2019 war ein ereignisreiches Jahr, in dem sich zahlreiche Datenpannen, Cyber-Attacken und Sicherheitsvorfälle ereignet haben. Alleine Facebook mit Instagram und WhatsApp zusammen stehen im Zusammenhang mit acht Datenschutzpannen. Bei Sprachassistenten sorgen alle Tech-Riesen für Schlagzeilen. Wir haben die größten und aufsehenerregendsten Fälle in einem Überblick in zwei Teilen zusammengefasst:
Januar
Das Jahr beginnt spektakulär: Ein 20-jähriger aus Hessen veröffentlicht unter dem Twitter-Konto @_0rbit persönliche Daten und parteiinterne Dokumente von rund 1.000 deutschen Politikern und anderen Prominenten. Gegen den Tatverdächtigen wurde bereits 2016 ermittelt, jedoch scheiterten die Kriminalbeamten an verschlüsselten Datenträgern. Erst durch einen Hinweis eines Sicherheitsexperten kam es zur Verknüpfung der Ermittlungen mit dem neuen Fall. Die CDU/CSU fordert eine Verschärfung der Strafen für Hacker und eine Ausweitung der Befugnisse der Ermittlungsbehörden. [1] [2] [3] [4] [5]
Der Security-Blogger Troy Hunt findet eine gigantische Sammlung an Zugangsdaten zu Online-Diensten mit dem Namen Collection #1 im Internet. Darunter sind 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter im Klartext sowie über 1,16 Milliarden Kombinationen der Daten. [1]
Kurz nach Collection #1 entdecken Mitarbeiter des Hasso-Plattner-Instituts in einem Hackerforum die Collections #2 bis #5. Das Institut richtet eine Plattform ein, auf der unter Angabe der E-Mail-Adresse herausgefunden werden kann, ob diese in den Datenbeständen vorhanden ist. [1]
Der Sicherheitsforscher Justin Paine entdeckt im Internet einen Elasticsearch Server einer Online-Kasino-Gruppe. Die Betreiber versäumten es, einen Zugangsschutz zu setzen. [1]
Bob Diachenko von Hacken.io findet durch Analyse eines Datenstroms einer Suchmaschine eine offene MongoDB. Ohne Passwortschutz kann auf Lebensläufe von chinesischen Jobsuchenden zugegriffen werden. [1]
Im Zeitraum vom 29. Januar bis 1. Februar 2019 fallen großflächig die Clouds für Office 365 und einige Azure-Dienste aus. Ursächlich sind Netzwerkkomponenten sowie Störungen des DNS. [1]
Ebenso entdeckt der Sicherheitsforscher Bob Diachenko eine ungeschützte Elasticsearch Datenbank im Internet, die auf das Daten- und Analyseunternehmen Ascension im US-Bundesstaat Texas zurückzuführen ist. Die Datenbank enthhält 51 Gigabyte an Berichten, die per Texterkennung (OCR) erfasst wurden. [1] [2]
Februar
Auf der Schwarzmarkt-Webseite Dream Market wird für 20.000 US-Dollar eine Datenbank mit erbeuteten Daten von 16 verschiedenen Webseiten angeboten. [1] [2] Kurze Zeit später offeriert der Hacker für weitere acht Webseiten 127 Millionen Zugangsdaten zu einem Preis von 14.500 US-Dollar. [1] [2]
März
Unbekannte Hacker dringen in das interne Netzwerk von Citrix ein und kopieren Geschäftsdokumente und persönliche Daten von Mitarbeitern. [1]
Mit einer Hardware für umgerechnet 25 Euro demonstriert Sicherheitsexperte Denis Andzakovic, wie man den Schlüssel für die Bitlocker-Verschlüsselung von Microsoft aus dem TPM-Chip ausliest. Einziger Schutz ist eine PIN als Pre-Boot-Authentication.
