wahrsten Sinn dieses Wortes veröffentlicht. Auch beim Staat sind Daten niemals sicher.
Twitter, eine aus mir nicht nachvollziehbaren Gründen immer noch beliebte Social-Media-Website, hat Teile seiner Quelltexte „veröffentlicht“. Ich gehe davon aus, dass diese geschäftlich wichtigen Daten besser geschützt werden sollten als die Datensammlungen über die Twitter-Nutzer. [Archivversion der Tagesschau-Meldung]
OpenAI, Betreiber eines beliebten und in der journalistischen Berichterstattung breit gewürdigten neuronales Netzwerk namens „ChatGPT“ zur Texterstellung, hat die Zahlungsinformationen von mindestens 1,2 % seiner Nutzer „veröffentlicht“. Ich erinnere mich noch gut daran, wie mich Menschen als „paranoid“ bezeichnet haben, weil ich Bedenken hatte, der dahinterstehenden Klitsche auch nur meine Telefonnummer zu geben, um ChatGPT einmal ausprobieren zu können. Mit den Menschen, die angesichts einer leicht entbehrlichen Funktionalität so wenig Bedenken haben, dass sie sogar Konto- und Kreditkartenzugriffe gestatten, habe ich nicht mehr das geringste Mitleid, selbst nicht, wenn sich der Datenabfluss im Nachinein als wesentlich größer herausstellen sollte. Vieleicht hätte OpenAI mal seine „künstliche Intelligenz“ fragen sollen, wie man Daten gegen unbefugten Zugriff sichert. [Archivversion]
H-Hotels, eine Hotelkette der Hospitality Alliance GmbH aus der Bundesrepublik Deutschland, hat neben dem üblichen Frachter persönlicher Daten auch Kopien von Personalausweisen, Krankenkassenkarten, Sozialversicherungsausweisen, Schwerbehindertenausweisen in rd. 6,6 GiB Daten „veröffentlicht“. Diese Daten sind jetzt für jeden Interessierten zugänglich. Im Dezember hieß es noch, dass überhaupt keine Daten abgeflossen seien. Warum so etwas überhaupt gespeichert wurde? „Bei den durch den Cyberangriff gestohlenen Daten von Mitarbeitenden handelte es sich um Kopien, die für wiederkehrende interne Geschäftsprozesse und die Überprüfung von Legitimationen verwendet und im Rahmen der gesetzlichen Vorgaben verarbeitet wurden. Die betroffenen Mitarbeitenden wurden entsprechend informiert“. Also aus rein technokratischen Gründen. Ich wünsche auch weiterhin viel Spaß dabei, bei jeder Gelegenheit Kopien von amtlichen Ausweispapieren anfertigen zu lassen, die dann für betrügerische Geschäfte aller Art verwendet werden können. Da lernt man eine Menge Staatsanwälte, Polizisten, Inkassobüros, Rechtsanwälte und eventuell auch Untersuchungsrichter kennen. Zum Beispiel, weil man eine Arbeitsstelle antritt. Digital first, Bedenken second, Hochdruck third. Archivversion der Meldung bei Golem.
Activision hat die Daten von 19.444 Mitarbeitern „veröffentlicht“.
Die Letzte Generation, eine vorwiegend junge Gruppe, die sich für eine energische politische Bekämpfung der Klimakatastrophe einsetzt, hat die persönlichen Daten von 2.200 Unterstützern ohne jeden Zugriffsschutz in die Google-Cloud gestellt und damit im wahrsten Sinn des Wortes veröffentlicht. Die Speicherung auf den Computern anderer Leute – es gibt ja gar keine „Cloud“, es gibt nur die Computer anderer Leute, auf denen maximal intransparent gespeichert wird – wäre bei diesen Daten bereits illegal gewesen. Auch bei den Menschen, die von Werbern als Digital Natives bezeichnet werden, weil sie mit datenschleudernden Überwachungsgeräten wie so genannten Smartphones großgeworden sind, sind Daten niemals sicher. [Archivversion der Golem-Meldung.]
Bitmarck, ein Dienstleister für Krankenkassen (und Hersteller der Vivy-App für Gesundheitsdaten), hat vermutlich nach einem personalisierten Phishing-Angriff – PR-Deutsch: „gestohlene Zugangsdaten“ – 350 MiB Daten aller Art „veröffentlicht“. Nur, falls noch jemand meint, Gesundheitsdaten wären in einem Umfeld gespeichert, in dem wegen der Sensibilität dieser Daten besonders streng auf Sicherheit und Datenschutz geachtet würde.
Twitter hat 235 Millionen Datensätze seiner Nutzer „veröffentlicht“, die jetzt für jeden Interessierten kostenlos zu haben sind. Darüber hinaus besteht der Verdacht, dass auch angegebene Telefonnummern für Kriminelle verfügbar sind. Was für ein Jammer, wenn man die Sicherheit seines Twitter-Kontos verbessern wollte, weil man mit Nervlayern dazu gedrängt wurde, und jetzt haben Kriminelle die Telefonnummer, die sie mit öffentlich verfügbaren Informationen für einen fiesen personalisierten Trickbetrug verwenden können.
Deezer, ein Streaming-Anbieter, hat die Daten von rd. 230 Millionen [!] Nutzern veröffentlicht, einschließlich Positionsdaten, Geschlecht, Mailadresse, Nutzername und IP-Adresse. Diese Daten stehen jetzt jedem Interessierten zur Verfügung. Mit lokalen Dateien wäre das nicht passiert.
Das Lake Charles Memorial Health System, ein Krankenhaus in Louisiana, USA, hat die eingesammelten Daten über 269.752 Patienten „veröffentlicht“. Die Krankenakten waren nicht dabei, nur der geschäftliche Teil, der weit genug in die Intimsphäre der betroffenen Menschen hineinragt. Die Vorstellung, dass Sammlungen von empfindlichen Gesundheitsdaten besser geschützt werden als andere Daten, ist nichts als Aberglaube. Leider kann man sich als Mensch nicht gegen die Datensammlei im Gesundheitswesen zur Wehr setzen, indem man einfach keine Daten angibt. Man ist dort den Zuständen ausgeliefert. Und alles landet irgendwann bei anderen, seien es halbseidene Geschäftsleute, seien es offen kriminelle Zeitgenossen.
Die USA haben in Afghanistan eingesammelte biometrische Daten veröffentlicht. Wie öffentlich? Man kann die Daten auf Gebrauchtgeräten kaufen. Auch die Taliban können diese Daten auf Gebrauchtgeräten kaufen, damit der Henker etwas zu tun bekommt. Mit biometrischen Datensammlungen wird genau so verantwortungslos und grenzkriminell umgegangen wie mit anderen Datensammlungen, und nein, bei einem Staat ist nichts sicher.
Twitter hat möglicherweise die Daten von 400 Millionen Nutzern [!] durch fehlerhafte Programmierung „veröffentlicht“. Das Wort „möglicherweise“ steht hier lediglich aus juristischen Gründen, und nicht, weil ich nicht an die Datenschleuderei Twitters glaubte.
LastPass, Anbieter eines Passwortmanagers, der die Daten in der „Cloud“ speichert, damit man auch schön mit allen Geräten überall Zugriff darauf hat, hat seine so genannten Passworttresore „veröffentlicht“, obwohl neulich noch behauptet wurde, dass niemand darauf unbefugten Zugriff hatte. Wer ein unsicheres oder kurzes Masterpasswort verwendete, hat damit seine gesamten Passwörter in die Hände von Kriminellen gegeben. Auch weiterhin viel Spaß beim festen Glauben an die Datensicherheit in der so genannten „Cloud“, was übrigens nur ein Reklamewort für die Computer anderer Leute ist.
Gemini, ein Handelsplatz für Kryptogeld, hat die Daten von rd. 5 Millionen Benutzern „veröffentlicht“, die jetzt jeder Interessierte für eine Handvoll Bitcoin kaufen kann.
WhatsApp, eine beliebte Chatsoftware für so genannte „Smartphones“, hat über 480 Millionen Telefonnummern „veröffentlicht“, das sind die Telefonnummern von einem Viertel aller WhatsApp-Nutzer. Diese Daten werden jetzt unter Kriminellen gehandelt. [Archivversion des Tarnkappe-Artikels]
Die Polizei Zwijndrecht (Belgien) hat ihre Datenbank mit Einträgen aus dem Zeitraum vom Jahr 2006 bis zum Jahr 2022 „veröffentlicht“. Ich zitiere zu näheren Einzelheiten nur die Überschrift des VRT-Artikels in niederländischer Sprache [Archivversion]: „Von Personallisten bis zu Fotos von Kindesmissbrauch: Hacker stellt Daten aus dem Polizeirevier Zwijndrecht online“. Auch in den Datensammlungen des Staates sind Daten niemals sicher. Nachtrag 27. November 2022: Deutschsprachiger Artikel bei Tarnkappe [Archivversion].
Die Kreisverwaltung des Kreises Rheinland-Pfalz hat nach einem so genannten „Cyberangriff“ – der im Wesentlichen darin bestanden haben dürfte, dass ein Mitarbeiter in eine E-Mail geklickt hat und keine Chance hatte, den gefälschten Absender zu bemerken, weil in der Verwaltung der BRD auf digitale Signaturen verzichtet wird – eine größere Menge staatlich eingesammelter Daten veröffentlicht, unter anderem Daten zu Kriegsflüchtlingen aus der Ukraine und zu Verweigerern der letzten Volkszählung. Auch beim Staat sind Daten niemals sicher.
Medibank, eine private Krankenversicherung aus Australien, hat eine Großladung weit in die Privat- und Intimsphäre hineinragender Daten ihrer Kunden „veröffentlicht“. Teile dieser Daten – unter anderem zu Abtreibungen und Suchterkrankungen – stehen gerade für jeden Menschen frei zur Verfügung, der daran Interesse hat. Auch für die „besonders empfindlichen“ Gesundheitsdaten gibt es keinen anderen wirksamen Datenschutz als Datenvermeidung. Sie sind nirgends sicher. Und nein, sie werden nicht „besonders gesichert“.
Microsoft bietet seinen Kunden zwar Cloud-Dienste an, aber das heißt noch lange nicht, dass Microsoft dazu imstande wäre, seine in der eigenen Cloud gespeicherten Daten vor fremden Zugriffen zu schützen. Dann stehen halt mal persönliche Daten von über 65.000 Kunden im offenen Internet. Veröffentlicht von Microsoft. In deren Cloud müsst ihr eure Daten abkippen. Die ist sicherheitstechnisch so leicht fehlzukonfigurieren, das passiert sogar Microsoft.
Toyota hat die Daten von rd. 300.000 Kunden „veröffentlicht“ [Archivversion der ZDF-Meldung].
TAP, die staatliche Fluggesellschaft Portugals, hat die Daten von 1,5 Millionen Kunden „veröffentlicht“.
Uber hat einem 18-Jährigen, der es offenbar wegen des Verzichts auf digitale Signaturen und wirksame Kryptografie in der unternehmensinternen Kommunikation geschafft hat, sich erfolgreich als jemand anders auszugeben, mal eben einen Vollzugriff auf sämtliche Daten gegeben und stand danach vor den rauchenden Trümmern seiner digitalen Infrastruktur, die ärgerlicherweise das einzige Geschäft des Unternehmens ist. Der Hacker bekam bei seinem nicht von großen Schwierigkeiten begleiteten Vorgehen „den Anschein, dass da ein Kind bei Uber einbrechen konnte“ und hat immer noch vollständigen Zugriff. Über die Menge dabei abgreifbarer Daten ist noch nichts Offizielles mitgeteilt.
Xinai Electronics, ein chinesischer Betreiber von Überwachungskameras in der Volksüberwachungsrepublik China, hat seine gesammelten Daten – hochauflösende Gesichtsbilder, persönliche Informationen der Überwachten (Name, Alter, Geschlecht, staatliche ID-Nummer) sowie Autokennzeichen – in Form einer Datenbank mit sportlichen 800 Millionen Datensätzen [!] ohne Zugriffsschutz im Internet abgelegt und damit im wahrsten Sinne des Wortes veröffentlicht. Für den Zugriff auf diese Goldgrube für Kriminelle war lediglich ein Webbrowser erforderlich. Keiner von den vielen Menschen, dessen Daten jetzt Freiwild sind, konnte etwas gegen die Überwachung tun. Aber wenigstens hat Xinai in seiner Reklame behauptet, dass die Daten bei ihnen sicher sind.
Entrust, eine Unternehmung, die ihren gewerblichen Kunden Dienstleistungen für die digitale Sicherheit anbietet, hat mindestens 627 Datenbanken mit insgesamt rd. 11,7 Milliarden Datensätzen veröffentlicht, die jetzt jedem Menschen zur Verfügung stehen, der einen Webbrowser bedienen kann [Archivversion der Download-Seite, Hintergrund bei Tarnkappe].
Creos, ein europäischer Betreiber von Gasleitungen mit Sitz in Luxemburg, hat 150 Gigabyte Daten aller Art „veröffentlicht“, darunter auch Kundendaten einschließlich der Kopien von Ausweisdokumenten.
Twitter hat durch einen groben Programmierfehler im API für seine Android-App die Daten von rd. 5,5 Millionen Twitter-Nutzern veröffentlicht, jeweils Nutzername, Klarname, Mailadresse und Telefonnummer. Diese Ressource für Kriminelle kann nun jeder Interessierte für eine Handvoll Bitcoin erwerben. Statt einer eigenen Anmerkung verweise ich auf eine Anmerkung im Heise-Forum, die hoffentlich klar genug ist, um verständlich zu machen, warum „veröffentlicht“ hier ohne Anführungszeichen steht.
MangaToon, eine Plattform für die Leser von Comics, hat die Daten von 23 Millionen Nutzern veröffentlicht. Ich mache keine Anführungszeichen um das Verb „veröffentlichen“. Die Daten lagen nicht völlig offen im Netz. Sie waren durch ein Passwort geschützt. Dieses lautete „password“. Da kann man es auch lassen…
Die „Volksrepublik“ China hat vermutlich polizeilich erhobene Daten zu mehr als einer Milliarde Chinesen „veröffentlicht“, die jetzt jeder Interessierte für eine Handvoll Bitcoin kaufen kann. Auch beim Staat sind Daten niemals sicher.
Ein Mitarbeiter eines nicht genannten IT-Dienstleisters hat die von der Stadtverwaltung gesammelten persönlichen Daten von rd. 460.000 Einwohnern der japanischen Stadt Amagasaki auf einen Speicherstick kopiert, in eine Tasche gesteckt und nach Feierabend ordentlich einen über den Durst getrunken, so dass er auf der Straße einschlief. Als er wieder aufwachte, war die Tasche mit den Daten weg. Auch bei Staat und Verwaltung sind Daten niemals sicher. Aber erfreulicherweise sollen die Daten verschlüsselt gewesen sein, so dass wohl niemand Zugriff darauf hatte.
Mindestens zwei von den Krankenkassen der Bundesrepublik Deutschland finanzierte Gesundheits-Apps sind zwar teuer und medizinisch eher von zweifelhaftem Nutzen, aber zum Ausgleich dafür üble Datenschleudern [Weitere Archivversion der Tagesschau-Meldung, Archivversion der Quelle bei Zerforschung]. Früher haben die Krankenkassen noch Brillen bezahlt, das war datenschonender, preiswerter und für die Menschen, die wieder sehen konnten, hilfreicher. Heute bezahlen sie jeden Müll.
Coinsio.com, eine Handelsplattform für Kryptogeld, hat seine Kundendatenbank „veröffentlicht“, jeweils Username, Klarname, Mailadresse, Telefonnummer, Land, Telefonnummer und verschlüsseltes Passwort und weitere Angaben. Diese Daten sind jetzt für jeden Interessierten frei verfügbar.
Die Merlin Entertainments Group hat Buchungen aus einem Zeitraum von sieben Jahren für das „Legoland“ ohne Zugriffsschutz ins Internet gestellt und damit veröffentlicht; jeweils Name, Anschrift, Reisezeitraum und Mitreisende. Auch weiterhin eine gute Reise!
Ein Rechtsanwalt aus Berlin hat über 100 Gigabyte [!] teils höchst vertraulicher Daten über einen Cloud-Dienstleister ohne jeden Zugriffsschutz ins offene Internet gestellt und damit veröffentlicht. Er hat übrigens offensiv um Mandanten im Bereich Internetkriminalität geworben [Archivversion].
Raidforums.com, ein „Hackerforum“, hat selbst 427 Gigabyte Daten aller Art „veröffentlicht“. Tja, Hacker hacken eben. Im Datenbestand enthalten sind viele Kombinationen von Mailadresse und Passwort, letzteres oft im Klartext gespeichert…
Tuxedo Computers hat über ein Webshopsystem mit Sicherheitslücken die Daten seiner Kunden „veröffentlicht“, einschließlich Mailadressen und unzureichend gehashter Passwörter.
OpenSubtitles hat die Daten seiner Nutzer „veröffentlicht“.
Österreich-testet.at, eine österreichische Plattform für Corona-Tests, hat Daten aller getesteten Nutzer dieser Plattform für jeden Apotheker in Österreich zugänglich gemacht, mit Name, Anschrift, Sozialversicherungsnummer, Telefonnummer, E-Mail-Adresse und Testergebnisse. Auch für Gesundheitsdaten gilt weiterhin der „Industriestandard“ des Datenschutzes: Digital first, Bedauern second. Der Entdecker der Datenschleuderei wurde übrigens zum Dank für seine Entdeckung… nein, nicht belohnt… gekündigt.
