5 Aktuelle Datenverletzungen, die Ihre Daten gefährden könnten
Werbung
Datenverletzungen gehören zu den Möbeln unseres digitalen Lebens. Es vergeht kaum ein Tag, ohne dass ein anderes Unternehmen Ihre Daten verliert. Und während diese Ereignisse alltäglicher werden, änderte sich auch 2018 etwas anderes.
Durch die Umsetzung der Allgemeinen Datenschutzverordnung (DSGVO) der EU verpflichten sich Unternehmen, Verstöße innerhalb von 72 Stunden zu melden. Es kann schwierig sein, mit den neuesten Hacks Schritt zu halten, deshalb haben wir einige der bemerkenswertesten Verstöße des Jahres zusammengefasst.
1. Unter Rüstung
Betroffene Nutzer: 150 Millionen
Offengelegte Daten: Benutzernamen, E-Mail-Adressen und gehashte Kennwörter
Für viele Menschen auf der ganzen Welt ist die App MyFitnessPal (MFP) ein täglicher Begleiter auf ihrer Fitnessreise. So war es keine Überraschung, dass das Sportbekleidungsunternehmen Under Armour MFP als Teil seines digitalen Angebots erwarb. Im März 2018 veröffentlichte Under Armour (UA) eine Erklärung, dass MyFitnessPal mit den Benutzernamen, E-Mail-Adressen und gehashten Passwörtern der 150 Millionen Benutzer der App kompromittiert wurde.
Das Unternehmen handelte schnell. Innerhalb von vier Tagen, nachdem MyFitnessPal von der Sicherheitsverletzung erfahren hatte, schickte es ein E-Mail-Update an alle Benutzer und erstellte eine FAQ-Website. Sie empfahlen allen Benutzern, ihre Passwörter sofort zu ändern und weiterhin vage "Verbesserungen an [ihren] Systemen vorzunehmen, um den unbefugten Zugriff auf Benutzerinformationen zu erkennen und zu verhindern".
Auf den ersten Blick scheint es, als würde Under Armour von seinen Benutzern richtig gehandelt. Während einige Passwörter mit bcrypt gehasht wurden - ein Prozess, bei dem Ihr Passwort in eine unlesbare Zeichenfolge umgewandelt wird. Jede sichere Website tut dies mit Ihrem Passwort. Jede sichere Website tut dies mit Ihrem Passwort. Haben Sie sich jemals gefragt, wie Websites Ihr Passwort vor Daten schützen Verstöße? Lesen Sie mehr - andere hatten nicht so viel Glück. Obwohl sie die Zahlen nicht bekannt gaben, wurde ein Teil der beträchtlichen Nutzerbasis von MFP nur mit SHA-1 geschützt, das allgemein als die schwächste Form des Hashings angesehen wird.
Obwohl das Leck Anfang des Jahres, ab September 2018, auftrat, gab es keine weiteren Informationen zur Ursache des Verstoßes oder darüber, wie UA künftige Angriffe verhindern will. Das Unternehmen hat auch nicht detailliert angegeben, ob SHA-1-Hashing weiterhin verwendet wird.
2. British Airways
Betroffene Benutzer: Unbekannt
Offen gelegte Daten: Persönliche und finanzielle Daten des Kunden
Anfang September ging der Sommer zu Ende. British Airways (BA), die größte britische Fluggesellschaft, erklärte, sie untersuche dringend den Diebstahl von Kundeninformationen. Auf ihrer Website mit Informationen zu Vorfällen berichtete das Unternehmen, dass der Diebstahl „Kunden betraf, die zwischen dem 21. August 2018 und dem 5. September 2018 (22:58 Uhr MEZ) Buchungen oder Buchungsänderungen vorgenommen haben.“ Die gestohlenen Daten enthielten Namen, E-Mail-Adresse, Rechnungsadresse und Bankkartendetails.
Wenn Sie zu den unglücklichen Opfern des Angriffs gehörten, hat BA versprochen, dass Sie als direkte Folge des Diebstahls nicht aus der Tasche sind. Es ist jedoch erwähnenswert, dass sie nicht gesagt haben, was sie als "direktes Ergebnis" betrachten. In den Tagen nach der Offenlegung berichtete The Register, dass möglicherweise ein externes Zahlungsskript für den Angriff verantwortlich gemacht wurde. Die Sicherheitsfirma RiskIQ sagte, dass der Angriff wahrscheinlich von einer Gruppe namens Magecart abgeworfen wurde, die für einen sehr ähnlichen Angriff auf Ticketmaster Anfang 2018 verantwortlich war.
