Der Datenverlust-Thread - Wer hat mal wieder welche verloren?

HardAndSoft · 23.07.2023, 18:40

In letzter Zeit wurde hier vehement die These vertreten, dass Datensicherheit im Internet für "Profi"-Firmen kein ernsthaftes Problem wäre. Ich persönlich halte das für einen gefährlichen Irrglauben und meine: Alles, was per Internet erreichbar ist, wird früher oder später aus Gewinninteresse geklaut, aus Unfähigkeit geleakt oder aus sonstigen Gründen gehackt.
Nicht alle Daten sind gleich sensibel. Wenn aber z.B. finanzielle oder gesundheitliche Daten in dunkle Kanäle geraten, kann das schon negative Folgen für die Betroffenen haben. Da hilft nur: So wenig Daten wie möglich preisgeben. Im Zweifelsfall lieber auf einen Account verzichten, den man nicht wirklich braucht. Insbesondere mit dem Geburtsdatum sollte man sehr vorsichtig sein: Zusammen mit Name und Anschrift reicht das Geburtsdatum in vielen Fällen für einen glaubhaften Identitätsdiebstahl aus. Dessen Folgen auszugleichen, kann sehr viel Geld, Zeit und Nerven kosten.

Der folgende Thread soll das Verständnis für Datensparsamkeit erhöhen. Dazu werden hier im Thread aktuelle Datenlecks aufgegriffen und dargestellt.

Anzeige

Schau dir mal diesen Bereich an. Dort ist für jeden was dabei!

HardAndSoft · 23.07.2023, 18:43

Schufa / Bonify

Den Anfang macht die Schufa und ihre Tochterfirma Bonify. Die hat eine App veröffentlicht, mit der der Bürger Einblick in sein Kreditscoring erhalten soll. Bonitätsdaten sind gleichzeitig sensibel und für bestimmte Kreise interessant.
Unmittelbar nach Veröffentlichung der Bonify-App hat eine Hackerin bereits eine Lücke in der Datenabfrage gefunden und ausgenutzt; die App wird zur Zeit überarbeitet.

Eine Sicherheitslücke in der App erlaubte es offenbar für einen sehr kurzen Zeitraum, beliebige Daten aus dem Dienst abzurufen. Das beschreibt und demonstriert die Hackerin und Aktivistin Lilith Wittmann auf ihrem Mastodon-Konto. Dort schildert sie, dass man über die von ihr entdeckte Lücke in dem App-API eine Kreditwürdigkeits-Auskunft für jede beliebige Person erhalten könne. Dies sei unmittelbar nach Abschluss der Verifikation über das Bankident-Verfahren möglich – jedoch nur eine Sekunde lang. In diesem Zeitraum könne man Daten über das API aktualisieren, schreibt Wittmann. Zur Illustration besorgte sie sich eine Mieterauskunft über den CDU-Politiker und früheren Bundesgesundheitsminister Jens Spahn und veröffentlichte die Screenshots ebenfalls auf Mastodon.

https://www.heise.de/news/Schufa-App...s-9224215.html

Thaddaeus · 23.07.2023, 18:54

HardAndSoft

In letzter Zeit wurde hier vehement die These vertreten, dass Datensicherheit im Internet für "Profi"-Firmen kein ernsthaftes Problem wäre.

Warum baust du dein Thema hier auf von dir frei erfundenen Behauptungen?
Während dein laienhaftes Technik-Sein uns ja bereits erklären wollte, dass Datensicherheit hingegen bei Ämter/Behörden kein ernsthaftes Problem wäre; während die Realität solchen Aussagen regelmäßig ins Gesicht klatscht...

Deine Irrglauben behalte doch besser für dich; und verwirre damit nicht solche, die ebenfalls keine Ahnung haben.

HardAndSoft · 23.07.2023, 22:40

Nachtrag: Der Sicherheitsfachmann Mike Kuketz hat mal überprüft, welche Unternehmen den Benutzer bei Gebrauch der Bonify-App alles tracken:

Facebook (vorliegend im Datenmitschnitt)
Google (vorliegend im Datenmitschnitt)
Microsoft
Forteil GmbH
Sentry
Outbrain
Taboola
Plista
Linkedin
Twitter
Webtrekk
Hotjar
Segment (vorliegend im Datenmitschnitt)
Blueshift (vorliegend im Datenmitschnitt)
ConvertFlow
Pinterest
Adtriba
Landingi
Criteo

Das ist jetzt kein Datenklau, sondern zumeist "nur" entgegen aller Rechtsgrundlagen stattfindende Verstösse gegen die DSGVO. Aber es zeigt: Die Nutzung dieser einen App erzeugt bei 19 (!) weiteren Unternehmen zumeist personenbezogene Daten. Damit sind die Benutzerdaten nicht nur an einer Stelle, sondern an 20 Stellen entwendbar. Und jede Kette ist nur so stark wie ihr schwächstes Glied.

https://www.kuketz-blog.de/schufa-bo...cebook-und-co/

Thaddaeus · 24.07.2023, 13:45

Um mal mit einem weitere "gefährlichen Irrglauben" aufzuräumen, den hier der Themenstarter HardAndSoft erst vor wenigen Wochen als Behauptung aufgestellt hat. Dieser meinte nämlich, dass es Datendiebstähle bei Behörden nicht gäbe; man könne zwar danach suchen, aber würde so gut wie "gar nicht" fündig werden.

Cyberangriffe mit abgeflossenen Daten gibt es bei deutschen Behörden/Ämtern immer wieder in einer erschreckenden Regelmäßigkeit. So z.B. erst vor wenigen Wochen, nämlich am 14. Juni diesen Jahres in Hülben:
https://www.huelben.de/rathaus-nicht-zu-erreichen/
"Die forensischen Untersuchungen haben inzwischen ergeben, dass durch den Cybersicherheitsvorfall Daten abgeflossen sind."