Die taz hat Mailadressen, Mailverkehr und vermutlich weitere Daten ihre Abonennten und Kontakte „veröffentlicht“. Inzwischen, mindestens vier Tage später, sind die Betroffenen auch informiert worden: „Wir bedauern sehr, dass es zu dieser Panne gekommen ist und hoffen, dass für Sie kein Schaden entsteht“ – wie bei jeder Datenschleuderei gilt auch hier: Digital first, Bedauern second.
Sennheiser hat ältere Daten ohne Zugriffsschutz in der Cloud abgelegt und damit im wahrsten Sinn des Wortes veröffentlicht. Über die genauen Inhalte ist nichts bekannt, aber es ist die Rede davon, dass es sich um eine Goldgrube für Kriminelle handelt.
Gravatar, ein vom WordPress-Macher Automattic betriebener Dienst für „webweite Avatare“, der übrigens in den Kern von WordPress integriert ist, hat die Daten von rd. 144 Millionen registrierten Nutzern „veröffentlicht“, die jetzt jeder Interessierte erwerben kann.
GoDaddy, ein großer Webhoster, hat die Daten von 1,2 Millionen Kunden „veröffentlicht“, die dort ihr WordPress hosten ließen. „Wir bedauern diesen Vorfall und die Besorgnis, die er bei unseren Kunden hervorruft, aufrichtig“. Digital first, Bedauern second.
Robinhood, Anbieter einer App für Trading und Spekulation in diversen Handelswerten, hat die Daten von sieben Millionen Kunden „veröffentlicht“. Diese Daten kann jetzt jeder Interessierte oder angehende Anlage- oder Vorschussbetrüger für eine Handvoll Bitcoin kaufen.
Mein-schnelltest.com, betrieben von der WeCare Services, hat die Daten von rd. 400.000 Menschen veröffentlicht, die einen Corona-Schnelltest gemacht haben, immer schön Name, Mailadresse, Geburtstag, Geschlecht, Telefonnummer, Anschrift, Ausweisnummer. Und natürlich auch die Testergebnisse, damit auch niemand anfängt zu glauben, dass sensible medizinische Daten unter einem besseren Schutz als andere Daten stünden. Diese Goldgrube für Kriminelle lag völlig ungeschützt im Internet. Für den Zugriff war nur ein Webbrowser erforderlich.
Verschiedene Polizeien in den USA haben aus ihren Polizeihubschraubern gefilmtes Videomaterial ohne Zugriffsschutz in der „Cloud“ abgelegt und damit veröffentlicht. Das polizeiliche Überwachungsmaterial ist dermaßen hoch aufgelöst, dass auch Menschen identifizierbar sind, die vermutlich nicht einmal den für sie weit entfernten Hubschrauber gehört haben. Auch beim Staat sind Daten niemals sicher.
Argentinien hat die Ausweisdatenbank mit Informationen zu 45 Millionen Bewohnern des Landes „veröffentlicht“. Diese Daten kann jetzt jeder für eine Handvoll Bitcoin kaufen, der daran Interesse hat. Auch beim Staat sind Daten niemals sicher
Twitch, ein Streaming-Dienstleister, der hauptsächlich für das Streamen von Computerspielen benutzt wird, hat nicht nur seine Datenbank „veröffentlicht“, die unter anderen tiefe Einblicke in die Bezahlung einiger Streamer gibt, sondern überdem den kompletten Quelltext seiner Plattform und diverse weitere Daten. Nachtrag: Deutschsprachiger Artikel bei Heise Online.
Das Königreich Thailand hat die Daten von 106 Millionen [!] Thailand-Reisenden ohne Zugriffsschutz im Internet abgelegt und damit im wahrsten Sinne des Wortes veröffentlicht. Auch beim Staat sind Daten niemals sicher.
T-Mobile hat die Daten von Millionen US-Kunden veröffentlicht [Archivversion]. Nein, nicht nur US-Kunden, sondern auch „potenzielle Kunden“. Was das sein soll? Vermutlich ein anderes Wort für „Menschen, deren Daten wir einsammeln oder aufkaufen konnten, um sie mit Reklame vollzumüllen“.
Die Vereinigten Staaten von Amerika haben eine geheime Datenbank über rd. 1,9 Millionen Menschen, die sie für terrorverdächtig oder terrorunterstützend halten, ohne Zugriffsschutz ins Internet gestellt und damit veröffentlicht. Auch beim Staat sind Daten niemals sicher.
Titanic, nach eigenen Angaben das endgültige Satiremagazin, hat endgültig ein paar Daten einer unbekannten Anzahl von Webshop-Kunden im Internet veröffentlicht. Mit Namen und Telefonnummer. Ist doch schön, wenn man angerufen wird.
DreamHost [Archivversion], ein sehr großer Hoster von Websites, hat eine 86,15 GiB große Datenbank mit rd. 815 Millionen Datensätzen veröffentlicht, also ohne jeden Zugriffsschutz ins offene Internet gestellt. Natürlich waren darunter auch Kundendaten. Vielleicht hätten sie mal jemanden fragen sollen, der sich mit Hosting auskennt.
Spreadshirt, ein Dienstleister, der den Verkauf von T-Shirts mit beliebigen Motiven ermöglicht, hat eine unbekannte Menge Daten „veröffentlicht“ [Archivversion]. Immerhin waren die Passwörter nicht im Klartext gespeichert…
Die UEFA hat mindestens die E-Mail-Adressen registrierter Website-Nutzer im offenen Internet ohne Zugangsbeschränkungen veröffentlicht. Die Nutzung so genannter „Hackertools“ war für den Zugriff auf die Daten nicht erforderlich.
Modern Solution, ein Dienstleister für kleinere Einzelhändler, der etwa von Otto, Check24 und Idealo kleinen Händlern angeboten wird, hat jedem seiner Kunden (also jedem Einzelhändler) den Zugriff auf die Kundendaten aller Einzelhändler (also der Endkunden) ermöglicht. Tja, mit getrennten Datenbanken für jeden Einzelhändler wäre das nicht passiert, aber wer interessiert sich für Sorgfalt? Sind doch nur Daten.
CVS, ein großer Gesundheitskonzern, hat seinen Cloudspeicher nicht sicher konfiguriert und eine rd. 204 GiB große Datenbank mit über einer Milliarde Einträgen zu Gesundheitsdaten von Menschen veröffentlicht. Nach Meinung von CVS war für das Datenleck ein Dienstleister verantwortlich. Da kann man leider nichts machen, bei Computern passiert so etwas halt, und der Dienstleister war auch nicht so pralle. Ich wünsche viel Spaß beim festen Glauben an den Datenschutz im Gesundheitswesen!
Coronapoint, ein kommerzieller Anbieter von Coronatests, hat persönliche Daten, Personalausweis-Nummern und Testergebnisse ins offene Web gestellt. Spezielle „Hackertools“ waren nicht erforderlich. Nachdem Coronapoint über die Datenschutzlücken informiert wurde und nach eigenen Aussagen die Fehler behoben hat, waren die Daten weiterhin verfügbar. Mit Gesundheitsdaten wird keine Spur sorgfältiger umgegangen als mit anderen Daten. [Archivversion]
Der Arbeiter-Samariter-Bund hat Namen, Wohnanschriften und Telefonnummern von Menschen veröffentlicht, die einen Coronatest gemacht haben.
Die Schweiz hat anlässlich der Corona-Pandemie einen digitalen Impfausweis ausgegeben, der jeden Menschen den Vollzugriff (einschließlich Schreibrecht) auf die Gesundheitsdaten anderer Menschen ermöglichte. Auch mit tief in die Privat- und Intimsphäre ragenden Gesundheitsdaten wird nicht besser umgegangen als mit anderen Daten, auch von staatlichen Stellen nicht.
Axa, ein großer internationaler Versicherungskonzern, hat nach einem kriminellen Angriff von Erpressern rd. drei Terabyte Daten zu Versicherten „veröffentlicht“, neben persönlichen Daten auch Krankenakten und Angaben zu versicherten Objekten. Diese Daten sind jetzt in der Hand von Verbrechern.
Die CDU hat eine App für ihre Wahlkampfhelfer erstellen lassen, deren API es über Jahre hinweg ermöglichte, die persönlichen Daten von rd. 18.500 Wahlkampfhelfern und rd. 1.350 angeworbenen Unterstützern im Internet einzusehen [Archivversion]. Nur, damit wir alle deutlich sehen, wie viel Kompetenz in Sachen Datenverarbeitung und Datenschutz es in dieser Partei gibt. Kleines Zusatzleckerchen: Die Daten wurden teilweise auf Computern anderer Leute (von Werbern „Cloud“ genannt) außerhalb der Europäischen Union gespeichert, in diesem Fall auf Computern der größten privatwirtschaftlichen Datensammlungs- und Überwachungsunternehmung der Welt, Google. Nachtrag: Auch die bayerische CSU und die österreichische Volkspartei haben Daten geschleudert. Das scheint so ein Modesport unter „konservativen“ Parteien zu sein.
Gorillas, ein Lieferdienst für Lebensmittel, hat die Daten von rd. 200.000 Kunden (und der Gorillas-Fahrer) ins offene Internet gestellt und damit veröffentlicht. Die Daten umfassten jeweils Name, Anschrift, Mailadresse und Telefonnummer, die Details zu rd. einer Million Bestellungen und häufig sogar Fotos der Haustür und/oder des Klingelschildes. [Archivversion]
Die Basis, eine den „Querdenkern“ nahestehende Partei, hat die persönlichen Daten von tausenden ihrer Mitglieder im Internet veröffentlicht. Für den Zugriff waren keine vertieften Kenntnisse und keine „Hackertools“ erforderlich, es reichte ein Webbrowser. [Archivversion des Tagesspiegel-Artikels, Archivversion des AnonLeaks-Artikels]
Clubhouse, eine während der Corona-Pandemie von Journalisten aus Presse und Glotze mit aufdringlicher Schleichwerbung systematisch hochgeschriebene S/M-App ausschließlich für Apple-Nutzer, hat die Daten zu 1,3 Millionen Nutzern „veröffentlicht“. Wenn es um Datenschutz geht, ist man mit dem Rat eines Journalisten meist schlecht beraten.
Eventus Media International hat die Daten mehrerer tausend Menschen veröffentlicht, die einen Corona-Test gemacht haben, jeweils Wohnanschrift, Mailadresse, Geburtsdatum, Datum des Tests und Testergebnis. Auch mit Gesundheitsdaten wird kein bisschen verantwortungsvoller umgegangen als mit anderen Daten, und das wird sich auch nicht ändern. Oder, um es mit der Eventus Media International zu sagen: „Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden“. Digital first, Entschuldigung second. [Archivversion der Tagesschau-Meldung]
Facebook, ein beliebter Social-Media-Anbieter, hat seine Anwender jahrelang genötigt und später sogar gezwungen, „wegen der Sicherheit“ eine Telefonnummer zu hinterlegen. Die Folge: Facebook hat nicht nur auf noch unbekannte Weise die Facebook-ID, Geodaten, Mailadressen, Geschlechtsangaben und weitere Daten aus dem Profil von rd. 533 Millionen Nutzern veröffentlicht, sondern auch die Telefonnummern. Diese Daten stehen zurzeit jedem Menschen zur Verfügung, der daran Interesse hat, vom Werber bis zum Trickbetrüger. Das muss diese „zusätzliche Sicherheit“ durch unnötig exzessive Datenangabe sein!
Medicus.ai hat die weit in die Privat- und Intimsphäre der betroffenen Menschen hineinragenden Daten zu 160.000 Corona-Testergebnissen für jeden angemeldeten Nutzer ihrer Plattform zugänglich gemacht und somit veröffentlicht. Der Zugriff erforderte keine besonderen Hilfsmittel oder gar „Hackertools“. Er war mit jedem Webbrowser möglich. Auch weiterhin viel Spaß beim festen Glauben an den guten Datenschutz von Gesundheitsdaten!
SEO-Küche hat offenbar seine komplette Datenbank im offenen Internet veröffentlicht, voll mit persönlichen Informationen zu Kunden und Mitarbeitern und Zugangsdaten aller Art und Kunden-Logdateien über sieben Jahren.
Ticketcounter hat eine Datenbank mit 1,9 Millionen Kundendatensätzen (jeweils vollständiger Name, Mailadresse, Telefonnummer, IP-Adressen) ungesichert im Internet abgelegt und damit im wahrsten Sinn des Wortes veröffentlicht. Ein „Hack“ war nicht erforderlich. Diese Daten stehen jetzt jedem zur Verfügung, der daran Interesse hat.
Die Funke-Mediengruppe hat mutmaßlich millionenfach Daten von Gewinnspielteilnehmern offen ins Web gestellt und damit im wahrsten Sinn des Wortes veröffentlicht. Um an diese Daten zu kommen, war nur ein Webbrowser erforderlich.
Gab, eine Social-Media-Website mit unregulierter Meinungsäußerung und großer Beliebtheit bei US-amerikanischen Rechtsextremisten, hat große Teile seiner Datenbank „veröffentlicht“, einschließlich nicht-öffentlicher Kommunikation zwischen den Nutzern.
Die brasilianische Bonitäts-Auskunftei Seresa Experian, die ungefähr der Schufa in der BRD entspricht, ist vermutlich für die „Veröffentlichung“ von weit in die Privatsphäre ragenden Daten von 220 Millionen Brasilianern [!] sowie von Daten zu 104 Millionen Kraftfahrzeugen verantwortlich… auch, wenn sie sich keiner Verantwortung bewusst ist. Bei der Kombination aus exzessiver Datenhaltung und „Veröffentlichung“ ist ja noch nie verantwortlich gewesen, wer die Daten sammelt und nicht ausreichend gegen Zugriff sichert. Diese Daten stehen jetzt für eine Handvoll Bitcoin jedem Verbrecher zur Verfügung, der daran Interesse hat. Merke: Auch Daten, die an irgendwelche Auskunfteien weitergegeben werden, wenn man ein Konto eröffnet oder einen Ratenzahlungsvertrag abschließt, sind niemals sicher; die dazu erzwungene „Zustimmung“ ist eine Nötigung und Zumutung.
MeetMindful, eine Dating-Site für Lifestyleesoteriker, hat 1,2 GiB Daten seiner Nutzer „veröffentlicht“, die nicht nur Aufschluss über Körperbau und sexuelle Vorlieben geben, sondern auch für einen kriminellen Identitätsmissbrauch völlig hinreichend sind. Diese Daten stehen nun kostenlos jedem zur Verfügung, der daran Interesse hat.
Nitro Software Inc. hat die Daten von 77 Millionen Nitro-PDF-Nutzern „veröffentlicht“, die jetzt jedem Interessierten zur Verfügung stehen. Das ist ein guter Grund, sich mal zu fragen, warum man eigentlich für eine lokal laufende Software einen Account bei einem Unternehmen eröffnen muss.
Parler, ein Social-Media-Dienst, der völlig unmoderierte „freie Rede“ verspricht und deshalb bei politischen Extremisten beliebt ist, hat angeblich 70 Terabyte Daten aller Art „veröffentlicht“.
Russland hat die Daten mehrerer hunderttausend COVID-19-Patienten „veröffentlicht“. Auch beim Staat sind Daten niemals sicher. [Archivversion der RT-Meldung]
Canon hat eine Datenbank mit Daten zu sämtlichen Mitarbeitern im Zeitraum von 2005 bis 2020 „veröffentlicht“. Auch beim Brötchengeber sind Daten niemals sicher.
Spotify hat die Zugangsdaten von rd. 350.000 Nutzern „veröffentlicht“ – die Passwörter in den öffentlich gewordenen Daten liegen unverschlüsselt vor. Ob sie bei Spotify unverschlüsselt gespeichert werden (was ein Verstoß gegen die bewährte Praxis des Datenschutzes wäre), oder ob sie nachträglich von anderen ermittelt wurden, ist unklar. Weniger überraschend ist, dass der Wohnort und die Mailadresse zum Datenbestand gehören.
Scalable Capital, ein Finanzdienstleister aus der Bundesrepublik Deutschland, hatte einen Mitarbeiter, der die Daten zu rd. 31.000 Kunden an Verbrecher weitergab – diese Daten werden zurzeit aktiv für kriminelle Angriffe gegen die betroffenen Kunden benutzt. Bonus: Scalable Capital hat die Kunden ein halbes Jahr lang uninformiert gelassen, obwohl bekannt war, dass die Daten abgeflossen sind. [Archivversion der Meldung auf Business Insider]
Vastaamo, eine finnische „Therapiefirma“, die Psychotherapien durchführt, hat nach Angaben der Kriminellen rd. 40.000 ganz weit in die Privat- und Intimsphäre der Patienten ragende Datensätze „veröffentlicht“, die jetzt unter anderem für Erpressungen der Patienten verwendet werden.
QIUI, der Anbieter von „smarten“ Sexspielzeug der Marke „Cellmate“ für die BDSM-Freunde, hat nicht so richtig auf die Privat- und Intimsphäre seiner Nutzer geachtet und Nutzername, Klartext-Passwort, E-Mail-Adresse, Telefonnummer, Geschlecht, plattforminterne Kontakte und GPS-Koordinaten aller Nutzer für den Zugriff ohne Authentifikation ins Internet gestellt und damit im wahrsten Sinn des Wortes veröffentlicht.
