Rückblick Datenpannen und Sicherheitsvorfälle 2019
22. Januar 20202019 war ein ereignisreiches Jahr, in dem sich zahlreiche Datenpannen, Cyber-Attacken und Sicherheitsvorfälle ereignet haben. Alleine Facebook mit Instagram und WhatsApp zusammen stehen im Zusammenhang mit acht Datenschutzpannen. Bei Sprachassistenten sorgen alle Tech-Riesen für Schlagzeilen. Wir haben die größten und aufsehenerregendsten Fälle in einem Überblick in zwei Teilen zusammengefasst:
Teil 1: Januar bis Juni 2019
Januar
Massen-Doxing: persönliche Daten von Politikern und anderen Prominenten veröffentlicht
Das Jahr beginnt spektakulär: Ein 20-jähriger aus Hessen veröffentlicht unter dem Twitter-Konto @_0rbit persönliche Daten und parteiinterne Dokumente von rund 1.000 deutschen Politikern und anderen Prominenten. Gegen den Tatverdächtigen wurde bereits 2016 ermittelt, jedoch scheiterten die Kriminalbeamten an verschlüsselten Datenträgern. Erst durch einen Hinweis eines Sicherheitsexperten kam es zur Verknüpfung der Ermittlungen mit dem neuen Fall. Die CDU/CSU fordert eine Verschärfung der Strafen für Hacker und eine Ausweitung der Befugnisse der Ermittlungsbehörden. [1] [2] [3] [4] [5]
Collection #1: 21 Millionen Passwörter zu Online-Konten in Untergrundforen aufgetaucht
Der Security-Blogger Troy Hunt findet eine gigantische Sammlung an Zugangsdaten zu Online-Diensten mit dem Namen Collection #1 im Internet. Darunter sind 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter im Klartext sowie über 1,16 Milliarden Kombinationen der Daten. [1]
Collection #2 bis #5: Weitere 1,3 Milliarden Zugangsdaten
Kurz nach Collection #1 entdecken Mitarbeiter des Hasso-Plattner-Instituts in einem Hackerforum die Collections #2 bis #5. Das Institut richtet eine Plattform ein, auf der unter Angabe der E-Mail-Adresse herausgefunden werden kann, ob diese in den Datenbeständen vorhanden ist. [1]
Offener Elasticsearch Server mit 108 Millionen Datensätzen
Der Sicherheitsforscher Justin Paine entdeckt im Internet einen Elasticsearch Server einer Online-Kasino-Gruppe. Die Betreiber versäumten es, einen Zugangsschutz zu setzen. [1]
Ungeschützte MongoDB-Datenbank mit 208 Millionen Lebensläufen
Bob Diachenko von Hacken.io findet durch Analyse eines Datenstroms einer Suchmaschine eine offene MongoDB. Ohne Passwortschutz kann auf Lebensläufe von chinesischen Jobsuchenden zugegriffen werden. [1]
Ausfälle der Microsoft Cloud
Im Zeitraum vom 29. Januar bis 1. Februar 2019 fallen großflächig die Clouds für Office 365 und einige Azure-Dienste aus. Ursächlich sind Netzwerkkomponenten sowie Störungen des DNS. [1]
24 Millionen Hypotheken- und Bankkreditdokumente ungeschützt im Netz
Ebenso entdeckt der Sicherheitsforscher Bob Diachenko eine ungeschützte Elasticsearch Datenbank im Internet, die auf das Daten- und Analyseunternehmen Ascension im US-Bundesstaat Texas zurückzuführen ist. Die Datenbank enthhält 51 Gigabyte an Berichten, die per Texterkennung (OCR) erfasst wurden. [1] [2]
Februar
617 Millionen Zugangsdaten im Darknet aufgetaucht
Auf der Schwarzmarkt-Webseite Dream Market wird für 20.000 US-Dollar eine Datenbank mit erbeuteten Daten von 16 verschiedenen Webseiten angeboten. [1] [2] Kurze Zeit später offeriert der Hacker für weitere acht Webseiten 127 Millionen Zugangsdaten zu einem Preis von 14.500 US-Dollar. [1] [2]
März
Hacker bleiben fünf Monate lang im Netzwerk von Citrix unentdeckt
Unbekannte Hacker dringen in das interne Netzwerk von Citrix ein und kopieren Geschäftsdokumente und persönliche Daten von Mitarbeitern. [1]
Bitlocker Schlüssel lassen sich aus dem TPM-Chip auslesen
Mit einer Hardware für umgerechnet 25 Euro demonstriert Sicherheitsexperte Denis Andzakovic, wie man den Schlüssel für die Bitlocker-Verschlüsselung von Microsoft aus dem TPM-Chip ausliest. Einziger Schutz ist eine PIN als Pre-Boot-Authentication.