Erneut entdeckt Sicherheitsexperte Bob Diachenko eine ungeschützte MongoDB. In dem 150 Gigabyte großen Datenschatz des E-Mail-Verifizierungsdienstes befinden sich E-Mail-Adressen, Telefonnummern und Angaben zu Leads. [1]
Unter Berufung auf einen nicht namentlich genannten Insider berichtet IT-Sicherheitsexperte Brian Krebs in seinem Blog, dass Mitarbeiter von Facebook auf die unverschlüsselten Passwörter von bis zu 600.000 Millionen Facebook- und Instagram-Nutzern zugreifen konnten. [1] [2]
Motherboard berichtet von einer offenen Datenbank eines Anbieters von Stalkerware. Nutzer dieser Software überwachen damit Kinder und Ehepartner. In der Datenbank befinden sich mehr als 95.000 Bilder und über 25.000 Tonaufnahmen. Der Fund reiht sich in 12 andere Fälle von Stalkerware-Anbietern wie beispielsweise FlexiSpy ein, die durch ungeschützte Datenbanken Schlagzeilen machten. [1]
Medtronic sorgte bereits 2018 auf der Hacker-Konferenz Black Hat mit Schwachstellen in Herzschrittmachern und Insulinpumpen für Aufmerksamkeit. 2019 werden kritische Schwachstellen in dessen Defibrillator-Implantaten bekannt. Die Geräte können von Hackern aus der Ferne so manipuliert werden, dass sie im Ernstfall versagen. [1] [2] [3]
Norsk Hydro, einer der größten Aluminiumhersteller mit Sitz in Norwegen, wird mit der Ransomware LockerGoga erpresst. Betroffen sind sowohl das Büro- als auch das Produktionsnetzwerk. Einige der weltweit 50 Werke werden in Folge dessen auf manuellen Betrieb umgestellt. [1]
Ein Angriff mit einem Erpressungstrojaner legt die Verwaltung des Jackson County im US-Bundesstaat Georgia weitgehend lahm. Die Verwaltung zahlt angesichts der Drohkulisse von mehrmonatigem Totalausfall der IT das Lösegeld in Höhe von 400.000 US-Dollar. [1] [2]
April
Im US-Bundesstaat Michigan schließt die Arztpraxis Brookside ENT & Hearing Services nach einem Befall mit Ransomware. [1]
Über eine Schwachstelle des Microsoft Kundensupportportals gelingt es Hackern, über einen Zeitraum von sechs Monaten, Zugriff auf nicht-geschäftliche Outlook.com-Konten zu erlangen. [1] [2]
Der weltweit operierende IT-Dienstleister Citycomp mit Sitz in Ostfildern-Scharnhausen bei Stuttgart wird gehackt und mit der Veröffentlichung der erbeuteten Kundendaten erpresst. Der Datenbestand soll sich auf 516 Gigabyte mit 312.570 Dateien in 51.025 Ordnern bemessen. Zu den Kunden von Citycomp gehören Ericsson, Leica, Toshiba, UniCredit, British Telecom, Hugo Boss, NH Hotel Group, Oracle, Airbus, Porsche und Volkswagen. [1] [2] [3]
Die IT-Systeme des DAX-Konzerns Bayer AG werden von der Hackergruppe Winnti mit Schadsoftware infiziert. Die Gruppe agiert nach Meinung von Sicherheitsexperten im Auftrag des chinesischen Staates. Erste Winnti-Infektionen gab es laut Bayer bereits Anfang 2018. Im Juli 2019 wird durch Recherchen des Bayerischen Rundfunks (BR) und des Norddeutschen Rundfunks (NDR) bekannt, dass mindestens acht deutsche Unternehmen von der Winnti-Gruppe angegriffen wurden. Unter den Zielen der Angreifer befinden sich auch Siemens, BASF und Henkel. [1] [2] [3] [4]
Durch Reverse-Engineering der GPS-Tracker-Apps iTrack und ProTrack findet ein Hacker das Passwort und die Adressen für die Tracking-Server heraus. Die Mühe hätte er sich fast sparen können, denn das Standardpasswort lautet 123456 und findet sich damit regelmäßig in den Top 10 der Passwortlisten. Einige der Tracker können bei Stillstand den Motor von Fahrzeugen ausschalten. [1] [2]
Eine Hackergruppe, die nach eigenen Angaben mehr als 1.000 Webseiten gehackt haben will, veröffentlicht als Beweis hierfür die Datensätze von 4.000 FBI-Ermittlern im Internet. Die Datensätze enthalten Klarnamen, private und dienstlichen E-Mail-Adressen, Berufsbezeichnungen, Telefonnummern und Postanschriften. [1] [2]
GPS-Tracking-Smartwatches der österreichischen Firma Vidimensio ermöglichen es jedermann, deren Träger metergenau zu orten und Gespräche abzuhören. [1] [2]
Die populäre Android-App WiFi Finder soll ihren Anwender dabei helfen, sich mit Hotspots zu verbinden. Sicherheitsexperten von TechCrunch finden heraus, dass die Zugangsdaten für die Datenbank ungesichert sind. In der Datenbank waren neben öffentlichen Hotspots auch die WLAN-Namen (SSID), Geokoordinaten, BSSID (eindeutige ID des Access Points) und Passwörter im Klartext von zahlreichen privaten WLAN Access Points gespeichert. Der Entwickler der App reagierte auf den Hinweis von TechCrunch nicht. Die Sicherheitsexperten erreichen schließlich über den Hoster Digital Ocean, dass die Datenbank vom Netz genommen wird. [1]
Nach einem Bericht von Golem erhalten Nutzer des deutschen E-Learning-Anbieters Oncampus betrügerische E-Mails über Mailadressen, die nur bei Oncampus verwendet werden. Golem findet durch eigene Recherchen PHP-Schwachstellen auf den Webservern, die möglicherweise als Einfallstor für Hacker gedient haben.