Die argentinische Einwanderungsbehörde hat zwei Gigabyte staatlich eingesammelter Daten „veröffentlicht“, darunter die Reisepassdaten von mehreren hunderttausend Menschen, die jetzt jedem daran interessierten Kriminellen zur Verfügung stehen. [Archivversion der Tagesschau-Meldung]
Gastronovi, ein cloudbasiertes System zur Datenspeicherung für gastronomische Betriebe, hat so riesige und leicht auszunutzende Datenlecks gehabt, dass eine kurze Beschreibung schwerfällt. Deshalb eine Kompression des verlinkten Textes: „Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants […] Zugriff auf 4,8 Millionen Personendatensätze aus über 5,4 Millionen Reservierungen […] reichten die dort vorliegenden Daten fast zehn Jahre zurück […] mehrere Schwachstellen […] konnte durch eine fehlerhafte Prüfung der Zugriffsrechte administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangt werden […] auch ohne besondere Rechte Zugriff auf schützenswerte Daten […] Passwörter unzureichend geschützt, sie konnten mittels einfacher API-Abfrage abgerufen werden […] Passwörter im Klartext verfügbar“. Da will die Hand gar nicht wieder aus dem Gesicht heraus. So „verantwortungsvoll“ wird mit Daten umgegangen, die sie einem Unternehmen gegenüber angeben. Oder vielleicht vor zehn Jahren einmal angegeben haben, ohne heute noch davon zu wissen.
Freepik und Flaticon, Anbieter herunterladbarer Bilder und Piktogramme, haben die E-Mail-Adressen und zum Glück gut gehashten Passwörter von 8,3 Millionen Nutzern „veröffentlicht“.
Social Data, ein „Datenanalyseunternehmen“, hat die teilweise weit in die Privatsphäre hineinragenden und teilweise Geschäftsgeheimnisse umfassenden Daten von 235 Millionen Nutzern [!] diverser Social-Media-Sites in einer ungeschützten Datenbank mit neunzig Milliarden Einträgen [!] völlig ungeschützt ins Internet gestellt und damit im wahrsten Sinn des Wort veröffentlicht. Ein „Hack“ war nicht erforderlich.
Das Niedersächsische Ministerium für Wissenschaft und Kultur hat die Fördergeld-Antragsdaten (unter anderem Name, Anschrift, Bankverbindung, Ausweiskopie) bei der Online-Antragstellung nicht nur offen ins Web gestellt und damit im wahrsten Sinn des Wortes und ohne jedes Anführungszeichen veröffentlicht – es reichte die Benutzung eines Webbrowsers, um an die Daten zu kommen – sondern sogar für jeden Menschen nachträglich bearbeitbar gemacht, so dass man auch seine eigene Kontonummer in die Anträge anderer Antragsteller eintragen konnte. Auch beim Staat sind Daten niemals sicher!
Xing hat die E-Mail-Adressen, Benutzernamen und Passwörter seiner Nutzer „veröffentlicht“. Immerhin wurden die Betroffenen mal unterrichtet, nachdem Xing davon unterrichtet wurde, dass diese Daten schon unter Kriminellen umlaufen.
UFO-VPN, FAST-VPN, Free-VPN, Super-VPN, Flash-VPN, Secure-VPN und Rabbit-VPN, Anonymisierungsdienstleister für das Internet, haben rd. 1,2 TiB personenbezogene Daten für über zwanzig Millionen Nutzer ohne jede Zugriffsbeschränkung ins Internet gestellt und damit im wahrsten Sinne des Wortes veröffentlicht. Bonus: Diese langfristige Speicherung von Daten und Datensammelei war genau das, was diese Anbieter in ihrer Reklame nicht zu tun versprochen haben. Nicht, dass hier noch jemand an Datenschutz glaubt, nur weil in den Werbelügen davon die Rede ist!
Foodora (also known as Lieferheld) hat schon vor ein paar Jahren die Daten von 727.000 Kunden veröffentlicht, einschließlich exakter Geoposition für eine Lieferung und natürlich einschließlich Mailadresse. Betroffene Kunden haben das nicht etwa von Foodora (not known as Datenschutzheld) erfahren, sondern aus der allgemeinen Presse.
Oracle, eigentlich durch seine Datenbank bekannt, hat sich auch in Menschenüberwachung im Internet diversifiziert und leider nicht so sehr auf Datensicherheit geachtet, so dass Milliarden Tracking-Datensätze ohne jeden Zugriffsschutz im Internet veröffentlicht wurden.
3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating und GHunt sowie weitere Dating-Apps haben 845 Gigabyte weit in die Privat- und Intimsphäre ihrer Nutzer reichende Daten (einschließlich Chats, sexuelle Videos, sexuelle Audiochats und dergleichen) ohne Zugriffsschutz in der „Cloud“ abgelegt und damit veröffentlicht. Wer ein richtiger Exhibitionist ist, wird davon vielleicht sogar angemacht, aber bei den meisten Menschen ist das eher nicht der Fall.
Easyjet, eine britische Fluggesellschaft, hat die Daten von 9 Millionen Kunden „veröffentlicht“, in mindestens 2.000 Fällen einschließlich Zugriffsmöglichkeit auf die Kreditkarte [Archivversion].
Die Technischen Werke Ludwigshafen, ein regionaler Stromversorger, haben ihre gesamte Kundendatenbank indirekt „veröffentlicht“, indem sie Erpressern durch unvorsichtigen Umgang mit E-Mail darauf „Zugriff gegeben“ und anschließend das Zahlen von Lösegeld verweigert haben, so dass es zur Veröffentlichung der Datenbank durch die Verbrecher kam. Aber immerhin bitten die TWL ihre Kunden nach dem Bekanntwerden der Kunden-Mailadressen nun darum, „verdächtige E-Mails von unbekannten Absendern sofort zu löschen. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden“. Wären sie bei den TWL doch nur selbst so vorsichtig mit E-Mail gewesen! Dann wäre das nicht passiert.
Die Bundesrepublik Österreich hat die Daten von elf Prozent ihrer Bevölkerung völlig offen und ohne jeden Zugriffsschutz ins Internet gestellt, ein „Geschenk der Republik an jeden Datenhändler und Identitätsdieb“. Auch beim Staat sind Daten niemals sicher.
Le Figaro, eine bekannte französische Zeitung, hat eine acht Terabyte große Datenbank ohne ausreichenden Zugriffsschutz im Internet abgelegt und damit veröffentlicht. Im Datenbestand waren auch die Namen, Anschriften, E-Mail-Adressen und Passwörter aller Abonnenten, die Passwörter entweder schlecht gehasht oder gleich im Klartext gespeichert.
Sheffield, eine britische Stadt, hat ihre Überwachungsdaten von automatischen Autokennzeichen-Scannern im Internet veröffentlicht. Ein „Crack“ war nicht erforderlich. Es gab keinerlei Zugangsbeschränkungen. Jeder Mensch auf der Welt konnte die Bewegungen beliebiger Kraftfahrzeuge nachvollziehen oder sogar nachträglich manipulieren. Um die Auswertung der Daten durch interessierte Dritte zu vereinfachen, gab es sogar eine offene Karte der Stadt, auf der jeder Mensch die Wege beliebiger Fahrzeuge unmittelbar nachvollziehen konnte. Auch vom Staat eingesammelte Daten sind niemals sicher.
Zoom, ein Anbieter einer Videokonferenz-Anwendung, hat die Zugangsdaten einiger hunderttausend Nutzer „veröffentlicht“. Zu den „veröffentlichten“ Daten gehörte unter anderem das Passwort im Klartext, weil man bei Zoom offensichtlich damit überfordert war, eine Sicherheitstechnik aus den Siebziger Jahren, nämlich das gesaltete Hashing von Passwortern, zu implementieren. Diese Goldgrube für Verbrecher steht jetzt jedem Interessierten für etwas Geld zur Verfügung.
Clearview AI, eine Unternehmung, die die größte biometrische Gesichtsdatenbank der Welt aus diversen Quellen (darunter auch Social-Media-Websites) aufgebaut hat und Dienstleistungen mit diesen Daten vermarktete, hat seine Kundendatenbank „veröffentlicht“. Die „Veröffentlichung“ beinhaltet auch die Suchen der Kunden, bei denen es sich hauptsächlich um Geheimdienste und Polizeien handeln wird.
Likud, die gegenwärtige Regierungspartei in Israel, hat die Daten sämtlicher Wahlberechtigter in Israel veröffentlicht.
NitroFlare, ein Sharehoster, versteht nicht den Unterschied zwischen einem CC:- und einem BCC:-Header in einer E-Mail und hat deshalb die Mailadressen etlicher Premium-Kunden veröffentlicht.
Die Universität Erlangen-Nürnberg hat persönliche Daten von 828 Studenten im Web veröffentlicht, einschließlich Passwörtern, die im Klartext abgelegt wurden.
Microsoft will zwar seine „Cloud“ jedem Windows-Nutzer aufdrängen, ist aber selbst nicht dazu imstande, seine Daten sicher in der „Cloud“ abzulegen und hat eine Datenbank mit vermutlich 250 Millionen Datensätzen mehrere Wochen ohne Zugriffsschutz in der „Cloud“ liegen gehabt und somit im direktesten Sinn des Wortes veröffentlicht. Darunter waren vermutlich auch persönliche Daten. Datenlecks aus Datenbeständen, die in der „Cloud“ abgelegt wurden, werden uns die nächsten Jahre vermutlich regelmäßig beschäftigen. Ich halte diese Form der Datenspeicherung übrigens für grob fahrlässig und bin der Meinung, dass daraus ein Schadenersatzanspruch für betroffene Menschen folgen sollte. Nachtrag: Deutschsprachige Meldung bei Heise Online.
Buchbinder, eine Autovermietung, hat rd. zehn Terabyte Daten von rd. drei Millionen Kunden ohne Zugangsbeschränkung ins Internet gestellt und damit veröffentlicht. Irgendwelche „Hackertools“ oder vertieften Kenntnisse waren nicht erforderlich, es reichte der Dateimanager jedes verbreiteten Betriebssystemes, um auf diese Daten zuzugreifen. Der Datenbestand umfasste Telefonnummern und Anschriften von Kunden sowie Unfallberichte, E-Mails und weitere Zugangsdaten.
PussyCash, eine Klitsche, die erotische Live-Kameras als Dienstleistung anbietet, hat die ganz weit in die Privat- und Intimspähre hineinreichenden Daten von über 4.000 Sexarbeitern und Sexarbeiterinnen ohne Zugriffsschutz in der „Cloud“ abgelegt, also ohne jedes Anführungszeichen um dieses Wort veröffentlicht. Spezielle Hackertools waren für den Zugriff auf diese Goldgrube für Erpresser und Stalker nicht erforderlich. Auch die Daten, die man einem Brötchengeber gibt, sind niemals sicher.
Wyze, eine Klitsche, die Smart-Home-Geräte vermarktet, hat die Daten von 2,4 Millionen Nutzern veröffentlicht, einschließlich Gesundheitsdaten.
Die Medisign GmbH [Archivversion], eine Unternehmung, die an der Digitalisierung des Gesundheitswesens in der BRD beteiligt ist, hat die Daten von 168 Ärzten – jeweils Name, Geburtsdatum, Meldeadresse, Bankverbindungen und Personalausweis-Nummer – ohne jeden Zugriffsschutz im Web abgelegt; für den Zugriff auf diese Daten wurden keine „Hackertools“, sondern nur ein Webbrowser benötigt. So viel nur zur „Sorgfalt“ bei der Verarbeitung hochsensibler Gesundheitsdaten in der Bundesrepublik Deutschland!
Facebook hat die Daten von rd. 267 Millionen Facebook-Nutzern [!] ohne jeden Zugriffsschutz ins Internet gestellt und damit ohne jedes Anführungszeichen um dieses Wort veröffentlicht. Dieser kleine Schatz für Kriminelle lag für jeden daran interessierten Menschen zum Mitnehmen und Benutzen offen. Leider hat der Überwacher, Datensammler und asoziale Spammer Facebook – zusammen mit seinen diversen aufgekauften Websites wie Instagram und WhatsApp – immer noch Nutzer.
Das Landratsamt Coburg hat diverse Daten, Mailadressen und Passwörter von 40.000 Menschen auf eBay verkauft [Archivversion]. Aber keine Sorge, man denkt doch wenigstens nachträglich an den Datenschutz: „Auch beim bayerischen Datenschutzbeauftragten wurde der Vorfall zur Anzeige gebracht. Dort heißt es, derartige Vorfälle kämen häufiger vor“. Auch beim Staat sind Daten niemals sicher.
Mixcloud, ein Streaming-Anbieter für Radio- und DJ-Musikmischungen sowie Podcasts, hat die Benutzernamen, Mailadressen, Verbindungsinformationen und gehashten Passwörter von über 20 Millionen Nutzern „veröffentlicht“ (Archivversion). Nachtrag vom 2. Dezember 2019: Meldung bei Heise Online.
OnePlus hat vor rd. zwei Jahren schon einmal Daten zu 40.000 Kunden „veröffentlicht“, aber hatte erstaunlicherweise hinterher immer noch Kunden. Also wurden noch einmal Daten zu einer bislang unbekannten Anzahl von Kunden „veröffentlicht“, die zurzeit aktiv für Phishing-Spam kriminell genutzt werden. Aber hey: Dennoch will man weitere Maßnahmen ergreifen, um den Schutz der Kundendaten zu verbessern, vielleicht klappt es ja diesmal.
Die Gekko Group, ein Anbieter von Geschäftsreisen, hat über ein Terabyte Kundendaten völlig ohne jeden Schutz auf einem Server mit Internetanbindung abgelegt. Ein „Hack“ war nicht erforderlich, um an diesen Schatz für Kriminelle zu kommen. Das ist der so wichtige Schutz persönlicher Daten im 21. Jahrhundert.
Conrad, ein bekannter Versand- und Einzelhändler für Elektronikzubehör und technische Artikel, hat 14 Millionen Kundendatensätze „veröffentlicht“. Erfreulich: Die Kreditkarteninformationen und Passwörter waren separat abgelegt und konnten nicht mit abgegriffen werden. Da bleiben den Kriminellen nur die Postanschriften, Telefonnummern, IBANs und Mailadressen für „kreative“ Verwendungen. Und ansonsten: „Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung“ – das übliche „Digital first, Bedauern second“ eben.
Wizards of the Coast, Entwickler des Sammelkarten-Spieles „Magic: The Gathering“, haben die Daten von über 452.000 Spielern ohne Zugriffsschutz in der „Cloud“ abgelegt und damit ohne jedes Anführungszeichen um dieses Wort veröffentlicht. Ein Datensatz umfasste jeweils den Namen des Spielers, seinen Benutzernamen, die zugehörige E-Mail-Adresse, der Zeitpunkt der Kontoerstellung und ein vermutlich gut genug gesichertes Passwort. Ein „Hack“ war nicht erforderlich, um an diese Ressource für Spammer und andere Kriminelle zu kommen.
ZoneAlarm, Hersteller so genannter „Sicherheitssoftware“ für PCs, war damit überfordert, das Support-Forum mit aktueller Software zu betreiben und hat deshalb mindestens Mailadresse, Name und Geburtsdatum, möglicherweise sogar Passwörter von 4.500 Nutzern „veröffentlicht“. Aber, liebe Zielgruppe, ihr müsst schön weiter daran glauben, dass das Schlangenöl von ZoneAlarm den PC sicherer macht, denn damit kennen die sich aus!
ToonDoo, eine Website, die ihren Nutzern das Zusammenklicken von Comics ermöglicht, hat die Daten von rd. sechs Millionen Nutzern „veröffentlicht“, jeweils Nutzername, Mailadresse, Geschlecht, Wohnort und (hoffentlich gut) gesaltetes und gehashtes Passwort.
Adobe hat unter anderem die Mailadressen von 7,5 Millionen Nutzern der „Creative Cloud“ veröffentlicht. Ein „Hack“ war für den Zugriff auf die Daten nicht erforderlich.
BriansClub, ein krimineller Händler, der mit Kreditkartendaten aus gecrackten Internetangeboten handelt, hat die Daten zu 26 Millionen Kreditkarten „veröffentlicht“. Nicht einmal bei der Organisierten Kriminalität sind die Daten sicher!
Comodo, ein Hersteller so genannter „Sicherheitssoftware“, hat eine Sicherheitsaktualisierung für die verwendete Forensoftware nicht eingespielt und damit die Daten zu rd. 170.000 Nutzern des Support-Forums „veröffentlicht“.
Medizinische Daten zu 16 Millionen Menschen wurden ohne jeden Zugriffsschutz im Internet veröffentlicht. Um an die weit in die Privat- und Intimsphäre hineinragenden Daten zu kommen, benötigte man weder vertiefte Kenntnisse noch spezielle Software. Es reichte ein Webbrowser. Auch Gesundheitsdaten sind nicht sicher.
In Ecuador wurden weit in die Privatsphäre hineinreichende Daten von 20,8 Millionen lebenden und verstorbenen Einwohnern veröffentlicht. Ein „Hack“ war dafür nicht erforderlich, die Daten – persönliche Informationen, Familienverhältnisse, Verwandtschaftsbeziehungen, Einwohnermeldedaten, Finanzdaten, Informationen zum Arbeitsplatz und zu angemeldeten Fahrzeugen – lagen offen und für jedermann auf der ganzen Welt zugreifbar im Internet. Teile dieses Datenbestandes stammen offensichlich aus staatlichen Datensammlungen. Auch beim Staat sind Daten niemals sicher.
Facebook hat die Telefonnummern von rd. 420 Millionen Nutzern „veröffentlicht“. Auch weiterhin viel Spaß dabei, bei allen möglichen Websites die Telefonnummer anzugeben, um alles viel sicherer zu machen!