Offene MongoDB-Datenbank von verifications.io mit über 763 Millionen E-Mail-Adressen
Erneut entdeckt Sicherheitsexperte Bob Diachenko eine ungeschützte MongoDB. In dem 150 Gigabyte großen Datenschatz des E-Mail-Verifizierungsdienstes befinden sich E-Mail-Adressen, Telefonnummern und Angaben zu Leads. [1]
Mehr als 20.000 Facebook-Mitarbeiter haben Zugriff auf Klartext-Passwörter
Unter Berufung auf einen nicht namentlich genannten Insider berichtet IT-Sicherheitsexperte Brian Krebs in seinem Blog, dass Mitarbeiter von Facebook auf die unverschlüsselten Passwörter von bis zu 600.000 Millionen Facebook- und Instagram-Nutzern zugreifen konnten. [1] [2]
95.000 Bilder und 25.000 Tonmitschnitte von Stalkerware offen im Internet
Motherboard berichtet von einer offenen Datenbank eines Anbieters von Stalkerware. Nutzer dieser Software überwachen damit Kinder und Ehepartner. In der Datenbank befinden sich mehr als 95.000 Bilder und über 25.000 Tonaufnahmen. Der Fund reiht sich in 12 andere Fälle von Stalkerware-Anbietern wie beispielsweise FlexiSpy ein, die durch ungeschützte Datenbanken Schlagzeilen machten. [1]
Defibrillator-Implantate mit Security-Problemen
Medtronic sorgte bereits 2018 auf der Hacker-Konferenz Black Hat mit Schwachstellen in Herzschrittmachern und Insulinpumpen für Aufmerksamkeit. 2019 werden kritische Schwachstellen in dessen Defibrillator-Implantaten bekannt. Die Geräte können von Hackern aus der Ferne so manipuliert werden, dass sie im Ernstfall versagen. [1] [2] [3]
Ransomware legt Norsk Hydro lahm
Norsk Hydro, einer der größten Aluminiumhersteller mit Sitz in Norwegen, wird mit der Ransomware LockerGoga erpresst. Betroffen sind sowohl das Büro- als auch das Produktionsnetzwerk. Einige der weltweit 50 Werke werden in Folge dessen auf manuellen Betrieb umgestellt. [1]
400.000 US-Dollar Beute mit Ransomware
Ein Angriff mit einem Erpressungstrojaner legt die Verwaltung des Jackson County im US-Bundesstaat Georgia weitgehend lahm. Die Verwaltung zahlt angesichts der Drohkulisse von mehrmonatigem Totalausfall der IT das Lösegeld in Höhe von 400.000 US-Dollar. [1] [2]
April
Arztpraxis schließt nach Ransomware-Angriff
Im US-Bundesstaat Michigan schließt die Arztpraxis Brookside ENT & Hearing Services nach einem Befall mit Ransomware. [1]
Hacker verschaffen sich Zugriff auf private Outlook.com Mailboxen
Über eine Schwachstelle des Microsoft Kundensupportportals gelingt es Hackern, über einen Zeitraum von sechs Monaten, Zugriff auf nicht-geschäftliche Outlook.com-Konten zu erlangen. [1] [2]
Citycomp mit Veröffentlichung von Großkundendaten erpresst
Der weltweit operierende IT-Dienstleister Citycomp mit Sitz in Ostfildern-Scharnhausen bei Stuttgart wird gehackt und mit der Veröffentlichung der erbeuteten Kundendaten erpresst. Der Datenbestand soll sich auf 516 Gigabyte mit 312.570 Dateien in 51.025 Ordnern bemessen. Zu den Kunden von Citycomp gehören Ericsson, Leica, Toshiba, UniCredit, British Telecom, Hugo Boss, NH Hotel Group, Oracle, Airbus, Porsche und Volkswagen. [1] [2] [3]
Hackergruppe Winnti bricht bei Chemiekonzern Bayer ein