Es ist nicht das erste Mal, dass Backup-Dateien mit personenbezogenen Daten ungeschützt auf Webservern liegen. So lag 2017 bei der Deutschen Post unter der Adresse https://www.umziehen.de/dump.sql eine ungeschützte Backup-Datei der Mysql-Datenbank mit 200.000 Kundendaten für jedermann zum Download verfügbar. Ähnliches findet sich bei der Datingbörse Web-Amor, deren Betreiber von Golem zu dem Fund kontaktiert wird. Einsichtig zeigt sich der Betreiber jedoch nicht: "Haben Sie Wichtigtuer nichts Besseres zu tun?", erhält Golem als Antwort. Der zuständige Thüringer Landesbeauftragte für den Datenschutz wird informiert.
Und wieder ist es Bob Diachenko, der eine weitere ungeschützte Datenbank im Internet aufspürt. Dieses Mal stößt er auf eine Datenbank der indischen Regierung, die ohne Passwortschutz Zugriff auf Daten von 12,5 Millionen schwangeren Frauen ermöglicht. [1]
Die mexikanische Medienfirma Cultura Colectiva legt Daten ihrer Facebook-Apps auf ungeschützte Bereiche bei Amazons Cloud-Dienst AWS ab. [1] [2 [3]
Einem Bericht des Finanznachrichtendienstes Bloomberg zufolge scheint die KI (Künstliche Intelligenz) der hinter "Alexa" stehenden Infrastruktur noch nicht weit entwickelt. Ein Teil der an "Alexa" gerichteten Befehle wird zur Verbesserung der Spracherkennung von Amazon-Mitarbeitern angehört, abgetippt und geprüft. Dabei gelangen auch Aufnahmen durch Fernsehgeräusche oder nicht identifizierbaren Lärm ohne Kenntnis der Benutzer an die Mitarbeiter. Amazon ermöglicht in den Einstellungen, der Nutzung der Aufnahmen zur Weiterentwicklung des Dienstes zu widersprechen. Auch Google und Apple geben auf Nachfrage von Bloomberg an, Aufnahmen einer menschlichen Prüfung zu unterziehen. [1]
Mai
Ein Mitarbeiter der Heise Gruppe öffnet eine E-Mail, die sich auf einen echten Geschäftsvorgang bezieht. Das angehängte Word-Dokument ist jedoch mit dem Erpressungstrojaner Emotet infiziert. Als der Mitarbeiter die Bearbeitungsfunktion der Word-Datei aktiviert, breitet sich Emotet im Netzwerk der Heise Gruppe und des Verlags Heinz Heise aus. Obwohl zahlreiche Computer mit Emotet und dem meist dazugehörigen Schadprogramm Trickbot befallen sind, kann die Verschlüsselung von Daten verhindert werden. [1]
Mitarbeiter von vpnMentor haben eine ungeschützte Elasticsearch-Datenbank entdeckt, die zu Ricohs Foto-Portal Theta360 gehört. Unter den 11 Millionen Fotos befinden sich den Sicherheitsforschern zufolge auch sehr private Fotos. In einigen Fällen sind auch die Benutzernamen von Social-Media-Plattformen angegeben. [1]
SWR-Reporter finden heraus, dass auf der Jobbörse der Bundesagentur für Arbeit tausende fingierte Stellenangebote von Datenhändlern publiziert werden. Ziel ist nicht die Besetzung einer konkreten Stelle, sondern das Sammeln und Weiterverkaufen von Bewerberdaten. Ein Datenhändler berichtet von bis zu 3.000 publizierte Stellenanzeigen pro Tag. In Folge entstehen zwischen 3.000 und 5.000 Datensätze pro Monat. Kostenpunkt: 3 Euro pro Datensatz. [1]
Gegenüber dem Nachrichtenmagazin Spiegel bestätigt die Göppinger Firma TeamViewer, Anbieter der gleichnamigen Fernwartungssoftware, dass sie im Jahr 2016 von der Hacker-Gruppe Winnti angegriffen wurde. Die komplette Infrastruktur wurde ausgetauscht. Der Vorfall wurde nicht bekannt gemacht, da angeblich keine Belege für die Infektion von Kundensystemen und den Diebstahl von Kundendaten gefunden wurden. [1]
Bei Melderegisterauskünften für Wahlwerbung kommt es zur Übermittlung von Nichtwahlberechtigen und Personen, für die Übermittlungssperren eingetragen sind. In der Folge erhalten auch Säuglinge und Kleinkinder personalisierte Wahlwerbung. [1]