Hostinger, ein beliebter Webhoster, hat die Daten von 14 Millionen Kunden veröffentlicht, jeweils Benutzername, Name, Mailadresse und schlecht gehashtes Passwort.
Luscious.net, eine fröhlich kommunikative Website für Freunde der Pornografie, hat die Daten von 1,2 Millionen Nutzern veröffentlicht, jeweils mit Mailadresse, Benutzername, Standortdaten, Uploads und Kommentaren. Ein „Hack“ war nicht erforderlich. Die Daten lagen offen im Internet.
Mastercard hat im Rahmen eines Bonusprogrammes namens „Priceless Specials“ die kriminell missbrauchbaren Daten von rd. 90.000 Kunden „veröffentlicht“, die jetzt frei unter Interessierten verfügbar sind. Aber keine Sorge, Mastercard sichert auch etwas zu: „Wir nehmen Privatsphäre sehr ernst und untersuchen dieses Problem mit Hochdruck“. Ich will mal hoffen, dass sie es lieber sorgfältig und gründlich untersuchen und anschließend ihre betroffenen Kunden entschädigen. Auch bei Finanzdienstleistern sind Daten niemals sicher. (Meldung bei Heise Online)
Die LEG Wohnen NRW GmbH hat die weit in die Privatsphäre hineinragenden Daten über die Vermietung von rd. 130.000 Wohnungen, insbesondere Name und Anschrift des Mieters, Wohnungsgröße, Höhe der Kaltmiete sowie eventuelle Guthaben oder Rückstände für den freien Zugriff durch rd. 350.000 Menschen im Internet veröffentlicht. Ein Hack war nicht erforderlich, ein spezielles Programm oder besondere technische Kenntnisse wurden zum Abgreifen der Daten nicht benötigt, es reichte ein Webbrowser. Das ist der Datenschutz im Jahre 2019.
Suprema, ein Unternehmen, dass biometrische Zugangskontrollen für andere Unternehmen anbietet, hat seine Datenbank mit 27,8 Millionen Einträgen veröffentlicht. Ein Hack war nicht erforderlich, oder, um es mit einem der beteiligten Sicherheitsforscher zu sagen: „Man braucht dazu keine speziellen Hacking-Tools, sondern nur einen Browser“. Neben dem üblichen Großlaster kriminell missbrauchbarer persönlicher Daten, dem jeweiligen Anmeldenamen und dem Passwort – das im Klartext in der Datenbank abgelegt war, weil dieser Biometrie-Anbieter in seiner Kompetenz wohl darin überfordert war, eine Sicherheitstechnik aus den frühen Siebziger Jahren (gesaltetes Hashing) zu implementieren – gibt es auch Fingerabdrücke und Daten zur Gesichtserkennung, die für biometrischen Identitätsmissbrauch verwendet werden könnten. Die von der Veröffentlichung betroffenen Menschen können ihre Passwörter ja ändern, aber was sie jetzt mit ihren Fingerabdrücken und Gesichtern machen sollen, kann ich ihnen auch nicht sagen. Biometrie zur Authentifikation ist eben eine ganz schlechte Idee. (Archivversion der Meldung)
Instagram, ein beliebter Social-Media-Dienst für die Generation Smartphone, hat detaillierte Profile seiner Nutzer veröffentlicht, einschließlich Interessen, Standorten und Bewegungsdaten.
E3, eine Spielemesse, hat die persönlichen Daten von über 2.000 Fachbesuchern, Journalisten und Werbern im Web veröffentlicht. Ein „Hack“ war nicht erforderlich.
Capital One, eine Bank aus den USA, hat die Daten von mehr als hundert Millionen Kunden [!] in der Cloud vorgehalten und „veröffentlicht“.
Slack, eine beliebte Software und Plattform zur Kommunikation von Gruppen über das Internet, hat eine ungenannte Menge Daten seiner Nutzer veröffentlicht (Archivversion).
Orvibo, ein Hersteller von sogenannten „Smart-Home-Geräten“ von „intelligenter“ Steckdose bis „intelligenter“ Videokamera, hat eine Datenbank mit sehr sportlichen rd. zwei Milliarden Einträgen zu den Geräten und ihren rd. hundert Millionen Nutzern offen ins Internet gestellt, natürlich mit massenhaft persönlichen Daten und mit Zugangsdaten. Eventuelle Einbrecherbanden hätten sowohl auf die „smarten“ Kameras zugreifen können, um ein Ziel auszukundschaften, als auch die „smarten“ Türschlösser einfach öffnen können. Ein Hack war nicht erforderlich, um an diese Daten zu kommen. Sie lagen offen im Internet. Sie wurden von Orvibo im wahrsten Sinn das Wortes veröffentlicht.
Die Büchereien der Stadt Wien (Archivversion) haben die Daten von mindestens rd. 77.000 Nutzern „veröffentlicht“, jeweils Name, Geburtsdatum, Anschrift, Telefonnummer und E-Mail-Adresse.
Emuparadise, eine Website, auf der man ROMs und ISOs vieler Videospiel-Klassiker beziehen kann, hat die Daten von 1,1 Millionen Nutzern einschließlich Mailadresse und schlecht gehashtem Passwort „veröffentlicht“.
Quest Diagnostics und LabCorp haben zusammen mit der Inkassoklitsche AMCA kriminell missbrauchbare und zudem weit in die Privat- und Intimsphäre hineinreichende medizinische Daten von rd. zwanzig Millionen Menschen „veröffentlicht“. Auch weiterhin viel Spaß beim Glauben an den ganz besonderen Schutz sehr sensibler Gesundheitsdaten!
Flipboard, eine „soziale Nachrichten-App“, hat Angreifer ein Dreivierteljahr lang auf die Datenbank zugreifen lassen, ohne diese Zugriffe zu bemerken. Welche und wieviele Daten dabei mitgenommen wurden, ist zurzeit noch unklar.
First American Financial, ein Dienstleister für Versicherungen und Immobilienhändler aus den USA, hat 885 Millionen [!] vertrauliche Vertragsunterlagen ohne jeden Schutz im Internet veröffentlicht. Es war lediglich erforderlich, eine laufende Nummer in einer URI zu erhöhen, um Zugriff zu bekommen. Ein „Hack“ war nicht nötig.
Google hat zwar Cloud-Angebote für Geschäftskunden gemacht, war aber offenbar mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich dem gesalteten Hashing von Passwörtern für die Speicherung, überfordert, so dass die Passwörter im Klartext gespeichert wurden. In der Cloud natürlich. Und öffentlich zugreifbar. Also veröffentlicht. Ohne Anführungszeichen um dieses Wort. Auch weiterhin viel Spaß beim festen Glauben an den „Datenschutz“ bei Google.
Ein zurzeit noch unbekannter, mutmaßlich kommerzieller Datensammler hat die Daten zu 275 Millionen Einwohnern Indiens in einer Datenbank ohne Zugriffsschutz ins Internet gestellt und damit veröffentlicht, jeweils Name, Mailadresse, Geschlecht, Telefonnummer, Monatsgehalt und komplette bisherige Arbeitsplatz-Historie. Die Daten wurden von einer Suchmaschine indexiert und stehen deshalb auch Menschen ohne vertiefte technische Kenntnisse zur Verfügung.
Ein bislang Unbekannter hat weit in die Privatsphäre hineinreichende und für den kriminellen Missbrauch geeignete Daten von rd. 80 Millionen Einwohnern der USA ohne jeden Zugriffsschutz in der „Cloud“ gespeichert und damit veröffentlicht.
WiFi Finder, eine App für das Handy-Betriebssystem Android, die das Teilen von WLAN-Netzen mit anderen Menschen ermöglichen sollte, hat die privaten Zugangsdaten von zwei Millionen WLANs veröffentlicht, jeweils mit SSID, Klartext-Passwort und Geokoordinaten. Es handelte sich im wahrsten Sinne dieses Wortes um eine Veröffentlichung, ganz ohne Anführungsstriche drumherum. Die Datenbank stand ohne Passwortschutz offen im Internet. Jeder konnte darauf zugreifen.
Outlook.com, der E-Mail-Dienst von Microsoft, hat in der Zeit vom 1. Januar bis zum 28. März 2019 eine unbestimmte Anzahl Kundendaten und den zugehörigen E-Mail-Verkehr „veröffentlicht“. Tja, hätten die Nutzer ihre E-Mail verschlüsselt, wäre das Problem gleich viel kleiner – aber leider ist den meisten Menschen Klicken zu kompliziert. Von der „Veröffentlichung“ betroffen sind möglicherweise auch Inhaber einer alten, nicht mehr genutzten Hotmail-Adresse.
Das FBI hat weit in die Privatsphäre hineinreichende Daten von rd. 4000 Polizeibeamten „veröffentlicht“.
Facebook hat die Daten von rd. 540 Millionen Nutzern [!] ungeschützt in der „Cloud“ gespeichert und damit ohne Anführungszeichen um dieses Wort im Internet veröffentlicht.
Verifications.io – ein Unternehmen, das für andere Unternehmen Spam versendet, um zu überprüfen, ob angegebene Mailadressen gültig sind – hat seine Datenbank mit rd. 800 Millionen E-Mail-Adressen [!] „veröffentlicht“.
Dow Jones hat eine rd. 4,4 GiB große Datenbank mit gesammelten Daten über Bonität und Geschäftsrisiken von rd. 2,4 Millionen Menschen und Unternehmen ohne Schutz in der „Cloud“ abgelegt und somit veröffentlicht.
Die Deutsche Telekom bietet einen Handy-Backup-Service auf USB-Sticks an und hat dabei in mindestens einem Fall die Daten mehrerer Kunden auf den Stick einer Kundin geschrieben, die diesen Dienst in Anspruch nahm – einschließlich weit in die Privatsphäre hineinreichender Fotos, Anrufprotokollen, sämtlichen gespeicherten Passwörtern, Kommunikationsverläufen und Adressbüchern. Wie häufig es zu einer derartigen Datenweitergabe gekommen ist, ist unklar. Nachtrag: Datenschutz hat bei uns oberste Priorität… fast so hohe Priorität wie reklamemächtige Sprechblasen!
Die deutschen Diensteanbieter für die Apps Eyeem, 8fit und Dubsmash haben offenbar ihre Benutzerdatenbank „veröffentlicht“, mit Zuordnung von Namen zur Mailadresse und gehashten Passwörtern. Archivversion der Meldung.
T-Mobile, AT&T und Sprint haben in den USA im großen Maßstab und klar gesetzwidrig GPS-Geolokationsdaten ihrer Kunden verkauft, die eigentlich für die Bearbeitung von Notfällen erhoben wurden.
Das Jobcenter Essen hat mehrere hundert Hartz-IV-Bescheide mit weit in die Privatsphäre hineinreichenden Daten an die falschen Adressen versendet.
Singapur hat die behördlich eingesammelten Daten von 14.200 HIV-positiven Menschen „veröffentlicht“. Auch beim Staat sind Daten niemals sicher.
VOIPo, ein US-amerikanischer Anbieter von VoIP-Diensten, hat seine gigabytegroße Datenbank auf einen mindestens über Monate hinweg ungesicherten „Cloud“-Server gehalten und somit veröffentlicht. Natürlich einschließlich persönlicher Daten der Kunden, Benutzernamen, Passwörter und Kommunikationsinhalte.
Die NASA hat möglicherweise eine Mitarbeiterdatenbank „veröffentlicht“.
Die Frankfurter Polizei hat mindestens einen Mitarbeiter, der in mindestens einem Fall die Meldedaten eines Menschen an gewaltbereite Rechtsterroristen weitergegeben hat. Auch beim Staat sind Daten niemals sicher.
Quora, eine Website, auf der man Fragen stellen kann, die dann von anderen Nutzern beantwortet werden, hat 100 Millionen Nutzerdatensätze [!] „veröffentlicht“, natürlich „schön“ mit angegebenem Namen und Mailadresse nebst kompletter Frage- und Antworthistorie. Tja, hätten die mal auf ihrem eigenen „Portal“ nachgefragt, wie man einen Server sicher betreibt!
Marriott, ein US-Hotelkonzern, hat die für einen Identitätsmissbrauch und betrügerische Geschäfte aller Art missbrauchbaren Daten von rd. 500 Millionen Kunden [!] „veröffentlicht“. Auch weiterhin einen ruhigen, tiefen Schlaf auf Reisen!
Amazon hat die Namen und E-Mail-Adressen einer unbekannten Anzahl von Kunden „veröffentlicht“. Diese Daten werden von Spammern verwendet.
Facebook hat die E-Mail-Adressen und Telefonnummern von mehreren hunderttausend Nutzern veröffentlicht. Ergänzt wurde diese Veröffentlichung durch private Kommunikationsinhalte von Nutzern. Möglicherweise handelte es sich sogar um eine Veröffentlichung der Daten von rd. 120 Millionen [!] Facebook-Accounts.
Vivy, eine von diversen Krankenkassen ihren Versicherten angebotene Smartphone-App zur Verwaltung ihrer in der „Cloud“ gespeicherten Gesundheitsdaten, hat Unbefugten die Einsicht und Manipulation dieser Daten ermöglicht. Nachtrag: Artikel bei Heise Online.
Die CSU hat jeweils Namen, Postanschrift und Mailadresse von Käufern in ihrem Onlineshop „veröffentlicht“, der trotz bekannter Sicherheitsprobleme nicht auf aktuellem Stand gehalten wurde. Cyberwehr, bitte übernehmen!
Apollo, eine Big-Data-Unternehmung, hat die aus diversen, auch nicht-öffentlichen Quellen eingesammelten Daten von über 200 Millionen Menschen [!] frei ins Internet gestellt. Auf diese Daten wurde mindestens einmal zugegriffen.
Google hat die persönlichen Daten von 496.951 Nutzern seiner Social-Media-Site Google Plus „veröffentlicht“, jeweils mindestens Name, Mailadresse, Geburtsdatum, Geschlecht, Wohnort, Arbeitgeber, Beziehungsstatus und Profilfoto.
A1 Telekom Austria hat die komplette Kundendatenbank eines früheren Webhosting-Angebotes „veröffentlicht“, mindestens jeweils mit Name, Mailadresse, Telefonnummer und – gesaltetes Hashing ist so Siebziger Jahre – Passwort im Klartext. Dass dieses Angebot seit sieben Jahren nicht mehr aktiv ist, bedeutet noch lange nicht, dass die Daten gelöscht oder wenigstens auf einen Rechner ohne permanente Internetanbindung transferiert würden.
Facebook, eine beliebte Social-Media-Website und -App, hat durch einen Programmierfehler den vollständigen Zugriff auf rd. fünfzig Millionen Benutzerkonten „freigegeben“, einschließlich der Möglichkeit des Zugriffs auf das gesamte Profil. Wie sehr dieser von Facebook gewährte Zugang benutzt wurde, ist unklar. Nachtrag 13. Oktober 2018: Facebook hat gründlicher nachgezählt. Es waren „nur“ rd. dreißig Millionen Benutzerkonten, und bei fünfzehn Millionen wurden wirklich massiv personenbezogene Daten abgegriffen.
Steuern59.ch, eine Schweizer Steuer-App, hat sämtliche weit in die Privat- und Intimsphäre hineinreichenden Daten aller Nutzer ohne Zugriffsschutz in eine „Cloud“ bei Amazon gestellt und somit völlig ohne jede Anführungszeichen um dieses Verb veröffentlicht. Diese Daten waren mit frei verfügbarer Software auch für technisch eher unbeleckte Interessierte auffindbar. Als weiteres Insignium der krachenden Inkompetenz waren die Passwörter der Nutzer im Klartext gespeichert, mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem gesalteten Hashing gespeicherter Passwörter, war man offensichtlich überfordert.
Amazon hatte Mitarbeiter, die mutmaßlich eine unbekannte Anzahl von Kundendaten mit unbekannten Datenmerkmalen für eine Handvoll Dollar an chinesische Händler verkauft haben.
Knuddels.de, ein Chat-Anbieter (hey Leute, kennt ihr kein XMPP?), hat seine Benutzerdatenbank einschließlich Passwörter, Mailadresen, Namen und Wohnorte im Internet veröffentlicht. Mit der Implementation einer Sicherheitstechnik aus den späten Siebziger Jahren, nämlich dem gesalteten Hashing von gespeicherten Passwörtern, waren die Betreiber der „Community“ offenbar überfordert. Nachtrag 22. November 2018: Das Bußgeld nach DSGVO für diese verantwortungslose Datenhaltung und fahrlässige Datenschleuderei lag bei unter 2,5 Cent pro betroffenen Nutzer.
British Airways hat fluffige 380.000 Kundendatensätze „veröffentlicht“, schön zusammen mit Angaben zu Bankverbindung und/oder Kreditkarte.
Family Orbit, Anbieter einer ethisch höchst fragwürdigen, in der Methodik von Schadsoftware abgeschauten Handy-Überwachungssoftware, mit der Eltern ihre Kinder über ihre Handys überwachen können, hat die Daten in der „Cloud“ gespeichert und schließlich rd. 280 GiB [!] Fotomaterial überwachter Kinder „veröffentlicht“. Um die Zugriff auf diese großartige Ressource für Pädophile (ein Dank auch an die Eltern der überwachten Kinder) zu vereinfachen, wurde der Schlüssel für den Zugriff innerhalb der App abgelegt und war mit vergleichsweise geringem Aufwand – siehe zum Beispiel man 1 strings – für jeden Interessierten verfügbar.
Reddit, ein beliebtes Online-Portal, hat bei einem Crack ein altes Backup auch voller Benutzerdaten „veröffentlicht“, möglicherweise noch einiges mehr an Daten.