Die IT-Systeme des DAX-Konzerns Bayer AG werden von der Hackergruppe Winnti mit Schadsoftware infiziert. Die Gruppe agiert nach Meinung von Sicherheitsexperten im Auftrag des chinesischen Staates. Erste Winnti-Infektionen gab es laut Bayer bereits Anfang 2018. Im Juli 2019 wird durch Recherchen des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) bekannt, dass mindestens acht deutsche Unternehmen von der Winnti-Gruppe angegriffen wurden. Unter den Zielen der Angreifer befinden sich auch Siemens, BASF und Henkel. [1] [2] [3] [4]
Hacker knackt zehntausende Benutzerkonten von GPS-Tracker-Apps
Durch Reverse-Engineering der GPS-Tracker-Apps iTrack und ProTrack findet ein Hacker das Passwort und die Adressen für die Tracking-Server heraus. Die Mühe hätte er sich fast sparen können, denn das Standardpasswort lautet 123456 und findet sich damit regelmäßig in den Top 10 der Passwortlisten. Einige der Tracker können bei Stillstand den Motor von Fahrzeugen ausschalten. [1] [2]
4.000 Datensätzen von FBI-Agenten im Internet
Eine Hackergruppe, die nach eigenen Angaben mehr als 1.000 Webseiten gehackt haben will, veröffentlicht als Beweis hierfür die Datensätze von 4.000 FBI-Ermittlern im Internet. Die Datensätze enthalten Klarnamen, private und dienstlichen E-Mail-Adressen, Berufsbezeichnungen, Telefonnummern und Postanschriften. [1] [2]
Offene GPS-Tracker von Vidimensio
GPS-Tracking-Smartwatches der österreichischen Firma Vidimensio ermöglichen es jedermann, deren Träger metergenau zu orten und Gespräche abzuhören. [1] [2]
Offene Datenbank mit WLAN-Zugangsdaten von mehr als zwei Millionen Hotspots
Die populäre Android-App WiFi Finder soll ihren Anwender dabei helfen, sich mit Hotspots zu verbinden. Sicherheitsexperten von TechCrunch finden heraus, dass die Zugangsdaten für die Datenbank ungesichert sind. In der Datenbank waren neben öffentlichen Hotspots auch die WLAN-Namen (SSID), Geokoordinaten, BSSID (eindeutige ID des Access Points) und Passwörter im Klartext von zahlreichen privaten WLAN Access Points gespeichert. Der Entwickler der App reagierte auf den Hinweis von TechCrunch nicht. Die Sicherheitsexperten erreichen schließlich über den Hoster Digital Ocean, dass die Datenbank vom Netz genommen wird. [1]
Datenleck bei E-Learning-Plattform Oncampus
Nach einem Bericht von Golem erhalten Nutzer des deutschen E-Learning-Anbieters Oncampus betrügerische E-Mails über Mailadressen, die nur bei Oncampus verwendet werden. Golem findet durch eigene Recherchen PHP-Schwachstellen auf den Webservern, die möglicherweise als Einfallstor für Hacker gedient haben.
Ungeschützte Backup-Datei mit 120.000 Profilen der Datingbörse Web-Amor
Es ist nicht das erste Mal, dass Backup-Dateien mit personenbezogenen Daten ungeschützt auf Webservern liegen. So lag 2017 bei der Deutschen Post unter der Adresse https://www.umziehen.de/dump.sql eine ungeschützte Backup-Datei der Mysql-Datenbank mit 200.000 Kundendaten für jedermann zum Download verfügbar. Ähnliches findet sich bei der Datingbörse Web-Amor, deren Betreiber von Golem zu dem Fund kontaktiert wird. Einsichtig zeigt sich der Betreiber jedoch nicht: "Haben Sie Wichtigtuer nichts Besseres zu tun?", erhält Golem als Antwort. Der zuständige Thüringer Landesbeauftragte für den Datenschutz wird informiert.
