5 kürzlich erfolgte Datenverstöße, die Ihre Daten gefährden könnten
Datenverstöße sind Teil des Mobiliars unseres digitalen Lebens. Kaum ein Tag vergeht, ohne dass ein anderes Unternehmen Ihre Daten verliert. Und während diese Ereignisse immer alltäglicher werden, hat sich auch 2018 etwas anderes geändert.
Durch die Umsetzung der EU-Datenschutzverordnung (DSGVO) verpflichten sich Unternehmen, Verstöße innerhalb von 72 Stunden offenzulegen. Es kann schwierig sein, mit den neuesten Hacks Schritt zu halten, daher haben wir einige der bemerkenswertesten Verstöße des Jahres zusammengetragen.
1. Unter Rüstung
Betroffene Benutzer: 150 Millionen
Daten ausgesetzt: Benutzernamen, E-Mail-Adressen und Hash-Passwörter
Für viele Menschen auf der ganzen Welt ist die Diät- und Trainings-App MyFitnessPal (MFP) ein täglicher Begleiter auf ihrer Fitnessreise. Es war daher keine Überraschung, als das Sportbekleidungsunternehmen Under Armor MFP als Teil seines digitalen Angebots erwarb. Im März 2018 veröffentlichte Under Armour (UA) eine Erklärung, dass MyFitnessPal mit den Benutzernamen, E-Mail-Adressen und Hash-Kennwörtern der 150 Millionen Benutzer der App gefährdet wurde.
Das Unternehmen hat schnell gehandelt. Innerhalb von vier Tagen nach Bekanntwerden des Verstoßes schickte MyFitnessPal ein E-Mail-Update an alle Benutzer und stellte eine FAQ-Website zusammen. Sie empfahlen, dass alle Benutzer ihre Passwörter sofort ändern sollten und dass sie weiterhin etwas vage vorgehen würden, “Erweiterungen an [ihren] Systemen vornehmen, um den unbefugten Zugriff auf Benutzerinformationen zu erkennen und zu verhindern.”
Auf den ersten Blick scheint es, als ob Under Armour von seinen Benutzern richtig gemacht wurde. Während einige Passwörter mithilfe von bcrypt-hashed verarbeitet wurden, wandelte sich das Kennwort in eine nicht lesbare Zeichenfolge. Jede sichere Website wird mit Ihrem Kennwort verwendet. Jede sichere Website mit Ihrem Kennwort. Haben Sie sich jemals gefragt, wie Websites Ihr Kennwort vor Daten schützen Verstöße? Lesen Sie mehr - andere hatten nicht so viel Glück. Obwohl sie die Zahlen nicht enthüllten, wurde ein Teil der beträchtlichen Benutzerbasis von MFP nur mit SHA-1 geschützt.
Obwohl das Leck Anfang des Jahres aufgetreten ist, gab es ab September 2018 keine weiteren Informationen zur Ursache des Verstoßes oder zur Verhinderung künftiger Angriffe durch UA. Das Unternehmen hat auch nicht detailliert angegeben, ob SHA-1-Hashing weiterhin verwendet wird.
2. British Airways
Betroffene Benutzer: unbekannte
Daten ausgesetzt: Persönliche und finanzielle Daten des Kunden
Als der Sommer Anfang September zu Ende ging, teilte die größte britische Fluggesellschaft British Airways (BA) mit, dass sie den Diebstahl von Kundeninformationen dringend untersuche. Auf der Website mit Informationen zu Vorfällen sagte das Unternehmen, dass der Diebstahl betroffen sei “Kunden, die Buchungen vorgenommen oder Änderungen vorgenommen haben […] […] zwischen 22:58 BST 21. August 2018 und 21:45 BST 5. September 2018.” Die gestohlenen Daten enthielten Namen, E-Mail-Adresse, Rechnungsadresse und Bankkartendetails.
Wenn Sie zu den unglücklichen Opfern des Angriffs gehörten, hat BA versprochen, dass Sie als direkte Folge des Diebstahls nicht aus der Tasche sind. Es ist jedoch erwähnenswert, dass sie nicht gesagt haben, was sie als ein ansehen “direktes Ergebnis.” In den Tagen nach der Entdeckung berichtete The Register, dass ein externes Zahlungsskript möglicherweise für den Angriff verantwortlich gemacht wurde. Die Sicherheitsfirma RiskIQ sagte, dass der Angriff wahrscheinlich von einer Gruppe namens Magecart abgezogen wurde, die Anfang 2018 für einen sehr ähnlichen Angriff auf Ticketmaster verantwortlich war.
Ungefähr ein Jahr vor dem Angriff stand BA auch im Zentrum eines massiven Stromausfalls. Der Misserfolg brachte die IT-Systeme des Unternehmens zum Stillstand, brachte alle Flugzeuge zum Boden und betraf Tausende Passagiere. Trotz Schlagzeilen auf der ganzen Welt hat BA wenig über die Ursache des beispiellosen Ausfalls gesagt.