EDIS, ein Hosting-Anbieter aus Österreich, hat offenbar seine Kundendatenbank „veröffentlicht“.
LifeLock, ein zu Symantec gehörender Dienstleister, der seinen Kunden Schutz vor kriminellem Identitätsmissbrauch verspricht, hat die E-Mail-Adressen seiner rd. 4,5 Millionen Kunden offen ins Web gestellt. Ein „Hack“ war nicht erforderlich.
Mega, ein von Kim „Dotcom“ Schmitz geprägter und mit dem Versprechen besonders hoher Sicherheitsstandards beworbener Filehoster, hat die Daten von rd. 15.500 Nutzern „veröffentlicht“.
Ticketmaster hat ein paar persönliche Daten seiner Kunden mit Software bearbeitet, die mit Schadsoftware verseucht war und fordert nun seine möglicherweise von einem Datenabgriff betroffenen Kunden dazu auf, doch besser darauf zu achten, ob ihre Daten für Betrug und Identitätsmissbrauch verwendet werden – aber ansonsten gilt: „Die Gewährleistung der Sicherheit der persönlichen Daten unser Kunden ist uns sehr wichtig“. Blah, blah, blah!
Domainfactory, ein großer deutscher Webhoster, hat Teile seine Kundendatenbank „veröffentlicht“, neben den üblichen persönlichen Daten auch mit leckerem Schufa-Scoring, wozu dieses bei einem 08/15-Webhosting auch immer in der Kundendatenbank gespeichert wurde. Aber dafür gilt: Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr. Nachtrag 17:30 Uhr: Nach Angaben des Crackers wurde für den Angriff die seit rd. anderthalb Jahren gefixte Sicherheitslücke „Dirty Cow“ ausgenutzt. Sollte das stimmen, würde es bedeuten, dass Produktionsserver bei Domainfactory, auf denen empfindliche persönliche Daten von Kunden gespeichert sind, trotz vorliegender schwerer Sicherheitsmängel seit rd. anderthalb Jahren keine Sicherheitsaktualisierungen erhalten haben – und würfe ein sehr schrilles und unerfreulich deutlich machendes Licht auf jene „oberste Stelle“, an welcher der Schutz der Daten ihrer Kunden für Domainfactory steht.
Typeform, eine Klitsche, die personalisierte Umfragen und Feedback-Formulare anbietet, hat ein Backup mit jeder Menge persönlicher Daten von Teilnehmern veröffentlicht – unter anderem auch für einen Identitätsmissbrauch hinreichende Daten, die von Regionalwahlteilnehmern aus Tasmanien stammen. Bitte nicht vergessen, wenn die nächste Kompetenzgranate Wahlen über das Internet einfordert!
Exactis, eine Werbe- und Datensammelklitsche aus Florida, USA hat offenbar ihre gesamte Datenbank mit Daten zu 218 Millionen Menschen [!] ohne Zugriffsschutz ins Internet gestellt. Ein „Hack“ war nicht erforderlich. Die Daten enthalten unter anderem den Namen, die Telefonnummer, die Wohnadresse, die E-Mail-Adresse, die Anzahl, das Alter und das Geschlecht der Kinder, darüberhinaus auch Angaben zur Religion, zur Art des Haustieres und ob die Person raucht. Alle diese Daten stehen jetzt möglicherweise interessierten Kriminellen zur Verfügung. Deutscher Text bei „Freiheit statt Angst“.
Panini, bislang eher durch die sehr lukrative Vermarktung von Fußball-Sammelbildern bekannt, bietet einen Webdienst an, Fotos hochzuladen und sich Sammelkarten von sich selbst zusenden zu lassen – und angemeldete Nutzer konnten auch die Bilder und weiteren Daten anderer Nutzer einsehen, einschließlich der Bilder und Daten zahlreicher Kinder mit nacktem Oberkörper. Für pädophil veranlagte Menschen gibt es jetzt also eine Menge neuer Vorlagen zur Phantasiestimulation bei der Masturbation.
Adidas hat möglicherweise eine unbekannte Menge Kundendaten der US-amerikanischen Website veröffentlicht.
FastBooking, ein Hersteller von Buchungssoftware für Hotelketten, hat die Namen, Mailadressen, jeweiligen Staatsangehörigkeiten, Postanschriften und Kreditkartendaten nebst Ankunfts- und Abreisedatum von offenbar über 124.000 Hotelgästen „veröffentlicht“.
Etliche App-Entwickler für Android und iOS haben ihre Firebase-Datenbanken unzureichend gesichert, so dass sie insgesamt rd. 113 GiB Daten mit unter anderem rd. 2,6 Millionen unverschlüsselten Passwörtern im Internet veröffentlicht haben. Ein „Hack“ war nicht erforderlich.
MyHeritage, eine Klitsche, die Ahnenforschung und DNS-Tests anbietet, hat rd. 92 Millionen E-Mailadressen und mutmaßlich schlecht gehashte Passwörter ihrer Kunden „veröffentlicht“.
Über 170 deutsche Online-Apotheken, darunter auch Große wie „Sanicare“ und „Apotal“, haben die persönlichen Daten und die Medikamentenbestellungen ihrer Kunden im Internet veröffentlicht. Ein „Hack“ war für den Zugriff nicht erforderlich.
OwnCloud, eine populäre „Cloud“-Software zum Selbsthosten, hat die gesamte Nutzerdatenbank des Support-Forums „veröffentlicht“.
Facebook und die Universität Cambridge haben weit in die Privat- und Intimsphäre hineinragende Daten von drei Millionen Facebook-Nutzern veröffentlicht. Ein „Hack“ war nicht erforderlich. Die Zugangsdaten standen offen und für jeden Menschen zugänglich im Internet.
Diverse Websites ermöglichen ihren Nutzern, sich mit ihrem Facebook-Account anzumelden und geben damit unter anderem den Facebook-Namen (lt. Facebook-AGB also den Realnamen), die Mailadresse und das Profilfoto an Dritte weiter. Dies kann von den für diese Dienstleistung in Anspruch genommenen Dritten um alle öffentlich sichtbaren Informationen im Facebook-Profil ergänzt werden. Das ist natürlich auch ein Schlaraffenland für Kriminelle.
Grindr, eine populäre Dating-App für homosexuelle Männer, hat den HIV-Status seiner Nutzer (natürlich zusammen mit identifizierenden Merkmalen wie der Mailadresse und der Telefonnummer) an mindestens zwei externe Unternehmen weitergegeben. Nachtrag: Deutschsprachige Meldung bei Heise Online.
Under Armour, Betreiber der Ernährungs-App „MyFitnessPal“, hat satte 150 Millionen Datensätze von Nutzern dieser App „veröffentlicht“, selbstverständlich zusammen mit den Mailadressen.
Orbitz, eine Reisebuchungs-Website, hat 880.000 Kundendatensätze mit Name, Kreditkartennummer, Geburtsdatum, Telefonnummer, Mailadresse, Anschrift und Geschlecht „veröffentlicht“.
Facebook hat die Nutzung von fünfzig Millionen weit in die Privat- und Intimsphäre hineinreichender Benutzerdaten für „Forschungszwecke“ erlaubt, die daraufhin für grenzkriminelle Machenschaften verwendet wurden. Wie oft eine solche Nutzung erlaubt wird, ohne dass es anschließend auffliegt, ist natürlich ungewiss.
Pulsation IT hat eine App namens NaProt für Rettungskräfte hergestellt und veröffentlicht, die fest programmierte und für interessierte Menschen auslesbare Zugangsdaten zum Server hatte. Damit wurden vermutlich Millionen von weit in die Privatsphäre hineinreichenden Daten zu Rettungseinsätzen jedem zugänglich gemacht, der sich dafür interessierte – sogar die nachträgliche Veränderung der Daten war möglich. Ein „Hack“ war nicht erforderlich, denn es gab keine wirksamen Schutzmaßnahmen. Auch, wenn sie im Notfall 112 wählen, kann dies die Privatsphäre von Menschen beeinträchtigen und zum Teil sehr persönliche Daten in die Hände von Kriminellen spülen.
FedEx hat rd. 120.000 eingescannte Dokumente seiner Kunden, die für einen kriminellen Identitätsmissbrauch hinreichend sind, auf einem „Cloud“-Dienst veröffentlicht. Ein „Hack“ war nicht erforderlich, um an diese Goldgrube für Kriminelle zu gelangen.
Die Swisscom, das größte Telekom-Unternehmen der Schweiz, hat die Daten von 800.000 Kunden „veröffentlicht“. Aber das ist vermutlich gar nicht weiter schlimm, denn zwischen den Zeilen des NZZ-Artikels wird ja deutlich, dass jeder von den 3.500 „Vertriebspartnern“ unregulierten Vollzugriff auf diesen Datenbestand hatte. Diese Daten fluktuierten also schon längst in „interessierten Kreisen“. [Archivversion des NZZ-Artikels]
Die norwegische Gesundheitsbehörde hat die Daten von drei Millionen Menschen „veröffentlicht“.
Eos, ein „Inkasso“-Dienstleister aus der Schweiz, hat die Daten von 33.000 Kunden „veröffentlicht“, einschließlich teilweise vollständiger Krankenakten und eingescannter Ausweispapiere. Die „veröffentlichten“ Daten hätten zum Teil schon längst gelöscht sein müssen, aber im Zeitalter des Datensammelns und Datenschleuderns wird doch niemand die schönen, jahrelang gesammelten Daten löschen, die könnten ja noch einmal etwas wert sein…
Alteryx, eine Big-Data-Kitsche, hat Datensätze von sportlichen 123 Millionen Haushalten (das sind 98 Prozent der Haushalte) in den USA veröffentlicht, jeweils mit 248 teilweise weit in die Privatsphäre hineinreichenden und kriminell missbrauchbaren Datenmerkmalen. Nein, das Wort „veröffentlicht“ steht nicht in Anführungszeichen. Die Daten lagen ungesichert zum freien Zugriff in der „Cloud“.
AI.type, eine populäre „cloudunterstütze“ Tastatur-App für das Handy-Betriebssystem Android, hat sämtliche Tastendrücke nach Hause gefunkt. Diese wurden in einer Datenbank gespeichert, die ohne Passwortschutz ins Internet gelegt und somit „veröffentlicht“ wurde. Somit stehen jetzt Passwörter, Zugangscodes, persönliche Nachrichten, E-Mails, Websuchen und dergleichen sämtlicher Nutzer jedem Menschen zur Verfügung, der daran Interesse hat.
Obike, ein Anbieter von Leihfahrrädern, hat Bewegungsprofile und persönliche Daten der Nutzer dieser Fahrräder monatelang im Internet veröffentlicht. Diese Daten waren frei zugänglich, ein „Hack“ war nicht erforderlich.
Uber hat schon 2016 die Daten von rd. 57 Millionen Fahrern und Fahrgästen „veröffentlicht“, aber diese „Kleinigkeit“ einfach gegenüber den davon betroffenen Menschen verschwiegen.
Accenture hat einige hundert GiB Daten aller Art – darunter natürlich auch unverschlüsselte Passwörter und ähnliche Insignien der Inkompetenz – ohne Zugriffsschutz in der „Cloud“ abgelegt und damit veröffentlicht. Vielleicht können ja mal einige Unternehmungen, die sich von diesem Spezialexperten beraten lassen haben, ihre Rechtsabteilung danach forschen lassen, inwieweit Regressforderungen möglich sind. Privatmenschen haben da leider meist keine Aussicht auf Erfolg, egal, was für Schäden sie erleiden mussten.
Disqus, ein in vielen Websites – auch in Websites angesehener Presseprodukte – genutzter zentraler Dienst für Kommentarfunktionen, der in meinen Augen nicht so eine gute Idee ist, hat schon vor fünf Jahren die Daten von sportlichen 17,5 Millionen Nutzern „veröffentlicht“, einschließlich Mailadresse und angegebenem Namen.
Equifax, eine große US-amerikanische Wirtschaftsauskunftei, hat Daten von rd. der Hälfte der Einwohner der USA im Web „veröffentlicht“.
Instagram hat über eine Lücke in der Schnittstelle für Anwendungsprogrammierer mindestens die Mailadressen und Telefonnummern, vielleicht auch weitere Daten einer unbekannten Anzahl von Nutzern frei zugänglich gemacht und somit „veröffentlicht“. Gruß auch an Facebook, den Besitzer und Betreiber von Instagram. Nachtrag: Deutlicher formulierte Meldung bei Heise Online.
ES&S, ein US-amerikanischer Hersteller von Wahlcomputern, hat die Daten von 1,8 Millionen Wählern aus den USA (Name, Meldeanschrift, Geburtsdatum sowie weitere Informationen) ohne Zugangsschutz ins Internet gestellt und somit veröffentlicht. Bitte denkt daran, wenn sich demnächst mal wieder ein ahnungsloser Politiker für die Einführung von Wahlcomputern einsetzt! Und vergesst nicht, darüber nachzudenken, zu welchem Zweck ein Hersteller von Wahlcomputern die Daten von Wählern langfristig speichern sollte!
Unicredit, eine italienische Großbank, hat über einen „externen Dienstleister“ – nicht, dass es wieder die „Cloud“ war, die in solchem Kontext von Journalisten niemals „Cloud“ genannt wird – die Kundendaten von 400.000 Kunden „veröffentlicht“.
Das Königreich Schweden hat seine Datenbanken in der „Cloud“ gespeichert, diese „regnete ab“, und so gelangten – neben militärischen Geheimnissen aller Art – die Namen, Anschriften und Fotos diverser Mitarbeiter des schwedischen Staates sowie sämtlicher Menschen, die in Schweden einmal erkennungsdienstlich behandelt wurden, an den russischen Geheimdienst. Auch wenn euch Werber und journalistische Schleichwerber jeden Tag etwas anderes erzählen: Es gibt keine Cloud. Es gibt nur die Computer anderer Menschen. Die stehen irgendwo, aber der „Cloud“-Nutzer weiß nicht, wo sie stehen und was dort mit ihnen geschieht. Und das „S“ im Wort „Cloud“ steht für die Sicherheit, die man durch eine Datenspeicherung in der „Cloud“ gewinnt. Nachtrag 25. Juli: Deutschsprachige Meldung bei Heise Online.
Bithumb, die viertgrößte Bitcoin-Börse der Welt, hat nicht nur eine Menge Bitcoin an kriminelle Angreifer „übergeben“, sondern auch die Namen, Mailadressen und weitere Daten von 30.000 Nutzern „veröffentlicht“. Immerhin war das Telefon-Phishing bei den Nutzern eine Angriffsform, die Bithumb nicht leicht abwehren konnte. So schnell wird aus einer „Datenveröffentlichung“, die von Kriminellen benutzt werden kann, ein handfester materieller Schaden.
Die Deutsche Post hat die Anschriften von rd. 200.000 Menschen, die nach ihrem Umzug Post an die neue Adresse bekommen wollten, im für jeden Menschen zugänglichen Web veröffentlicht. Ein „Hack“ war nicht erforderlich.
8tracks, eine Website zum Streamen von Musik, hat eine Datenbank mit Daten zu 18 Millionen Accounts offen zu GitHub hochgeladen und damit im gesamten Internet offengelegt. Ein „Hack“ war nicht erforderlich.
Thomson Reuters, eine britische Nachrichtenagentur, die eine weltweite Kunden-Blacklist für den Gebrauch durch Banken unterhält, hat diese Blacklist mit weit in die Privatsphäre hineinragenden Informationen über rd. zwei Millionen Menschen (und etlichen Fehlbewertungen) „veröffentlicht“. [Dauerhauft archivierte Version der Tagesschau-Meldung]
Deep Root Analytics, ein Meinungsforschungsinstitut aus den USA, hat persönliche Daten nebst umfangreichen Daten zur politischen Einstellung von sportlichen rd. 198 Millionen wahlberechtigten Menschen in den USA (das sind 61 % der Bevölkerung) auf einem „Cloud“-Server völlig ungeschützt veröffentlicht. Ein Hack war nicht erforderlich.
Onelogin, ein „cloudbasierter“ Passwortmanager für „Cloud“-Anwendungen, hat seine „Cloud“ abregnen lassen und eine nicht mitgeteilte Menge an Nutzerdaten veröffentlicht. Ich bitte um Beachtung dafür, dass in dem Golem-Artikel das Wort „Cloud“, das sonst in keiner Reklame für solche Angebote fehlen darf, sorgfältig vermieden wird…
WhatsApp hat die Telefonnummer, Profilbilder, Statusnachrichten und den Online-Status nahezu aller Nutzer veröffentlicht. Das steht nicht in Anführungszeichen. Ein Hack ist nicht erforderlich. Die Daten stehen offen und für jeden Menschen zugreifbar im Internet.
Die Republik Indien hat für einen Identitätsmissbrauch hinreichende Daten nebst biometrischen Daten (Fingerabdruck, Irisscan) von möglicherweise über 130 Millionen Menschen im Staatsgebiet „veröffentlicht“. Auch beim Staat sind Daten niemals sicher, und schon gar nicht biometrische Daten.
River City Media, ein halbseiden und spammig vorgehendes Marketing-Unternehmen, hat sportliche 1,4 Milliarden [!] E-Mail-Adressen veröffentlicht. Diese lagen offen im Netz. Ein „Hack“ war nicht erforderlich.
Little Monsters, eine „Fan-App“ für die Popsängerin „Lady Gaga“, hat rd. eine Million Nutzerdatensätze „veröffentlicht“.