Auch die Stadtverwaltung Bad Langensalza hatte am 30. Mai diesen Jahres ähnliche Probleme, ebenso jene in Rodgau (23. Februar), bei welcher ebenfalls Zugang zu internen Informationen erlangt wurde.

Weitere Beispiele finden sich auch in dem erst drei Tage alten Golem-Artikel:
https://www.golem.de/news/geschichte...-175123-4.html

HardAndSoft · 25.07.2023, 00:38

Microsoft / Azure

Und es geht gleich weiter mit einem aktuellen, spektakulären Datendiebstahl. Dem Superprofi unter den IT-Unternehmen, der Firma Microsoft, wurde ein Hauptschlüssel für die Microsoft-Cloud entwendet. Verdächtigt werden chinesische Hacker. So genau sagt oder weiss Microsoft nicht, welche Daten aus der Cloud rausgetragen wurden. Da es sich um eine Art Generalschlüssel handelt, muss man davon ausgehen, dass ein Grossteil der Daten ihrer Kunden abgesaugt wurde.

Dem Sicherheitsunternehmen Wiz ist es nach eigenen Angaben gelungen, den gestohlenen Microsoft-Key zu identifizieren, mit dem mutmaßlich chinesische Angreifer die Mails von Regierungsbehörden ausspionierten. Demzufolge hätten diese Angreifer auch Zugriff auf nahezu alle Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams erlangen können. Selbst Kunden-Apps in der Cloud mit "Login with Microsoft" könnten demnach sperrangelweit offen gestanden haben. Ob sie diese Möglichkeiten tatsächlich nutzten, weiß man nicht, denn Microsoft versteckt sich hinter nichtssagenden Dementis.

Lustig dabei: Niemand weiss, ob die Hacker noch immer Zugriff haben.

Microsoft hat den kompromittierten Schlüssel zwar jetzt gesperrt, sodass jetzt keine weiteren Zugriffe damit möglich sein sollten. Aber es wäre durchaus möglich gewesen, die Zugänge vorher zu nutzen, um die betroffenen Accounts – also praktisch fast die gesamte Microsoft-Cloud – mit Hintertüren zu versehen. Eigentlich müsste man jetzt jedes einzelne AAD- und Microsoft-Konto auf nicht autorisierte Aktivitäten hin überprüfen. Doch wie macht man das?

Betroffen sind wohl vornehmlich Daten europäischer Regierungen und Grossunternehmen. Also all das, was China brennend interessiert.

https://www.heise.de/news/Neue-Erken...n-9224640.html

HardAndSoft · 29.07.2023, 19:50

Progress / MoveIT

Aufgrund einer Zeroday-Lücke in der Software des Dienstleisters Progress wurden weltweit sensible Daten von über 34 Millionen Personen erbeutet. Dabei handelt es sich auch um amerikanische Sozialversicherungsnummern, die in den Staaten vielfach als Ausweisersatz genutzt werden und einen weitgehenden Identitätsdiebstahl erlauben. In Deutschland betrifft es hauptsächlich Finanz- und Gesundheitsdaten.

Die Clop-Cyberkriminellen, die mit Russland in Verbindung gebracht würden und für die MOVEit-Hacks verantwortlich seien, hätten nach eigenen Angaben 169 Gigabyte an Daten bei Maximus abgegriffen und drohten mit deren Veröffentlichung. Insgesamt seien bisher mehr als 500 Organisationen und persönliche Daten von mehr als 34,5 Millionen Menschen weltweit von den Sicherheitslücken betroffen. Zu den Opfern gehören laut Clop und Berichten zufolge etwa die AOK Niedersachsen, die Barmer, die BBC, British Airways, Ernst & Young, PricewaterhouseCoopers, Schneider Electric, Shell und Siemens Energy. Hierzulande sorgte jüngst der Dienstleister Majorel für Schlagzeilen in Verbindung mit den MOVEit-Lücken, die seiner Tochter Kontowechsel24.de und damit auch großen Kunden im Finanzsektor wie ING, Comdirect, sowie Deutsche Bank und Postbank zu schaffen machte: Sie alle mussten Anfang Juli den Zugriff auf sensible Kundendaten einräumen.

https://www.heise.de/news/MOVEit-Lue...n-9230095.html

HardAndSoft · 09.08.2023, 15:11

Die Briten haben da mal was verloren.

Die Briten haben kein Passwesen wie wir; deshalb muss man sich für manche Dinge registrieren. Dazu zählt auch das Wählen.
Die britischen Wählerregister wurden gehackt. Der Hack fand in 2021 statt, wurde 2022 entdeckt, und gestern zugegeben. Diese Daten können für Identitätsdiebstähle genutzt werden; da die Daten schon vor zwei Jahren entwendet wurden, könnte dies bereits mehrfach geschehen sein.

https://www.electoralcommission.org....t-cyber-attack

Dazu passend wurden kritische Sicherheitslücken in der Architektur von Intel- und AMD-Prozessoren gefunden.
Gibt bestimmt in Kürze wieder mal Notfall-BIOS-Updates. Da die Fehler in beiden Fällen an der spekulativen Ausführung ansetzen, werden die Patches wahrscheinlich zu Leistungseinbußen bei den CPUs führen.

Betroffen sind
- wahrscheinlich alle Ryzen CPUs
- Intel Core von der 8. bis zur 11. Generation

Näheres enthalten die untenstehenden Beschreibungen.

AMD: https://comsec.ethz.ch/research/microarch/inception/
Intel: https://downfall.page/