3. TypeForm
Betroffene Benutzer: unbekannte
Daten ausgesetzt: Umfragedaten einschließlich personenbezogener Informationen
Wenn Sie in den letzten Jahren eine Online-Umfrage ausgefüllt haben, haben Sie wahrscheinlich die Datenerfassungs-Website Typeform verwendet. Ihre Umfragen sind bei Unternehmen sehr beliebt, da sie einfach einzurichten und benutzerfreundlich sind. Die Kunden von Typeform sind Unternehmen, nicht Endbenutzer. Als das Unternehmen im Juni 2018 einen Verstoß entdeckte, alarmierte es seine Kunden.
Die Incident-Response-Site von Typeform enthält keine Details und konzentriert sich darauf, wie Unternehmen Kunden über die Offenlegung informieren sollten. Alles, was wir über den Verstoß von Typeform wissen, ist, dass es das Ergebnis eines nicht autorisierten Zugriffs auf eine Teilsicherung vom 3. Mai 2018 war. Es ist jedoch nicht klar, wie weit sich diese Daten erstrecken. Da Typeform keine detaillierte Aufschlüsselung vorgenommen hat, ist auch die Gesamtzahl der betroffenen Personen unklar.
Die Liste der Organisationen, die von dem Verstoß betroffen wurden, ist jedoch recht umfangreich. Die britischen Einzelhändler Fortnum & Mason und John Lewis waren ebenso betroffen wie die australische Bäckerei Bakers Delight. Andere bekannte Opfer sind Airtasker, Rencore, PostShift, Revolut, die Studentenvereinigung der Middlesex University, Monzo, die Wahlkommission für Tasmanien, Travelodge und die britischen Liberaldemokraten.
4. Exactis
Betroffene Benutzer: 340 Millionen
Daten ausgesetzt: Alles vorstellbare, abzüglich Sozialversicherungs- und Kreditkartennummern
In unserer modernen Wirtschaft tauschen wir unsere Daten gegen kostenlose Produkte und Online-Dienste ein. Gegen diese Art der Datenerfassung gibt es jedoch eine wachsende Tendenz. Sie beziehen sich abwertend auf die Praxis des Überwachungskapitalismus. Dieses Gefühl ist nach dem Equifax-Hack Equihax von 2017 noch populärer geworden. Equihax: Einer der gefährlichsten Verstöße aller Zeiten Equihax: Einer der gefährlichsten Verstöße aller Zeiten Der Equifax-Verstoß ist der gefährlichste und peinlichste Sicherheitsverstoß von alle zeit Aber kennen Sie alle Fakten? Warst du betroffen? Was kannst du dagegen tun? Hier herausfinden. Weitere Informationen und Facebooks Cambridge Analytica-Skandal Facebook spricht den Cambridge Analytica-Skandal an Facebook adressiert den Cambridge Analytica-Skandal Facebook wurde in den so genannten Cambridge Analytica-Skandal verwickelt. Nach einigen Tagen des Schweigens hat sich Mark Zuckerberg nun mit den aufgeworfenen Fragen befasst. Weiterlesen . Sie waren wahrscheinlich überrascht, dass Equifax hinter Ihrem Rücken detaillierte Informationen über Sie gesammelt hatte. Leider sind Sie nicht zu schockiert, um zu erfahren, dass sie nicht die einzigen waren.
Im Juni nutzte der Sicherheitsforscher Vinny Troia die Computersuchmaschine Shodan, um eine Datenbank mit 340 Millionen Datensätzen aufzudecken. Die Datenbank wurde von der Marketingfirma Exactis auf einem öffentlich zugänglichen Server nicht gesichert. Während die 145,5 Millionen Datensätze des Equifax-Hacks weit verbreitet waren, lag die Exactis-Datenbank bei 340 Millionen Datensätzen. Im Gegensatz zu den aggregierten Equifax-Daten wurde die Exactis-Datenbank jedoch von einem Sicherheitsforscher gefunden. Derzeit gibt es keine Beweise dafür, dass auf bösartige Daten zugegriffen wurde.
Exatis ist ein Datenmakler, der mit unseren persönlichen Daten handelt. Daher verfügten sie über fast 214 Millionen Einzelpersonen und 110 Millionen Geschäftsdaten. Laut WIRED sind die Datensätze enthalten “Über 400 Variablen für eine Vielzahl spezifischer Merkmale: ob die Person raucht, ihre Religion, ob sie Hunde oder Katzen haben, und die Interessen sind so unterschiedlich wie Tauchen und Kleidung in Übergröße.”