Bei Yahoo wurden in den Jahren 2015 und 2016 „einzelne“ Accounts gecrackt. Was heißt für Yahoo „einzelne“? Dass es nur 32 Millionen [!] betroffene Yahoo-Nutzer waren. Sonst „veröffentlicht“ Yahoo wie im Jahr 2013 auch schon einmal die Daten sämtlicher drei Milliarden [!] Nutzeraccounts, einschließlich der Daten sämlicher Flickr-Nutzer.
Spiral Toys, Hersteller des Kinderspielzeuges „Cloud Toys“, hat Konversationen der Kinder mit ihren Eltern über ihre Spielzeuge dauerhaft in einer MongoDB-Datenbank gespeichert, die nicht einmal durch ein Passwort geschützt wurde und somit offen im Internet herumlag. Diese Datenbank wurde vom Indexer einer spezialisierten Suchmaschine indiziert und wurde so auch für Menschen ohne vertiefte technische Kenntnisse durchsuchbar. Dass unzureichend gehashte Passwörter zusammen mit der Mailadresse abgreifbar waren, erscheint da beinahe harmlos, ist es aber nicht. Nachtrag: Deutschsprachige Meldung bei Heise Online.
Der Steward International Airport (Flughafen von New York) hat seine Backups für länger als ein Jahr lang offen ins Internet gestellt, ein Hack war nicht erforderlich. Zu den veröffentlichten Daten gehörten neben internem Mailverkehr (also Mailadressen und Namen) auch Personalakten, die weit in die Privatsphäre der Mitarbeiter hineinreichen. Immerhin wurden die Dateien als „vertraulich“ gekennzeichnet, bevor ihr Backup veröffentlicht wurde.
Cloudflare hat wegen eines Programmierfehlers über einen Zeitraum von einem halben Jahr diverse Daten diverser über Cloudflare laufender Websites veröffentlicht. Das Wort steht nicht in Anführungszeichen. Ein Hack war nicht erforderlich. Die Daten wurden im Klartext geliefert. Ob dieser Fehler vorher jemanden bekannt war und wenn ja, in welchem Ausmaß Daten aller Art (vom Passwort bis zur Bankverbindung) abgeflossen sind, ist unbekannt.
Diverse Webshops hatten eine vom Programmierer heimlich und absichtlich platzierte Datensammelschnittstelle; die so erlangten Daten von rd. 20.000 Kunden wurden aktiv für Betrug und kriminelle Geschäfte verwendet.
Supercell, Vertreiber mehrerer Mobilgerät-Spiele, hat rd, 1,1 Millionen Datensätze von Forennutzern inklusive unzureichend gehashter Passwörter „veröffentlicht“.
Cellebrite, ein israelisches Unternehmen zum forensischen und geheimdienstlichen Ausspähen von Handy-Daten, hat selbst sportliche rd. 900 GiB Daten veröffentlicht, darunter natürlich auch Kundendaten.
Über tausend mit „Magento“ betriebene Webshops wurden trotz eines vom BSI an die Betreiber gegebenen Hinweises weiterhin und über viele Monate auf unsicherem Versionsstand betrieben und folglich von Kriminellen gecrackt. Die eingegebenen Daten einer unbekannten Anzahl Kunden sind jetzt in den Händen von Verbrechern. Die Verantwortungslosigkeit wird keine Folgen für die grob fahrlässigen Betreiber der Shops haben, insbesondere nicht zu einer Haftung führen. Das ist der „Datenschutz“ in der BRD im Jahre 2017.
Lynda.com, eine beliebte Video-Bildungssite im Besitze von LinkedIn, hat möglicherweise mindestens rd. 55.000 Datensätze mit unbekannten Merkmalen „veröffentlicht“.
Yahoo hat, wie jetzt im Dezember 2016 herauskommt, im August 2013 die eingesammelten Daten von rd. einer Milliarde Nutzern „veröffentlicht“. Auch nur eine an die Betroffenen versendete Warnung wegen der dadurch drohenden Gefahren gab es nicht. Nachtrag: Meldung bei Heise Online.
Dailymotion, eine populäre Videostreaming-Site, hat die Daten von rd. 85 Millionen Nutzern „veröffentlicht“.
xHamster, eine beliebte Website für Pornografie, hat die Daten von mindestens 380.000 registrierten Nutzern „veröffentlicht“. Das kryptografische Hashing der Passwörter ist fragwürdig.
Mitfahrgelegenheit.de existiert zwar schon ein dreiviertel Jahr nicht mehr, aber das heißt nicht, dass die schönen eingesammelten Daten einfach gelöscht wurden. Und so kam es zur Veröffentlichung von rd. 650.000 IBAN-Nummern, rd. 100.000 Mailadressen und unbekannten weiteren Datenmerkmalen. Ich setze die Veröffentlichung nicht in Anführungszeichen, denn die Daten wurden vorsätzlich auf den Computern anderer Leute, in der so genannten „Cloud“, gespeichert.
Das Innenministerium der Bundesrepublik Österreich hat die E-Mail-Adressen, Namen und möglicherweise weitere Daten einer fünfstelligen Anzahl im Ausland lebender Österreicher an einen der Kandidaten der bevorstehenden Bundespräsidentenwahl gegeben, die dann prompt für politische Spam missbraucht wurden (sonst wäre die Datenschleuderei gar nicht aufgefallen). Auch beim Staat sind Daten niemals sicher!
Three, ein britischer Mobilfunkprovider, hat die Daten von 134.000 Kunden „veröffentlicht“, die aktiv für betrügerische Bestellungen missbraucht werden.
AdultFriendFinder hat die Daten von sportlichen rd. 400 Millionen Nutzern veröffentlicht, darunter auch von solchen, die schon längst gelöscht sein sollten. Die meisten Passwörter sind geknackt.
Web of Trust (WOT), ein Addon für diverse Webbrowser, hat systematisch Nutzer überwacht und die eingesammelten Daten an jeden verkauft, der dafür bezahlen konnte. Das ist schon von bemerkenswerter Niedertracht für ein Addon, das seinen Nutzern in Reklame und Selbstbeschreibung einen zusätzlichen Schutz ihrer Privatsphäre und Computersicherheit verspricht.
Weebly, ein webgetriebenes Baukastensystem zum Erstellen von Websites, hat rd. 43 Millionen Datensätze von Kunden „veröffentlicht“.
Modern Business Solutions, ein Datendienstleister aus Texas, USA, hat mindestens 58 Millionen Datensätze veröffentlicht. Die Daten lagen völlig offen im Internet, ein „Hack“ war nicht erforderlich.
Yahoo hat zwar schon vor zwei Jahren eine halbe Milliarde Nutzerdatensätze „veröffentlicht“, hat es aber in der ganzen Zeit nicht für nötig befunden, das einmal mitzuteilen oder hat es schlicht nicht mitbekommen. [Dauerhaft archivierte Version der Meldung].
ClixSense, ein Anbieter, der seine Nutzer (unter anderem) für das Betrachten von Werbung bezahlt, hat sportliche 6,6 Millionen Datensätze seiner Nutzer „veröffentlicht“. Die Passwörter waren im Klartext gespeichert. Mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem gesalteten Hashing von Passwörtern für die Speicherung, war dieser Anbieter offenbar überfordert.
Rambler, ein beliebtes russisches Webportal mit Freemailer, hat bereits im Jahr 2012 fluffige rd. hundert Millionen Passwörter seiner Nutzer im Klartext veröffentlicht.
Brazzers, eine populäre Website für Pornografie, hat rd. 800.000 Datensätze von Benutzern „veröffentlicht“. Die zugehörigen Passwörter waren im Klartext gespeichert. Mit der Implementation einer Sicherheitstechnik aus den frühen siebziger Jahren, dem gesalteten Hashing von Passwörtern für die Speicherung, war dieser offenbar beliebte Anbieter überfordert.
Last.fm, ein populärer Musikdienst, hat schon im Jahr 2012 die Daten von rd. 43,5 Millionen Nutzern „veröffentlicht“, die jetzt jedem daran interessierten Kriminellen zur Verfügung stehen. Mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, der Speicherung von Passwörtern als gesaltete Hashes, waren die Macher von Last.fm offenbar überfordert, und so kam es neben der üblichen „Veröffentlichung“ von Namen, Mailadressen und persönlichen Daten auch zur „Veröffentlichung“ von Passwörtern.
Minecraft World Map, ein Fan-Website für Spieler von World of Minecraft, hat schon vor sieben Monaten rd. 71.000 Benutzerkonten einschließlich Mailadressen „veröffentlicht“, ohne dass die betroffenen Nutzer bislang darüber informiert wurden. Lichtblick: Wenigstens waren die Passwörter nicht direkt von Kriminellen verwendbar, weil sie gehasht und gesaltet gespeichert wurden.
Epic Games hat durch Verwendung veralteter Forensoftware voller unbehandelter Fehler und Sicherheitslücken die Daten von 800.000 Nutzern „veröffentlicht“.
DLH.net, ein beliebtes Forum rund um die Gaming-Plattform „Steam“, hat geschätzt 3,3 Millionen Nutzerdatensätze „veröffentlicht“. An der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich das gesaltete Hashing von Passwörtern für eine Speicherung, sind die Macher dieser Website gescheitert, so dass sämtliche Passwörter mit relativ geringem Aufwand wiederherstellbar sind.
Yahoo hat jeweils Nutzernamen, Passwort-Hash und Geburtstag von rd. 200 Millionen registrierten Nutzern von Yahoo-Diensten „veröffentlicht“, die jetzt für eine Handvoll Bitcoin für jeden Interesierten zu haben sind.
Aerticket, ein Berliner Großhändler für Flugtickets, hat über Jahre hinweg die Daten von Millionen Flugreisenden (teilweise mit Zuordnung von Namen zu Bankverbindungen) offen ins Internet gestellt. Es waren weder Hacks noch tiefere technische Kenntnisse, die über das Erhöhen einer Zahl in einer URI hinausgehen, erforderlich.
Pollin, ein Elektronik-Versand, hat seine Kundendatenbank „veröffentlicht“.
Trillian, ein altes IM-Programm, hat zwar keine aktiven Nutzer mehr gehabt, aber trotzdem „zu Archivzwecken“ die ganze Datenbank mit ein paar Millionen Nutzerdatenstzen (inklusive Mailadresse) im Internet vorgehalten und schließlich „veröffentlicht“. Auch die ganzen Account-Leichen, die Menschen im Laufe ihres Lebens ansammeln (und die von den Unternehmen niemals gelöscht werden), können irgendwann einmal zum Problem werden.
UbuntuForums.org, das Support-Forum der populären Linux-Distribution Ubuntu, hat über zwei Millionen Nutzerdatensätze immer „schön“ mit der Mailadrese „veröffentlicht“. Immerhin scheinen die Passwörter sicher abgelegt worden zu sein.
Bitburger hat seine Kundendatenbank, pro Datensatz vollständige Anschrift, Mailadresse und „verschlüsseltes“ Passwort, „veröffentlicht“. Immerhin kam es nicht zu einem Zugriff auf Bank- und Zahlungsdaten. Prost!
T-Mobile hat einen Mitarbeiter gehabt, der 1,5 Millionen Datensätze tschechischer Kunden kopiert und verkauft hat.
Badoo, ein Dating-Menschenfleischmarkt im Web, hat sportliche 127 Millionen Benutzerdatensätze „veröffentlicht“. Bei der Ablage der Passwörter wurde auf die Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, das gesaltete Hashing für die Speicherug, verzichtet.
VK.com, eine große Social-Media-Website, hat die Daten zu sportlichen 171 Millionen [!] Nutzern „veröffentlicht“, von denen nun hundert Millionen Datensätze für eine Handvoll Bitcoin für jeden Kriminellen und sonstigen Interessierten zu haben sind. Die Passwörter liegen übrigens im Klartext vor. Nicht einmal elementare Versuche zur Herstellung von Datensicherheit wurden unternommen.
Hipp, Hersteller von Babynahrung, hat eine unbekannte Anzahl Datensätze seiner Werbe-Community „HiPP Mein BabyClub“ „veröffentlicht“, die für einen kriminellen Identitätsmissbrauch hinreichend sind.
Die Süddeutsche Zeitung hat 200.000 Datensätze angemeldeter Leser ihrer Website „veröffentlicht“, jeweils Mailadresse, Name und Postleitzahl.
LinkedIn hat die Daten von sportlichen 167 Millionen Nutzern „veröffentlicht“, die jetzt unter Kriminellen umlaufen und für eine Handvoll Bitcoin zu haben sind. Wie so viele andere fragwürdige und den Datenschutz ihrer Kunden verachtende Klitschen war auch LinkedIn mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich dem gesalteten Hashing von Passwörtern für die Speicherung, überfordert.
Das Rosebut Board, ein Forum für Freunde des analen Fistings und der extremen Anuserweiterung, hat durch die Verwendung veralteter Software mit bekannten Sicherheitslöchern rd. 107.000 Datensätze von Nutzern „veröffentlicht“, jeweils mit Nick, Mailadresse, verwendeten IP-Adressen und schlecht gehashten Passwörtern. Die Betroffenen, die für ihre Registrierung zum Teil auch berufliche Mailadressen von US-Regierung und US-Militär angegeben haben, könnten jetzt Opfer von Erpressungen werden.
Die AfD hat eine für den kriminellen Missbrauch völlig hinreichende Liste mit Anschriten, Geburtsdaten, Mailadressen und Telefonnummern der Teilnehmer ihres Parteitages „veröffentlicht“.
Beautifulpeople, eine Dating-Website, hat scheinbar 1,1 Millionen Datensätze von Nutzern „veröffentlicht“, es handelt sich um „detaillierte persönliche Angaben zu Körpergewicht, Größe, Berufstätigkeit, Augenfarbe sowie Mail-Adressen und Telefonnummern“ und natürlich auch gehashte Passwörter. Diese weit in die Privatsphäre ragenden Daten sind für Kriminelle frei käuflich geworden.
Mexiko hat die Daten von 93 Millionen Wahlberechtigten veröffentlicht. Der Zugriff auf die Datenbank war nicht durch ein Passwort abgesichert. Das ist der Stand des „Datenschutzes“ im Jahre 2016. Nachtrag 26. April 2016: Deutschsprachige Meldung bei Heise Online.
DuMont, ein großer Presseverleger (unter anderem Berliner Zeitung, Hamburger Morgenpost, Kölner Stadtanzeiger, Mitteldeutsche Zeitung), hat zehntausende Datensätze von Abonnenten und Websitenutzern für fünf Stunden völlig offen ins Internet gestellt, so dass diese jetzt unter Interessierten und Kriminellen zirkulieren. Passwörter wurden bei DuMont übrigens im Klartext gespeichert, weil es offenbar niemanden in diesem Verlag gibt, der eine Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich das gesaltete Hashing von Passwörtern für die Speicherung, implementieren konnte. Das muss an diesem von Journalisten ja ständig beschworenen „Fachkräftemangel“ liegen, dessen Hauptursache es nach wie vor ist, dass niemand mehr angemessen für Arbeit bezahlen will.
Die Philippinen haben ihr Wählerverzeichnis mit sportlichen 55 Millionen Datensätzen „veröffentlicht“ – einschließlich Fingerabdrücken, was einen Missbrauch biometrischer Daten ermöglicht. Auch beim Staat sind Daten niemals sicher.
Die Türkei hat offenbar ihre gesamte Einwohnerdatenbank „veröffentlicht“, die Meldedaten stehen jetzt jedermann zur Verfügung. Auch beim Staat sind Daten niemals sicher.
Mossack Fonseca, eine Unternehmung zum Erwerb anonym betreibbarer Briefkastenfirmen in so genannten „Steueroasen“, hat 2,6 TiB Daten zu Kunden und ihren oft kriminellen Projekten „veröffentlicht“.
Team Skeet, eine Pornografie-Seite aus den USA, hat angeblich rd. 230.000 weit in die Intimsphäre ragende Nutzerdatensätze „veröffentlicht“, die jetzt für eine Handvoll Bitcoin für jeden zu haben sind.
Facebook hat die Daten sämtlicher rd. 1,6 Milliarden Nutzerkonten „veröffentlicht“.
Disqus, ein beliebtes (und in vielen Fällen völlig überflüssiges) Kommentarsystem für die Einbettung in Websites, hat durch einen Fehler bei der Implementierung der Moderation Daten von Kommentatoren frei zugreifbar veröffentlicht. Ein Hack war nicht erforderlich.
Linux Mint hat die Datenbank seines Supportforums „veröffentlicht“, mit Mailadressen, Avataren, Geburtstagen, Nicks und allem, was sonst so in Nutzerprofilen steht. Nach Aussage des Hackers sind die Passwörter in der Datenbank bereits gecrackt. Wenn das stimmt, wurde auf die Implementation einer Sicherheitstechnik aus den Siebziger Jahren, nämlich auf das gesaltete Hashing von gespeicherten Passwörtern, „verzichtet“.
Das Klinikum Bad Salzungen hat Patientenakten zu Konfetti verarbeiten lassen. Nach dem Karnevalsumzug waren Namen, Geburtsdaten, Anschriften und Mailadressen vieler Patienten auf den Papierschnippseln gut lesbar.
Die Stadt Wiesbaden hat die Briefwahl bei der Kommunalwahl so organisiert, dass man die Anschrift beliebiger Wahlberechtigter herausbekommen konnte, wenn man in ein Webformular den Namen und das Geburtsdatum eingegeben hat [Dauerhaft archivierte Version gegen die Depublikation]. Auch die Daten in staatlichen Datensammlungen sind niemals sicher!