Etwas mehr als ein Jahr vor dem Angriff befand sich BA auch im Zentrum eines massiven Stromausfalls des Computers. Der Ausfall brachte die IT-Systeme des Unternehmens zum Stillstand, erdete alle Flugzeuge und betraf Tausende von Passagieren. Trotz der weltweiten Schlagzeilen hat BA wenig über die Ursache des beispiellosen Ausfalls gesagt.
3. TypeForm
Betroffene Benutzer: Unbekannt
Exponierte Daten: Umfragedaten, einschließlich personenbezogener Daten
Wenn Sie in den letzten Jahren eine Online-Umfrage ausgefüllt haben, haben Sie wahrscheinlich die Datenerfassungs-Website Typeform verwendet. Ihre Umfragen sind bei Unternehmen beliebt, da sie einfach einzurichten und benutzerfreundlich sind. Die Kunden von Typeform sind Unternehmen, keine Endbenutzer. Als das Unternehmen im Juni 2018 einen Verstoß entdeckte, alarmierte es seine Kunden.
Auf der Website für die Reaktion auf Vorfälle von Typeform fehlen Einzelheiten und es wird darauf eingegangen, wie Unternehmen Kunden über die Offenlegung informieren sollen. Alles, was wir über die Verletzung von Typeform wissen, ist, dass es das Ergebnis des nicht autorisierten Zugriffs auf eine Teilsicherung vom 3. Mai 2018 war. Es ist jedoch nicht klar, wie weit diese Daten zurückreichen. Da Typeform keine detaillierte Aufschlüsselung vorgenommen hat, ist auch die Gesamtzahl der betroffenen Personen unklar.
Die Liste der Organisationen, die von dem Verstoß betroffen sind, ist jedoch recht umfangreich. Betroffen waren unter anderem die britischen Einzelhändler Fortnum & Mason und John Lewis sowie die australische Bäckereikette Bakers Delight. Weitere bekannte Opfer sind Airtasker, Rencore, PostShift, Revolut, der Studentenverband der Middlesex University, Monzo, die Wahlkommission von Tasmanien, Travelodge und die Liberaldemokraten des Vereinigten Königreichs.
4. Exactis
Betroffene Nutzer: 340 Millionen
Exponierte Daten: Alles Mögliche abzüglich Sozialversicherungs- und Kreditkartennummern
In unserer modernen Wirtschaft tauschen wir unsere Daten gegen kostenlose Produkte und Online-Dienste aus. Es gibt jedoch eine wachsende Bewegung gegen diese Art der Datenerfassung. Sie verweisen abfällig auf die Praxis als Überwachungskapitalismus. Dieses Gefühl ist nach dem Equifax-Hack 2017 noch populärer geworden. Equihax: Eine der katastrophalsten Verletzungen aller Zeiten Equihax: Eine der katastrophalsten Verletzungen aller Zeiten Die Equifax-Verletzung ist die gefährlichste und peinlichste Sicherheitsverletzung von die ganze Zeit. Aber kennen Sie alle Fakten? Warst du betroffen? Was können Sie dagegen tun? Hier herausfinden. Lesen Sie mehr und Facebooks Cambridge Analytica-Skandal Facebook spricht den Cambridge Analytica-Skandal an Facebook spricht den Cambridge Analytica-Skandal an Facebook wurde in den sogenannten Cambridge Analytica-Skandal verwickelt. Nachdem er einige Tage geschwiegen hat, hat Mark Zuckerberg nun die angesprochenen Themen angesprochen. Weiterlesen . Sie waren wahrscheinlich überrascht, dass Equifax hinter Ihrem Rücken detaillierte Informationen über Sie gesammelt hatte. Leider werden Sie dann nicht zu schockiert sein, um zu erfahren, dass sie nicht die einzigen waren.
Im Juni nutzte der Sicherheitsforscher Vinny Troia die Computersuchmaschine Shodan, um eine Datenbank mit 340 Millionen Datensätzen aufzudecken. Die Datenbank wurde von der Marketingfirma Exactis ungesichert auf einem öffentlich zugänglichen Server belassen. Während die 145, 5 Millionen Datensätze des Equifax-Hacks weit verbreitet waren, wurde sie in der Exactis-Datenbank mit 340 Millionen Datensätzen überboten. Im Gegensatz zu den aggregierten Equifax-Daten wurde die Exactis-Datenbank jedoch von einem Sicherheitsforscher gefunden. Derzeit gibt es keine Hinweise darauf, dass der Zugriff böswillig war.
Exatis ist ein Datenmakler, der mit unseren persönlichen Daten handelt - und so fast 214 Millionen Einzelpersonen und 110 Millionen Unternehmensdaten in Besitz genommen hat. Laut WIRED enthielten die Aufzeichnungen „mehr als 400 Variablen zu einer Vielzahl spezifischer Merkmale: Ob die Person raucht, ihre Religion, ob sie Hunde oder Katzen hat und Interessen, die so unterschiedlich sind wie Tauchen und Übergrößen“.