Es gibt jedoch ein silbernes Futter hier. Trotz der phänomenalen Menge identifizierbarer Daten enthielten sie im Gegensatz zu Equifax keine Finanzinformationen. Wenn sich jedoch herausstellt, dass ein Angreifer auf die Datenbank zugegriffen hat, gibt es viele Möglichkeiten für Social Engineering. Wie schützen Sie sich vor diesen 8 Social Engineering-Angriffen? Wie schützen Sie sich vor diesen 8 Social Engineering-Angriffen? Welche Social-Engineering-Techniken würden Hacker einsetzen? und wie würden Sie sich vor ihnen schützen? Schauen wir uns einige der häufigsten Angriffsmethoden an. Weiterlesen .
5. Timehop
Betroffene Benutzer: 21 Millionen
Daten ausgesetzt: Namen, E-Mail-Adressen, Geburtsdatum, Geschlecht, Ländercodes und Telefonnummern
Unsere kollektive Nostalgie seit Jahren ist zu einem großen Geschäft geworden. Kein Unternehmen konnte diese Liebe der Vergangenheit mehr als Timehop nutzen. Die Timehop-App stellt eine Verbindung zu Ihren sozialen Netzwerken her und stellt Ihre alten Posts wieder her, um Sie daran zu erinnern, was Sie an diesem Tag in der Vergangenheit gemacht haben. Im Juli 2018 gab Timehop bekannt, dass es am Unabhängigkeitstag einen Netzwerkangriff unterbrochen hatte.
Obwohl der Angreifer den Angriff in etwas mehr als zwei Stunden gestoppt hatte, konnte er viele Daten aufnehmen. Leider waren hier Namen, E-Mail-Adressen, Geburtsdaten, Geschlecht und in einigen Fällen Telefonnummern der 21 Millionen Benutzer der App enthalten. Sie konnten jedoch den Angreifer daran hindern, Zugang zu Social-Media-Posts und privaten Nachrichten zu erhalten.
Dem Angreifer gelang es, auf gespeicherte OAuth2-Schlüssel zuzugreifen, die Zugriff auf die verbundenen sozialen Netzwerke eines Benutzers gewähren. Bevor der Verstoß aufgedeckt wurde, arbeitete Timehop mit den sozialen Netzwerken zusammen, um diese Schlüssel zu deaktivieren, und zwang die Benutzer, verbundene Konten erneut zu authentifizieren.
Im Gegensatz zu vielen ihrer Zeitgenossen wurde ihre Website mit Vorfällen klar dargestellt. Der Angriff wurde sowohl technisch als auch unkompliziert erklärt. Sie stellten sogar eine leicht verdaubare Tabelle mit den Kombinationen der abgerufenen Daten und der Anzahl der betroffenen Personen zur Verfügung. Für die 21 Millionen Opfer der nostalgischen App ist dies natürlich kein Trost.
Schützen Sie sich vor dem nächsten Datenbruch
Dienstleistungen, die wir einst als sicher erachteten, werden schnell aufgedeckt, was zum Teil auf ihre unzureichenden Sicherheitsmaßnahmen zurückzuführen ist. Sie können sich sogar fragen, ob irgendwo im Internet sicher ist. Dies gilt insbesondere für die Häufigkeit, mit der Daten gesammelt wurden, um Ihre persönlichen Daten anzuzeigen. Wenn Sie befürchten, dass etwas nicht stimmt, sollten Sie überprüfen, ob Ihre Online-Konten gehackt wurden.
Die Verantwortung, Sie zu schützen, liegt den betroffenen Unternehmen zu Füßen. Es gibt jedoch Möglichkeiten, Ihre Cyberhygiene zu verbessern. Verbessern Sie Ihre Cyberhygiene in 5 einfachen Schritten. Verbessern Sie Ihre Cyberhygiene in 5 einfachen Schritten. In der digitalen Welt ist "Cyberhygiene" genauso wichtig wie die persönliche Hygiene in der Praxis. Regelmäßige Systemüberprüfungen sowie neue, sicherere Online-Gewohnheiten sind erforderlich. Aber wie können Sie diese Änderungen vornehmen? Lesen Sie mehr, um Ihre Abwehrkräfte zu stärken. Passwörter sind eines unserer größten Kopfschmerzen, aber es gibt gute Nachrichten. Möglicherweise müssen Sie nicht zu lange warten, bis wir aufregende Kennwortalternativen sehen. No More Leaks? 3 aufregende Kennwortalternativen, die in Kürze keine weiteren Lecks aufweisen? 3 aufregende Kennwortalternativen, die in Kürze verfügbar sind Die Kennwortsicherheit kann sich wie ein nie endender Kampf anfühlen. Glücklicherweise arbeiten einige an Sicherheitsmethoden, die Passwörter ersetzen können. Lesen Sie mehr im Mainstream.
Bildnachweis: stevanovicigor / DepositFotos
Erfahren Sie mehr über: Sicherheitsverletzung.