Dell hat scheinbar eine unbekannte Menge Kundendaten „veröffentlicht“, die von Kriminellen bereits seit über einem halben Jahr benutzt werden. Die Kunden wurden offenbar bislang (5. Januar 2016) nicht von Dell informiert und damit vorgewarnt.
Die japanische Pensionskasse hat rd. zwei Millionen Datensätze „veröffentlicht“.
Die Vereinigten Staaten von Amerika haben die Daten von rd. 191 Millionen registrierten Wählern „veröffentlicht“.
Die Unternehmung „Icon Health & Fitness“ macht ihre Geschäfte mit einer App für Wischofone, mit der Nutzer sich selbst bei ihrer körperlichen Ertüchtigung tracken können. Die Datenbank mit Daten zu sportlichen rd. 600.000 Nutzern stand frei und ungesichert im Internet für jeden zur Verfügung, der sich aus diesem Datenbestand bedienen wollte.
Sanrio, Hersteller der Hello-Kitty-Produkte, hat seine Kundendatenbank mit rd. 3,3 Millionen Datensätzen „veröffentlicht“, darunter viele weit in die Privatsphäre hineinragende Daten von Kindern.
Zeobit und Kromtech, Herausgeber der Macintosh-Sicherheitssoftware „MacKeeper“ haben fluffige rd. 13 Millionen Datensätze der Nutzer dieses intensiv und nach Meinung vieler Menschen und einiger Gerichte irreführend beworbenen Schlangenöls veröffentlicht. Ich schreibe das nicht in Anführungszeichen, denn es war kein „Hack“ erforderlich. Oder, um es mit einem Zitat aus dem verlinkten Artikel zu sagen: „Es sei schlicht kein Login erforderlich gewesen“. Ja, es wurde von den Herstellern dieser Software für gefühlte Computersicherheit unterlassen, die Nutzerdatenbank durch ein Passwort abzusichern. Das ist der Stand des Datenschutzes bei Vertreibern von Sicherheitssoftware im Jahre 2015!
VTech, ein Hersteller digitalen Kinderspielzeuges, hat die weit in die Privatsphäre hineinragenden Daten von rd. 5 Millionen Eltern und über 200.000 Kindern „veröffentlicht“, einschließlich Mailadressen und unzureichend gehashten Passwörtern. Schneller Nachtrag: Deutschsprachige Meldung bei Golem. Nachtrag vom 30. November 2015: Hinweis des LKA Niedersachsen, wo man die gleiche Auffassung von den Quellen der Spammer pfliegt, wie ich es hier tue, allerdings ohne die Leser deutlich darauf hinzuweisen, dass es keinen anderen wirksamen Datenschutz außer strikter Datensparsamkeit gibt. Nachtrag vom 2. Dezember 2015: VTech hat wesentlich mehr Daten „veröffentlicht“, als zunächst eingeräumt, allein in Deutschland sind die Daten einer halben Million Kinder veröffentlicht worden.
Touchnote, eine Klitsche mit einer App für Smartphones, die das Zusenden von Grußkarten anbietet, hat seine Kundendatenbank „veröffentlicht“ und die Zuordnung von Namen zu Mailadressen ist jetzt auch Kriminellen bekannt.
000webhost, ein Webhoster, hat die Daten von fluffigen 13 Millionen Kunden „veröffentlicht“, und die Passwörter waren im Klartext gespeichert, weil die Sicherheits- und Datenschutzexperten eines großen Webhosters von der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem gesalteten Hashing von Passwörtern, überfordert waren. Was einem Menschen passieren kann, dessen administrativer Zugang zur Website in den Händen von Verbrechern ist, lässt sich zum Beispiel im Forum des Antispam e.V. nachlesen.
TalkTalk, ein britischer Provider für Internet und Mobilfunk, hat eine zurzeit unbekannte Anzahl von Datensätzen aus seiner Kundendatenbank – neben den „üblichen“ persönlichen Daten auch Bank- und Zahlungsdaten – „veröffentlicht“. Nachtrag 6. November 2015: Es waren rd. 157.000 Kundendatensätze.
Pharmacy2U, eine britische Online-Apotheke, hat Kundendaten recht wahllos an jeden verkauft, der dafür bezahlt hat – unter anderem an einen australischen Lotterieveranstalter.
Die Dow Jones & Company, bekannt durch das Wall Street Journal und den Dow-Jones-Index, hat Daten einer unbekannten Anzahl von Lesern „veröffentlicht“, teilweise neben den „üblichen“ persönlichen Daten auch Kreditkartendaten. Lichtblick: Die Passwörter wurden hinreichend gehasht und müssen von den Betroffenen nicht geändert werden.
T-Mobile USA hat die Daten von 15 Millionen Kunden „veröffentlicht“, darunter jeweils Name, Anschrift, Geburtstag, Nummern von Führerschein und Reisepass sowie die Sozialversicherungsnummer.
Patreon, eine Website, die langfristige freiwillige finanzielle Unterstützung von Menschen und Projekten organisiert, hat 15 GiB Daten „veröffentlicht“. Die jetzt unter Kriminellen und Interessierten zirkulierenden Daten ermöglichen es zum Beispiel, auf das Einkommen der Benutzer zu schließen.
Die 56 Dean Street clinic in London, spezialisiert auf die Behandlung von sexuell übertragbaren Krankheiten, hat die Namen und E-Mail-Adressen von 780 HIV-Patienten veröffentlicht, indem die gesamten Empfänger eines Newsletters offen für jeden Leser eingetragen wurden. Ein Hack war nicht erforderlich. Die Meldung in deutscher Sprache gibts bei derStandard.at.
1blu, ein Webhoster, hat Datensätze von einer sportlichen Viertelmillion Kunden „veröffentlicht“; neben den Bankdaten übrigens auch Passwörter. Mit der Implementation einer Sicherheitstechnik aus den frühen Siebziger Jahren, dem Speichern von Passwörtern als gesaltete Hashes, war man dort offenbar überfordert.
Facebook hat die angegebenen Telefonnummern sämtlicher Teilnehmer veröffentlicht. Ein Hack ist nicht erforderlich, und Facebook sieht darin kein Problem. Ist doch schön, wenn man angerufen wird…
Carphone Warehouse, ein großer Verkäufer von Telekommunikationstechnik, war sehr kommunikativ und hat fluffige 2,4 Millionen Kundendatensätze „veröffentlicht“.
BitDefender, Hersteller eines Antivirus-Schlangenöls, hat die Daten einer zurzeit unbekannten Anzahl Nutzer „veröffentlicht“. Besonders übel: Eine Unternehmung, die Produkte für die Computersicherheit verkauft, ist daran „gescheitert“, eine Sicherheitstechnik aus den frühen Siebziger Jahren, nämlich das gesaltete Hashing von Passwörtern, zu implementieren, so dass die Angreifer auch im Besitz der unverschlüsselten Passwörter gelangt sind. Diese Inkompetenz oder Gleichgültigkeit ist in meinen Augen das genaue Gegenteil einer Kaufempfehlung.
Die Universität von Los Angeles hat weit in die Privatsphäre hineinragende Gesundheitsdaten von 4,5 Millionen Patienten ihres Krankenhaus-Netzwerkes „veröffentlicht“.
Ashley Madison, eine Website zur Vermittlung von „Seitensprüngen“, hat mutmaßlich die Daten von bis zu 37 Millionen Kunden „veröffentlicht“. Die Cracker drohen mit der Veröffentlichung der weit in die Privatsphäre hineinreichenden Kundenprofile mitsamt den darin enthaltenen echten Namen. Unabhängig davon sind alle diese Daten jetzt in den Händen von Kriminellen. Nachtrag: Die Daten sind jetzt für jeden Menschen einsehbar.
Epic Games hat die Nutzernamen, E-Mail-Adressen, Geburtsdaten und mutmaßlich die Klartext-Passwörter aller Nutzer ihres Forensystems für alte Versionen von Unreal Tournament, Gears of War und Fortnight „veröffentlicht“. Die Passwörter waren offenbar im Klartext oder unzureichend gehasht gespeichert und deshalb für Angreifer „mitnehmbar“. Der einzig mögliche Grund dafür ist, dass auf eine Sicherheitstechnik der Siebziger Jahre, das gesaltete Hashing von Passwörtern, „verzichtet“ wurde.
Die Personalverwaltung der Bundesregierung der Vereinigten Staaten von Amerika hat 21,5 Millionen weit in die Privatsphäre der Betroffenen hineinragende Datensätze von Regierungsangestellten und ihren Familien „veröffentlicht“. Ich wünsche auch weiterhin viel Spaß dabei, einfach daran zu glauben, dass die von Staaten in obszöner Menge eingesammelten Daten sicher sind!
Hacking Team, ein italienischer Hersteller von Spionagesoftware, hat sportliche rd. 400 GiB Daten „veröffentlicht“, darunter auch internen Mailverkehr, mit der Software bei Überwachten abgegriffene, weit in die Privatsphäre hineinragende Daten und der Quellcode der Software, der jetzt auch Kriminellen zur Verfügung steht.
Magento, ein Shop-System, das unter anderem für eBay-Shops eingesetzt wird, hat es kriminellen Angreifern ermöglicht, systematisch Kundendaten einzusammeln.
Tapatalk, eine Wischofon-App, die Inhalte aus Webforen besser lesbar zu machen verspricht, hat „aus Versehen“ die Mailadressen von 200.000 Nutzern und möglicherweise anderen Menschen „nach Hause gefunkt“. Natürlich ist es der Hersteller von „Tapatalk“, der das als ein Versehen bezeichnet, ganz so, als ob sich Trojaner-Code von allein schriebe, ergänzt um die Zusicherung, dass die Daten nicht gespeichert würden. Die Beobachtung, dass die so ermittelten Mailadressen für Spam verwendet werden, muss also eine Illusion sein.
LastPass, eine Anwendung zur Speicherung von Passwörtern in der Cloud, hat eine unbekannte Anzahl Mailadressen von Nutzern „veröffentlicht“.
Der National Health Service, der in Großbritannien für das Gesundheitswesen zuständig ist, hat weit in die Privatsphäre reichende Daten von bis zu 700.000 Menschen, die sich explizit gegen eine solche Weitergabe ausgesprochen haben, an Dritte weitergegeben. Das ist schon ein Vorgeschmack auf das, was demnächst in der BRD mit Gesundheitsdaten geschehen wird. Und zwar mit ausdrücklichem und mit Zwangsmaßnahmen durchgesetzem politischen Willen.
Die Technische Universität Berlin hatte offenbar Probleme mit der Beherrschung der dort verwendeten Technik zur Verwaltung der Studenten und sendete einer bislang unbekannten Anzahl Studenten irrtümlich teilweise massenhaft Daten anderer Studenten zu. Vermutlich hat das einer der dort ausgebildeten akademischen Fachleute programmiert.
Die IRS, die Steuerbehörde der USA, hat rd. 100.000 weit in die Privatsphäre ragende Datensätze von Steuerzahlern „veröffentlicht“. Auch beim Staat sind Daten niemals sicher.
Adult Friend Finder, eine Website zum Knüpfen von Sexkontakten, hat sportliche 3,9 Millionen sehr weit in die Privat- und Intimsphäre ihrer Nutzer ragende Datensätze „veröffentlicht“. Eine Ermittlung der bürgerlichen Namen ist in vielen Fällen durch Hinzunahme weiterer Quellen möglich.
MySpy, eine Unternehmung, welche die Überwachung anderer Menschen mithilfe von Schadsoftware angeboten hat, hat scheinbar teilweise sehr weit in die Privatsphäre hineinragende Daten von rd. 400.000 Kunden und Zielpersonen „veröffentlicht“, die jetzt zum freien Download im Internet stehen.
AT&T hat keine Vorkehrungen zum Schutz der Daten vor externen Mitarbeitern getroffen, so dass Angestellte von „billigen“ Callcentern in großem Maße Handel mit teilweise sehr weit in die Privatsphäre der rd. 280.000 Betroffenen hineinragenden Daten getrieben haben. Sie sollten jedesmal daran denken, wenn sie als Kunde mit einem im Ausland liegenden Callcenter telefonieren, dessen Mitarbeiter eventuell nicht einmal den lächerlichen deutschen Mindestlohn bekommen! In der Bundesrepublik Deutschland mit ihrem angeblich großartigen „Verbraucherschutz“ wurde für derart fahrlässige Datenschleuderei übrigens noch nie eine Geldstrafe verhängt.
Twitch, eine von Amazon aufgekaufte Streaming-Plattform, die es ermöglicht, anderen beim Spielen zuzuschauen, hat vermutlich eine unbekannte Anzahl Datensätze aus E-Mail-Adresse, gehashtem Passwort – und in einigen Fällen: Name, Telefonnummer, Anschrift, Geburtsdatum – „veröffentlicht“.
Kreditech, ein Hamburger „Big-Data“-Startup, hat mehrere tausend Datensätze (einschließlich Kreditanträgen, eingescannten Ausweisen und Mailadressen) „veröffentlicht“ und seine davon betroffenen Nutzer ein dreiviertel Jahr lang nicht über das längst bekannte Problem informiert. Siehe auch bei Fefe.
Die Infoscore Consumer Data GmbH, eine Auskunftei aus dem Bertelsmann-Konzern, hat Millionen von weit in die Privatsphäre ragenden Datensätzen für jeden zugreifbar gegen Zahlung von Geld veröffentlicht. Ein Hack war nicht erforderlich. [Weil Inhalte auf Websites des Quasi-Staatsrundfunks häufig nach kurzer Zeit verschwinden, hier eine dauerhaft archivierte Version der NDR-Meldung.]
Onlinetvrecorder.com hat die Benutzernamen, mutmaßlich die Klartext-Passwörter sowie die FTP-Zugangsdaten einer unbekannten Menge von Nutzern „veröffentlicht“.
Uber, der in der BRD sehr umstrittene Quasitaxidienst mit App, hat die Daten von mehreren zehntausend Fahrern „veröffentlicht“.
Mars, Hersteller von „M&M’s“, hat sämtliche angegebenen Daten von Online-Bestellungen mindestens aus dem Zeitraum 2007 bis Anfang 2015 veröffentlicht, also für jeden Menschen offen und ohne Schutzmechanismen zugänglich ins Web gestellt. Ein Hack war nicht erforderlich, nur die Angabe fortlaufender Nummern in der URI.
Rd. 40.000 Installationen des Datenbanksystems MongoDB waren wegen Unwissens und/oder Fehlentscheidungen der dafür zuständigen Admins völlig offen über das Internet zugreifbar, darunter auch die Datenbank eines Mobilfunk-Anbieters aus Frankreich mit sportlichen acht Millionen Kundendaten. Zu dieser massenhaften Veröffentlichung von Daten kam es, weil kein Zugriffsschutz durch ein Passwort eingerichtet wurde. Nein, das ist kein Witz. Das ist die gegenwärtige Praxis des Datenschutzes.
Anthem, eine US-Krankenkasse, hat mehrere Millionen weit in die Privatsphäre hineinragende Datensätze ihrer Kunden „veröffentlicht“.
Impact Mailorder, ein Versand für Punk-Accessoires, hat rd. 40.000 Datensätze von Kunden „veröffentlicht“.
1&1, ein großer deutscher Webhoster, bei dem sehr viele Websites liegen, ermöglichte bei etlichen der gehosteten Websites über eine zurzeit noch unbekannte Zeitspanne hinweg den Zugriff auf die Website-Administration durch Eingabe eines beliebigen Passwortes. Jemand, der sich auf diese Weise eingeloggt hat, konnte sich auch Zugriff auf sämtliche Daten der jeweiligen Webpräsenz verschaffen, insbesondere auch auf Datenbanken von Webshops, Foren, etc.; ferner war der Einbau beliebiger Hintertüren in Websites möglich. Um im Duktus dieser Liste zu bleiben: Der Webhoster 1&1 hat die Datenbestände von etlichen bei ihm gehosteten Websites „veröffentlicht“.
Lizard Squad, eine „Hackergruppe“, hat rd. 14.000 E-Mail-Adressen, Nutzernamen und Passwörter von Nutzern ihres (natürlich illegalen) DDoS-Dienstes veröffentlicht. Diese wurden im Klartext auf dem Server abgelegt.
Nvidia hat Daten mit zurzeit unbekannten Merkmalen von rd. 8.000 Mitarbeitern und von einer unbekannten Anzahl Kunden „veröffentlicht“, unter anderem Mailadressen. Diese werden aktiv für offenbar gefährliches Phishing verwendet.
Die Betreiber des PhpBB-Supportforums haben die gesamte Datenbank ihres Forums „veröffentlicht“. Immerhin waren die Passwörter sicher gespeichert, aber die Mailadressen zusammen mit dem Nick im Forum und allen angepassten Einstellungen eines Nutzers (Wohnort, IM-Kontaktmöglichkeit, Sprache) laufen nun auch unter Kriminellen um.
Sony Pictures hat – neben dem üblichen Großtanker voller Kundendaten – die persönlichen Daten von 6.800 aktiven und früheren Mitarbeitern „veröffentlicht“ und darüber hinaus mehrere Terabyte interner Daten aller Art, einschließlich sehr persönlicher Daten diverser Menschen.
Der US Postal Service, die staatliche Post der Vereinigten Staaten von Amerika, hat 2,9 Millionen [!] Datensätze ihrer Kunden und 750.000 Datensätze ihrer Beschäftigten „veröffentlicht“, jeder einzelne für einen kriminellen Missbrauch der Identität oder für eine personalisierte Betrugsnummer ausreichend.