Hier ist allerdings ein Silberstreifen. Trotz der phänomenalen Menge identifizierbarer Daten enthielten sie im Gegensatz zu Equifax keine Finanzinformationen. Wenn sich jedoch herausstellt, dass eine böswillige Partei auf die Datenbank zugegriffen hat, gibt es zahlreiche Möglichkeiten für Social Engineering. So schützen Sie sich vor diesen 8 Social Engineering-Angriffen: So schützen Sie sich vor diesen 8 Social Engineering-Angriffen: Welche Social Engineering-Techniken würde ein Hacker verwenden? und wie würden Sie sich vor ihnen schützen? Werfen wir einen Blick auf einige der häufigsten Angriffsmethoden. Weiterlesen .
5. Zeitsprung
Betroffene Nutzer: 21 Millionen
Exponierte Daten: Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht, Ländercodes und Telefonnummern
Unsere kollektive Nostalgie ist seit Jahren ein großes Geschäft. Kein Unternehmen hat diese Liebe der Vergangenheit mehr nutzen können als Timehop. Die Timehop-App verbindet sich mit Ihren sozialen Netzwerken und taucht Ihre alten Posts wieder auf, um Sie daran zu erinnern, was Sie an diesem Tag in der Vergangenheit getan haben. Im Juli 2018 gab Timehop bekannt, dass am Unabhängigkeitstag ein Netzwerkeinbruch unterbrochen wurde.
Obwohl der Angriff in etwas mehr als zwei Stunden gestoppt wurde, konnte der Eindringling viele Daten erfassen. Leider enthielt dies Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht und in einigen Fällen Telefonnummern der 21 Millionen Nutzer der App. Sie konnten jedoch verhindern, dass der Angreifer Zugriff auf Social-Media-Posts und private Nachrichten erhielt.
Der Angreifer hat es geschafft, auf gespeicherte OAuth2-Schlüssel zuzugreifen, die Zugriff auf die verbundenen sozialen Netzwerke eines Benutzers gewähren. Bevor Timehop den Verstoß bekannt gab, deaktivierte er diese Schlüssel in Zusammenarbeit mit den sozialen Netzwerken und zwang die Benutzer, die verbundenen Konten erneut zu authentifizieren.
Im Gegensatz zu vielen ihrer Zeitgenossen wurde die Website des Vorfalls übersichtlich dargestellt. Der Angriff wurde sowohl technisch als auch unkompliziert erklärt. Sie lieferten sogar eine leicht verdauliche Tabelle der Kombinationen der aufgerufenen Daten und der Anzahl der betroffenen Personen. Dies wird den 21 Millionen Opfern der nostalgischen App natürlich nur wenig Trost bringen.
Schützen Sie sich vor dem nächsten Datenverstoß
Services, die wir einst für sicher hielten, werden zum Teil aufgrund ihrer schlechten Sicherheitspraktiken rasch aufgedeckt. Vielleicht fragen Sie sich sogar, ob im Internet alles sicher ist. Vor allem, wenn man bedenkt, wie oft die Datenerfassung Ihre persönlichen Daten offengelegt hat. Wenn Sie befürchten, dass etwas nicht stimmt, sollten Sie überprüfen, ob Ihre Online-Konten gehackt wurden.
Die Verantwortung, Sie zu schützen, liegt bei den betroffenen Unternehmen. Es gibt jedoch Möglichkeiten, Ihre Cyber-Hygiene zu verbessern. Verbessern Sie Ihre Cyber-Hygiene in 5 einfachen Schritten. Verbessern Sie Ihre Cyber-Hygiene in 5 einfachen Schritten. In der digitalen Welt ist die "Cyber-Hygiene" genauso wichtig wie die echte persönliche Hygiene. Regelmäßige Systemprüfungen sowie neue, sicherere Online-Gewohnheiten sind erforderlich. Aber wie können Sie diese Änderungen vornehmen? Lesen Sie mehr darüber, wie Sie Ihre Abwehrkräfte stärken können. Passwörter sind eines unserer größten Probleme, aber es gibt gute Neuigkeiten. Möglicherweise müssen Sie nicht allzu lange warten, bis wir interessante Kennwortalternativen finden. Keine weiteren Lecks? 3 aufregende Passwortalternativen, die bald nicht mehr lecken? 3 Aufregende Kennwortalternativen, die bald verfügbar sein werden Die Kennwortsicherheit kann sich wie ein nie endender Kampf anfühlen. Glücklicherweise gibt es einige, die an Sicherheitsmethoden arbeiten, die möglicherweise Passwörter ersetzen. Lesen Sie mehr traf den Mainstream.
Bildnachweis: stevanovicigor / DepositPhotos