Ungeschützte Datenbank mit 12,5 Millionen Daten über schwangere Frauen im Netz
Und wieder ist es Bob Diachenko, der eine weitere ungeschützte Datenbank im Internet aufspürt. Dieses Mal stößt er auf eine Datenbank der indischen Regierung, die ohne Passwortschutz Zugriff auf Daten von 12,5 Millionen schwangeren Frauen ermöglicht. [1]
540 Millionen Datensätze von Facebook-Apps ungeschützt auf AWS-Servern
Die mexikanische Medienfirma Cultura Colectiva legt Daten ihrer Facebook-Apps auf ungeschützte Bereiche bei Amazons Cloud-Dienst AWS ab. [1] [2 [3]
"Alexa": Amazon Mitarbeiter hören mit
Einem Bericht des Finanznachrichtendienstes Bloomberg zufolge scheint die KI (Künstliche Intelligenz) der hinter "Alexa" stehenden Infrastruktur noch nicht weit entwickelt. Ein Teil der an "Alexa" gerichteten Befehle wird zur Verbesserung der Spracherkennung von Amazon-Mitarbeitern angehört, abgetippt und geprüft. Dabei gelangen auch Aufnahmen durch Fernsehgeräusche oder nicht identifizierbaren Lärm ohne Kenntnis der Benutzer an die Mitarbeiter. Amazon ermöglicht in den Einstellungen, der Nutzung der Aufnahmen zur Weiterentwicklung des Dienstes zu widersprechen. Auch Google und Apple geben auf Nachfrage von Bloomberg an, Aufnahmen einer menschlichen Prüfung zu unterziehen. [1]
Mai
Emotet-Befall beim Heise Zeitschriften Verlag
Ein Mitarbeiter der Heise Gruppe öffnet eine E-Mail, die sich auf einen echten Geschäftsvorgang bezieht. Das angehängte Word-Dokument ist jedoch mit dem Erpressungstrojaner Emotet infiziert. Als der Mitarbeiter die Bearbeitungsfunktion der Word-Datei aktiviert, breitet sich Emotet im Netzwerk der Heise Gruppe und des Verlags Heinz Heise aus. Obwohl zahlreiche Computer mit Emotet und dem meist dazugehörigen Schadprogramm Trickbot befallen sind, kann die Verschlüsselung von Daten verhindert werden. [1]
11 Millionen Fotos ungeschützt auf Ricohs Foto-Portal Theta360
Mitarbeiter von vpnMentor haben eine ungeschützte Elasticsearch-Datenbank entdeckt, die zu Ricohs Foto-Portal Theta360 gehört. Unter den 11 Millionen Fotos befinden sich den Sicherheitsforschern zufolge auch sehr private Fotos. In einigen Fällen sind auch die Benutzernamen von Social-Media-Plattformen angegeben. [1]
Missbrauch der Jobbörse der Bundesagentur für Arbeit durch Datenhändler
SWR-Reporter finden heraus, dass auf der Jobbörse der Bundesagentur für Arbeit tausende fingierte Stellenangebote von Datenhändlern publiziert werden. Ziel ist nicht die Besetzung einer konkreten Stelle, sondern das Sammeln und Weiterverkaufen von Bewerberdaten. Ein Datenhändler berichtet von bis zu 3.000 publizierte Stellenanzeigen pro Tag. In Folge entstehen zwischen 3.000 und 5.000 Datensätze pro Monat. Kostenpunkt: 3 Euro pro Datensatz. [1]
TeamViewer von Winnti-Gruppe gehackt
Gegenüber dem Nachrichtenmagazin Spiegel bestätigt die Göppinger Firma TeamViewer, Anbieter der gleichnamigen Fernwartungssoftware, dass sie im Jahr 2016 von der Hacker-Gruppe Winnti angegriffen wurde. Die komplette Infrastruktur wurde ausgetauscht. Der Vorfall wurde nicht bekannt gemacht, da angeblich keine Belege für die Infektion von Kundensystemen und den Diebstahl von Kundendaten gefunden wurden. [1]
Wahlwerbung an Säuglinge
Bei Melderegisterauskünften für Wahlwerbung kommt es zur Übermittlung von Nichtwahlberechtigen und Personen, für die Übermittlungssperren eingetragen sind. In der Folge erhalten auch Säuglinge und Kleinkinder personalisierte Wahlwerbung. [1]
Hacker dringen bei Pharmakonzern Charles River Laboratories ein
Alle großen Pharma- und Biotech-Konzerne sowie jede größere akademische und behördliche Forschungseinrichtung zählt zum Kundenkreis von Charles River Laboratories. Laut Kundenmitteilung dringen unbekannte Angreifer in das interne Netzwerk des Konzerns ein und kopieren vertrauliche Kundendaten. [1] [2]
Trojaner-Befall bei Nutzung des Cloud-Speicherdienstes von Asus
Unzureichende Sicherheitsvorkehrungen ermöglichen es Angreifern, den Cloud-Speicherdienst WebStorage von Asus zu kompromittieren. Nutzer des Dienstes können zu diesem Zeitpunkt gezielt mit Trojanern infiziert werden. [1]