Sony hat die Nutzerdatenbank des Playstation Network „veröffentlicht“.
Die AfD, eine noch junge und markant konservative Partei, die auch unter den vielen Mitmenschen mit geschlossenem rechtsradikalen Weltbild Anhänger sucht und findet, hat unter anderem Gold übers Internet verkauft und die Daten einer zweistelligen Anzahl von Käufern „veröffentlicht“. [Archivierte Meldung]
JP Morgan Chase & Co., die größe Bank der Vereinigten Staaten von Amerika, hat 76 Millionen Datensätze von Privatkunden und 7 Millionen Datensätze von Geschäftskunden „veröffentlicht“.
Die Mozilla-Foundation hat monatelang die Mailadressen und Passwörter von rd. 97.000 Bugtracker-Nutzern im Internet veröffentlicht. Ja: Diese Daten lagen ohne Zugriffsschutz frei zugänglich im Internet herum.
Ups liefert nicht nur Pakete, sondern hat auch eine unbekannte Menge an Kreditkartendaten an Kriminelle ausgeliefert, die Trojaner in den Filialen installieren konnten.
Community Health Systems, ein Krankenhausbetreiber aus den USA, hat 4,5 Millionen Datensätze von Patienten „veröffentlicht“, die jeweils für einen kriminellen Identitätsmissbrauch hinreichen.
Die Mozilla-Foundation hat 76.000 Mailadressen und rd. 4000 gehashte (und gesaltete) Passwörter für jedermann und jedefrau zugänglich ins Internet gestellt.
Die Europäische Zentralbank [!] hat 20.000 Mailadressen und eine zurzeit noch unbekannte Anzahl Namen, Anschriften und Telefonnummern (sowie mutmaßlich: gehashte Passwörter – es geht aber nicht klar aus dem Artikel hervor) „veröffentlicht“.
Avast, einer der größeren Hersteller von Antivirus-Software, hat 350.000 Datensätze der Nutzer seines Webforums „veröffentlicht“ und geht davon aus, dass die Passwörter so mies gehasht wurden, dass sie gecrackt werden können. Natürlich wird Avast auch weiterhin Software für die „Computersicherheit“ verkaufen.
Ebay hat sportliche 145 Millionen [!] Kundendaten „veröffentlicht“. Die hier mitgeteilte Mutmaßung, dass es bei Ebay ein Datenleck geben könnte, hat sich somit bestätigt.
Die ARD hat die Daten von rd. 50.000 Teilnehmern einer (technisch übrigens misslungenen) TV-Quizshow „veröffentlicht“.
Orange, der französische Telefon-Provider, hat sich nicht mit den 800.000 Datensätzen vom Janaur 2014 begnügt, sondern im April 2014 noch mal weitere 1,3 Millionen Datensätze von Kunden „veröffentlicht“.
Kabel BW hat Name, Anschrift, Mailadresse und Telefonnummer aller Teilnehmer eines Gewinnspiels „veröffentlicht“.
Bei AOL konnten Angreifer von mindestens zwei Prozent der Konten das Passwort mitnehmen und vermutlich vielfach weitere Daten – wie etwa die bei AOL gespeicherten Adressbücher mit einer Zuordnung von Mailadressen zu bürgerlichen Namen – abgreifen.
LaCie, ein von Seagate aufgekaufter Hersteller von Festplatten, hat kriminellen Angreifern über ein Jahr lang Zugriff auf Kundendaten gegeben, und zwar mindestens jeweils Name, Anschrift, Kreditkartendaten, Bankverbindung, E-Mail-Adresse und Passwort. LaCie versicherte allerdings auf Twitter, dass Nutzer des Cloud-Speichers „Wuala“ nicht betroffen sind.
Boxee, ein von Samsung aufgekaufter Streaming-Dienst, hat mindestens 158.000 Datensätze registrierter Nutzer des zugehörigen Forums „veröffentlicht“, einschließlich Geburtsdatum, Mailadresse und gehashtem Passwort.
Chip Online, die Website einer beliebten Computerzeitschrift, hat bis zu 2,5 Millionen Datensätze registrierter Forumsnutzer „veröffentlicht“. Einschließlich unzureichend kryptografisch gesicherter Passwörter, die leicht lesbar gemacht werden können.
Statista, ein beliebtes Daten- und Statistikportal, hat eine unbekannte Menge an Nutzerdaten (mindestens E-Mail-Adresse und gehashtes Passwort) „veröffentlicht“.
Die Bundesrepublik Österreich hat Adressdaten, Mailadressen und – im Falle der Schüler: Testergebnisse – von 37.000 Lehrern und 400.000 Schülern „veröffentlicht“. Auch beim Staat sind Daten niemals sicher!
Die University of Maryland hat 300.000 über einen Zeitraum von 16 Jahren gesammelte Datensätze von Studenten und Angestellten „veröffentlicht“, die für einen kriminellen Identitätsmissbrauch hinreichend sind. Zitat: „Es habe sich um einen äußerst ausgeklügelten Hacker-Angriff gehandelt, teilte die Universität mit, die unter anderem groß mit ihrem Studiengang ‚Cybersecurity‘ wirbt“. Tja, große Datensammlungen wecken Begehrlichkeiten!
Kickstarter, eine Website, die es ermöglicht, in Geschäftsideen zu investieren, hat auch das Geschäft der Organisierten Kriminalität mit der „Veröffentlichung“ einer unbekannten Anzahl von Nutzerdatensätzen (Gewählter Name, E-Mail-Adresse, Anschrift, Telefonnummer, gehashtes Passwort) vorangebracht. Lobenswert: Die Nutzer wurden schnell informiert, und Kreditkartendaten wurden offenbar so abgelegt, dass sie nicht mitgenommen werden konnten.
Barclays, eine britische Großbank, die schon in vielerlei Weise von sich reden gemacht hat, hat auch 27.000 offenbar recht vollständige Kundendatensätze „veröffentlicht“, die neben den üblichen weit in die Privatsphäre hineinragenden Angaben auch Aufschluss über die finanzielle Risikobereitschaft und gemachte Geschäfte geben.
Happyshops, ein Betreiber von mehreren Handvoll Webshops mit einer halben Million Kunden, hat ein paar Kriminelle sehr glücklich gemacht, indem eine zurzeit noch unbekannte Anzahl von Kundendatensätzen „veröffentlicht“ wurde, die mindestens den Namen, die Mailadresse und ein gehashtes Passwort beinhalten.
Orange, ein großer französischer Internet- und Telefon-Provider, hat 800.000 Kundendatensätze mit Name, Anschrift, Mailadresse und Telefonnummer „veröffentlicht“.
Verschiedene Webshops, die mit der Software xt:Commerce 3 betrieben wurden, haben insgesamt mindestens 230.000 Kundendatensätze mit Passwort „veröffentlicht“.
Opensuse hat mal eben alle Mailadressen der Nutzer des zugehörigen Forensystems „veröffentlicht“ – in diesem Fall ist aber besonders lobenswert, dass die Passwörter auf einem anderen Rechner gespeichert wurden und deshalb nicht mit abgegriffen werden konnten. So viel Umsicht würde ich mir bei kommerzielleren Auftritten im Web auch wünschen! Und zwar zusätzlich zur schnellen Information der betroffenen Nutzer und dem Einräumen des erfolgreichen Angriffs, die auch nicht selbstverständlich sind, obwohl sie es sein sollten!
SnapChat, ein Anbieter des Dienstes, Fotos so zu versenden, dass sie angeblich nur einmal betrachtet werden können, hat – nachdem monatelang nicht auf ein bekanntes Sicherheitsloch reagiert wurde – 4,6 Millionen Datensätze seiner Nutzer veröffentlicht.
Target, ein sehr großes US-amerikanisches Einzelhandelsunternehmen, hat 40 Millionen Kontoinformationen zu Kredit- und Debitkarten „veröffentlicht“, die aktiv kriminell missbraucht wurden.
Die Spieleklitsche EA hat eine unbekannte Anzahl ihrer Kundendatensätze mit unbekannten Merkmalen „veröffentlicht“, die von Spammern verwendet werden.
Vodafone hat die SMS von 70.000 isländischen Kunden „veröffentlicht“, und natürlich auch die Kundendaten.
Das vBulletin-Supportforum hat seine gesamte Nutzerdatenbank „veröffentlicht“.
Sky, dieser Gib-Geld-fürs-Glotzen-Sender, hat seine Kundendatenbank „veröffentlicht“.
Adobe hat 153 Millionen [!] Kundendatensätze „veröffentlicht“.
Vodafone Deutschland hat zwei Millionen Kundendatensätze „veröffentlicht“. Die ganz besondere Kompetenz und der unbändige Wille zum Datenschutz bei Vodafone Deutschland zeigt sich darin, dass externe Dienstleister lt. Presse Vollzugriff auf die Kundendaten haben und sie einfach mitnehmen können. Deshalb spreche ich auch hier von einer „Veröffentlichung“, obwohl es sich um einen gezielten Angriff handelt und die Daten nicht über das Internet zugänglich waren.
Apple hat Mailadressen, Namen und Anschriften der registrierten Entwickler „veröffentlicht“.
Canonical hat die Nutzerdatenbank des Ubuntu-Forums „veröffentlicht“.
Ubisoft hat die Mailadressen seiner Kunden „veröffentlicht“.
Eset hat seine Kundendatenbank „veröffentlicht“ (und bietet trotzdem weiterhin Produkte für Computersicherheit an und muss trotz dieser öffentlich belegten Unfähigkeit nicht in die Insolvenz).
Facebook hat mindestens sechs Millionen Mailadressen und Telefonnummern von Nutzern „veröffentlicht“.
Das Drupal-Projekt hat eine fluffige Million Benutzerdatensätze „veröffentlicht“.
LivingSocial hat fünfzig Millionen Datensätze von Nutzern „veröffentlicht“.
Die FDP hat 37.000 Mailadressen eines Wahlkampfforums „veröffentlicht“.
Scribd hat rd. eine Million Datensätze „veröffentlicht“.
Amazon hat in seinem Cloud-Angebot sportliche 120 Milliarden Dateien [!] aller Art (darunter auch Datenbanken, Korrespondenz, Adressbücher, Kalkulationen, Notizen) „veröffentlicht“, was leider niemanden dazu motiviert, auf den in aller Regel überflüssigen Bullshit der „Cloud“ zu verzichten.
Groupon hat offenbar seine Nutzerdatenbank „veröffentlicht“, was aber niemals offiziell von Groupon bestätigt wurde. So wissen die Groupon-Kunden gleich, wie sehr sie verachtet werden, wenn bei Groupon offiziell keine Daten mitgenommen wurden, aber das Phishing mit einer bei Groupon angegebenen Mailadresse und dem Klarnamen läuft. Leider hat das keine Folgen für Groupon gehabt.
Evernote hat die Mailadressen aller seiner Nutzer „veröffentlicht“.
Facebook hat jedem registrierten Entwickler Zugriff auf alle Daten jedes Benutzerkontos gegeben – und es war für einen Kriminellen relativ einfach, sich gegenüber Facebook als Entwickler auszugeben.
Google gab bei jedem App-Verkauf im Android-Store die Mailadresse des Käufers an den Verkäufer weiter. Ja, mit jedem App-Kauf für eine Handvoll Cent hat man seine Mailadresse an ein weitgehend anonymes Gegenüber gegeben, ohne dass diese Datenweitergabe Googles klar war.
Twitter hat eine Viertelmillion Mailadressen „veröffentlicht“.
Die belgische Staatsbahn hat ihre gesamte Kundendatenbank für den freien Zugriff im Web veröffentlicht. Hier ist das Wort „veröffentlicht“ ausnahmsweise kein Euphemismus für eine ausgebeutete Sicherheitslücke, sondern eine Beschreibung dessen, was getan wurde.
Coca-Cola hat über mit Schadsoftware übernommene Computer eine unbekannte Menge interner Daten an Kriminelle übermittelt.
Mister Spex hat seine Kundendatenbank „veröffentlicht“.
DropBox hat mal eben die Kundendatenbank mit einer Reihe von unfassbaren Schlampigkeiten an unerfreuliche Zeitgenossen gegeben.
meetOne hat durch seine „Veröffentlichung“ bei 900.000 Nutzern dafür gesorgt, dass sich wenigstens der Posteingang nicht mehr ganz so einsam anfühlt.
Gamigo hat acht Millionen Mailadressen „veröffentlicht“.
AndroidForums.com hat anderthalb Millionen Mailadressen „veröffentlicht“.
Formspring hat seine Nutzerdatenbank „veröffentlicht“.
DHL hat es zwar niemals bestätigt, aber es deutet einiges darauf hin, dass DHL Mailadressen „veröffentlicht“ hat. Diese wurden für sehr gefährliches, personalisiertes Phishing verwendet.
Twitter hat 55.000 Accountdaten „veröffentlicht“.
YouPorn hat die Mailadressen einiger registrierter Nutzer „veröffentlicht“.
Zappos hat 24 Millionen Datensätze seiner Kunden „veröffentlicht“.
Immobilienscout 24 hat große Teile seiner Kundendatenbank „veröffentlicht“.
BuyVIP hat eine unbekannte Anzahl von Kundendaten „veröffentlicht“.
Netlog ist ein Datenstaubsauger, der jeder Beschreibung spottet. Wofür die Daten benutzt werden, ist nicht klar. Sie werden auf jedem denkbaren Weg klandestin eingesammelt.
Sony hat seine Kundendatenbank teilweise „veröffentlicht“.
Acer hat seine Kundendatenbank zum freien FTP-Download gestellt. Ein „Hack“ war nicht erforderlich.
Neckermann hats möglich gemacht, auf 1,2 Millionen Kundendatensätze mit unbekannten Merkmalen zuzugreifen.
The Pirate Bay [!] hat vier Millionen Datensätze von registrierten Nutzern „veröffentlicht“.
SchülerVZ hat mit echtem „Datenschutz made in Germany“ 1,6 Millionen Datensätze „veröffentlicht“.

Es ist egal, wie renommiert eine Unternehmung ist.

Es ist egal, welche Datenschutzversprechungen sie macht, welche (teuren) Siegel irgendwelcher Prüfstellen sie in ihre Website einfügt und wie sehr sie mit der ganzen Kraft einer verlogenen Reklamefirma darum bemüht ist, so zu tun, als seien alle Daten in sicheren Händen.

Datenschutz kostet Geld. Jeden Monat. Jeden Tag. Und wenn dieses Geld eingespart wird, dann sinkt der Umsatz in der Regel nicht. Deshalb wird am Datenschutz gespart. Fast überall. Und es fällt dem normalen Nutzer oder Kunden erst dann auf, wenn es zu spät ist.

Und. Es wird an mehr Orten am Datenschutz gespart, als sie es in diesem Moment für möglich halten.

Aber es kommt noch schlimmer: Es ist letztlich egal, wie viel Geld in den Datenschutz investiert wird.

Jeder Computer mit permanenter Anbindung ans Internet ist ein Opferrechner. Er ist jeden Augenblick allen möglichen Angriffen ausgesetzt, deren Bandbreite vom Kinderkram bis zur planvollen kriminellen Attacke mit einem bestimmten Ziel geht. Selbst der aufmerksamste und fachkundigste Administrator kann es nicht verhindern, dass auch einmal ein Angriff gelingt. Und je größer die Datensammlung und damit das kriminelle Potenzial ist, desto größer ist die Wahrscheinlichkeit, dass völlig neuartige Angriffsmethoden erstmals ausprobiert werden.

Alle Daten, die auf einem Computer mit permanenter Anbindung ans Internet (auch mit indirekter Anbindung über eine intern verwendete API) gespeichert sind, sind gefährdet.

Der einzig wirksame Datenschutz ist Datenvermeidung. Das heißt auch: Auf Datenpreisgabe gegenüber anderen so oft wie möglich verzichten. Und. Dazu gehört (zurzeit) unter anderem, kein Smartphone zu benutzen. Smartphones sind eine große Gefährdung für die Privatsphäre.

Jede andere Maßnahme außer strikter Datensparsamkeit ist der eigenen Kontrolle enthoben, ist ein Fürwahrhalten der Versprechungen eines recht anonym bleibenden Gegenübers in einem technischen, anonymisierenden Medium. Die hier gegebene Liste sollte zeigen, dass die Versprechungen auch bei renommierten Unternehmen nicht die Elektronen wert sind, über die sie durchs Internet befördert werden. Tatsächlich halte ich irgendwelche „Siegel“ (auch die Siegel des TÜV), die Datenschutz garantieren sollen, für ein Zeichen, dass Kunden und Nutzer mit leeren Versprechungen verblendet werden sollen.

Und was bei dieser schon erdrückenden Liste von bekannt gewordenen Datenschutz-Vorfällen niemals vergessen werden sollte: Nicht jedes Datenleck wird bekannt. Ich habe mich zwar beim Zusammenstellen darum bemüht, auch ein paar unbekanntere aufzunehmen, die nicht in die allgemeine Presse gingen, aber vieles ist auch an mir vorbeigegangen. Und einiges bleibt trotz starker Hinweise unklar, etwa der mit Indizien begründete Verdacht, dass ein Datenleck ausgerechnet beim DE-Mail-Teilnehmer GMX aufgetreten ist. Da müsste es viele hunderttausend Betroffene geben. Er ist leider kein Thema für die Journaille – stattdessen wird die Sicherheit und der Datenschutz von DE-Mail bejubelt, die ja sind, weil im Gesetz steht, dass es sicher und datenschützend ist…

Ach!

Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Die Datenschleuder-Seite