Alle großen Pharma- und Biotech-Konzerne sowie jede größere akademische und behördliche Forschungseinrichtung zählt zum Kundenkreis von Charles River Laboratories. Laut Kundenmitteilung dringen unbekannte Angreifer in das interne Netzwerk des Konzerns ein und kopieren vertrauliche Kundendaten. [1] [2]
Unzureichende Sicherheitsvorkehrungen ermöglichen es Angreifern, den Cloud-Speicherdienst WebStorage von Asus zu kompromittieren. Nutzer des Dienstes können zu diesem Zeitpunkt gezielt mit Trojanern infiziert werden. [1]
Die Hackergruppe GnosticPlayers soll alle auf Canva gespeicherten Daten kopiert haben. Betroffen sind 139 Millionen Nutzer. [1]
Über den aus einem NSA-Leak bekannt gewordene Exploit "Eternal Blue" werden 10.000 Verwaltungssysteme der US-Stadt Baltimore mit der Ransomware "RobbinHood" infiziert und verschlüsselt. Zeitweise sind E-Mail-System und Abrechnungssysteme außer Betrieb. Die Erpresser fordern 13 Bitcoins Lösegeld, die Stadt will nach Rücksprache mit dem FBI jedoch nicht zahlen. Die Schadensprognose liegt bei umgerechnet 16,1 Millionen Euro. [1] [2] [3] [4]
Facebook gibt eine Sicherheitswarnung zu einer Schwachstelle im VoIP-Stack von WhatsApp heraus. Unbefugte haben über die Anruffunktion von WhatsApp die Möglichkeit, Fernzugriff auf das jeweilige Gerät zu erlangen. [1]
Der US-Immobiliendienstleister First American Financial Corp. speichert vertrauliche Unterlagen im Zusammenhang mit Hypothekengeschäften ungeschützt auf seinem Webserver. Es braucht lediglich Kenntnis der genauen Adresse. Diese bekommt man als Kunde per E-Mail. Ändert man die Vertragsnummer, ist der unautorisierte Zugriff auf insgesamt 885 Millionen Dokumente möglich. [1] [2]
Juni
Über WeTransfer lassen sich Dateien teilen. Aus unbekannten Gründen erhalten zwischen dem 16. und 17. Juni jedoch neben den beabsichtigten Empfängern auch unbeteiligte Dritte E-Mails mit entsprechenden Download-Links. Da für den Download keine Authentisierung erforderlich ist, können Dritte an die Daten gelangen. [1]
Die beiden Pharmaunternehmen Quest Diagnostics und LabCorp müssen gegenüber der US-Börsenaufsicht SEC zugeben, dass ihr Inkassodienstleister AMCA Daten durch einen Hackerangriff verloren hat. Die Daten enthalten Zahlungsinformationen, medizinische Befunde und Sozialversicherungsnummern von Patienten. [1] [2]
Die IT-Systeme der Stadtverwaltung Riviera Beach in Florida werden durch einen Ransomware-Angriff verschlüsselt. Nach drei Wochen beschließt der Stadtrat, das Lösegeld in Höhe von 600.000 US-Dollar zu zahlen. [1] [2]
Russische Hacker behaupten, in die Netze von drei führenden Herstellern von Anti-Viren-Software eingedrungen zu sein. In Sicherheitskreisen wird die russische Hackergruppe Fxmsp als Täter vermutet. Bei den drei Unternehmen soll es sich um McAfee, Symantec und TrendMicro handeln. [1] [2]
Mehr als zehn Telekommunikationsunternehmen mit Schwerpunkt Mobilfunk werden seit spätestens 2017 von einer Hackergruppe angegriffen. Die Täter nutzen vorwiegend Schwachstellen in IIS-Webservern und platzieren dort Webshells. Damit können Zugangsdaten mitgeschnitten und weitere Angriffs-Tools platziert werden. Analysen zufolge sollen die Hacker es auf die Metadaten von Kunden sowie deren Standortinformation abgesehen haben. Die verwendeten Einbruchswerkzeuge waren typisch für die chinesische Hackergruppe APT10, der staatliche Unterstützung nachgesagt wird. [1] [2] [3]
Die Petitionsplattform WeAct von Campact ermöglicht den unautorisierten Zugriff auf Listen der Unterstützer von Kampagnen. Insgesamt 1,8 Millionen Unterstützer sollen betroffen sein. [1]
Rund 100.000 Reisende sind von einem Datenleck der US-Grenzschutzbehörde betroffen. Fotos und Videos von Nummernschildern werden im Darknet kostenlos zum Download angeboten. [1] [2]