139 Millionen Nutzerdaten von Online-Designanwendung Canva entwendet
Die Hackergruppe GnosticPlayers soll alle auf Canva gespeicherten Daten kopiert haben. Betroffen sind 139 Millionen Nutzer. [1]
IT-Systeme der US-Stadt Baltimore zum dritten Mal mit Ransomware infiziert
Über den aus einem NSA-Leak bekannt gewordene Exploit "Eternal Blue" werden 10.000 Verwaltungssysteme der US-Stadt Baltimore mit der Ransomware "RobbinHood" infiziert und verschlüsselt. Zeitweise sind E-Mail-System und Abrechnungssysteme außer Betrieb. Die Erpresser fordern 13 Bitcoins Lösegeld, die Stadt will nach Rücksprache mit dem FBI jedoch nicht zahlen. Die Schadensprognose liegt bei umgerechnet 16,1 Millionen Euro. [1] [2] [3] [4]
Sicherheitslücke in WhatsApp
Facebook gibt eine Sicherheitswarnung zu einer Schwachstelle im VoIP-Stack von WhatsApp heraus. Unbefugte haben über die Anruffunktion von WhatsApp die Möglichkeit, Fernzugriff auf das jeweilige Gerät zu erlangen. [1]
885 Millionen Dokumente von Immobilienkäufern ungeschützt im Netz
Der US-Immobiliendienstleister First American Financial Corp. speichert vertrauliche Unterlagen im Zusammenhang mit Hypothekengeschäften ungeschützt auf seinem Webserver. Es braucht lediglich Kenntnis der genauen Adresse. Diese bekommt man als Kunde per E-Mail. Ändert man die Vertragsnummer, ist der unautorisierte Zugriff auf insgesamt 885 Millionen Dokumente möglich. [1] [2]
Juni
WeTransfer verschickt E-Mails mit Download-Adressen an falsche Benutzer
Über WeTransfer lassen sich Dateien teilen. Aus unbekannten Gründen erhalten zwischen dem 16. und 17. Juni jedoch neben den beabsichtigten Empfängern auch unbeteiligte Dritte E-Mails mit entsprechenden Download-Links. Da für den Download keine Authentisierung erforderlich ist, können Dritte an die Daten gelangen. [1]
Inkassodienstleister AMCA verliert durch Hack 17,7 Millionen Patientendaten
Die beiden Pharmaunternehmen Quest Diagnostics und LabCorp müssen gegenüber der US-Börsenaufsicht SEC zugeben, dass ihr Inkassodienstleister AMCA Daten durch einen Hackerangriff verloren hat. Die Daten enthalten Zahlungsinformationen, medizinische Befunde und Sozialversicherungsnummern von Patienten. [1] [2]
Stadtverwaltung Riviera Beach von Ransomware betroffen
Die IT-Systeme der Stadtverwaltung Riviera Beach in Florida werden durch einen Ransomware-Angriff verschlüsselt. Nach drei Wochen beschließt der Stadtrat, das Lösegeld in Höhe von 600.000 US-Dollar zu zahlen. [1] [2]
Drei führende Anti-Viren-Hersteller gehackt
Russische Hacker behaupten, in die Netze von drei führenden Herstellern von Anti-Viren-Software eingedrungen zu sein. In Sicherheitskreisen wird die russische Hackergruppe Fxmsp als Täter vermutet. Bei den drei Unternehmen soll es sich um McAfee, Symantec und TrendMicro handeln. [1] [2]
Codename Soft Cell: Weltweite Operation gegen Telekommunikationsanbieter
Mehr als zehn Telekommunikationsunternehmen mit Schwerpunkt Mobilfunk werden seit spätestens 2017 von einer Hackergruppe angegriffen. Die Täter nutzen vorwiegend Schwachstellen in IIS-Webservern und platzieren dort Webshells. Damit können Zugangsdaten mitgeschnitten und weitere Angriffs-Tools platziert werden. Analysen zufolge sollen die Hacker es auf die Metadaten von Kunden sowie deren Standortinformation abgesehen haben. Die verwendeten Einbruchswerkzeuge waren typisch für die chinesische Hackergruppe APT10, der staatliche Unterstützung nachgesagt wird. [1] [2] [3]
Ungeschützte Unterstützerlisten auf Petitionsplattform von Campact
Die Petitionsplattform WeAct von Campact ermöglicht den unautorisierten Zugriff auf Listen der Unterstützer von Kampagnen. Insgesamt 1,8 Millionen Unterstützer sollen betroffen sein. [1]
Fotos von Reisenden bei der US-Grenzschutzbehörde CBP von Hackern kopiert
Rund 100.000 Reisende sind von einem Datenleck der US-Grenzschutzbehörde betroffen. Fotos und Videos von Nummernschildern werden im Darknet kostenlos zum Download angeboten. [1] [2]