Datenleaks und Sicherheit (26.10.2018)

Zum Abschluss der Woche noch ein wenig zusammengekehrt, was die Tage an Datenlecks bekannt wurde. Da ist mal wieder alles und jedes dabei. Und Apple hat ein 'neues Produkt', was in keiner Verkaufsschau auftaucht …


Anzeige

Der British Airways-Hack schlimmer als befürchtet

Am 6. September 2018 musste British Airways (BA) einen Hack eingestehen. In der Zeit zwischen dem 21. August und dem 5. September 2018 wurden Kundendaten von BA-Kunden abgezogen. Jetzt gibt es ein Update zu diesem Hack.

Die Untersuchung hat ergeben, dass die Hacker möglicherweise zusätzliche personenbezogene Daten gestohlen haben. Jedenfalls wurden die Inhaber von 77.000 Kreditkarten, die noch nicht benachrichtigt wurden, über einen möglichen Abfluss ihrer Daten (Name, Rechnungsadresse, E-Mail-Adresse, Kartenzahlungsinformationen, einschließlich Kartennummer, Ablaufdatum und CVV) informiert.

Möglicherweise sind 108.000 Kunden, die ohne Kreditkarte bei BA gebucht haben, ebenfalls gefährdet. Potenziell betroffen sind Kunden, die zwischen dem 21. April und dem 28. Juli 2018 Prämienbuchungen (Reward-Bookings) tätigen und eine Kreditkarte verwendeten. Einige Informationen finden sich auch hier.

Cathay Pacific-Hack umfasst 9,4 Millionen Passagiere

Techcrunch berichtet hier über einen Hack der in Hong Kong angesiedelten Fluggesellschaft Cathay Pacific. In einer Stellungnahme des Unternehmens musste man einräumen, dass 9,4 Millionen Passagiere bzw. deren Daten vom Hack betroffen sind. Auf folgende personenbezogene Daten wurde zugegriffen:

  • Passagiername, Nationalität, Geburtsdatum,
  • Telefonnummer, E-Mail, Adresse,
  • Passnummer, Personalausweisnummer,
  • Mitgliedsnummer des Vielfliegerprogramms,
  • Bemerkungen zum Kundenservice und historische Reiseinformationen.

Darüber hinaus wurden 403 abgelaufene Kreditkartennummern abgerufen. Siebenundzwanzig Kreditkartennummern ohne CVV wurden aufgerufen. Die Kombination der abgerufenen Daten variiert für jeden betroffenen Fahrgast.

Das Unternehmen sagte, dass es zum ersten Mal im März unbefugten Zugriff auf seine Systeme identifiziert hat. Nicht gesagt wurde, warum es mehr als sechs Monate gedauert hat, bis der Verstoß öffentlich bekannt wurde.

Unbekannt ist auch, ob EU-Behörden über den Hack informiert wurden – Cathay Pacific hat ja auch Geschäftsstellen in der EU und befördert europäische Kunden.

Alte US-Wählerdaten im Web

Ein Sicherheitsforscher ist auf eine Fundgrube für politisches Fundraising gestoßen, hat er doch alte Wählerdaten offenen im Internet, und damit für jeden zugänglich, gefunden. Dies berichtet Cyber Scoop in diesem Artikel.


Anzeige

Eine Beratungsfirma (Rice Consulting, ein in Maryland ansässiges demokratisches Fundraisingunternehmen) für Wahlkampagnen hat versehentlich alte Wählerdatenbanken mit Datensätzen, die sensible Informationen zur Wahlspenden beinhalteten, offen im Internet stehen gelassen. Der Bericht wurde hier veröffentlicht. Gefunden wurden diese Daten auf einem NAS-Laufwerk, wobei Buffalo TeraStation NAS-Systeme sich mit einem Passwort und Zugangsnamen absichern lassen. Im aktuellen Fall war aber diese Authentifizierung abgeschaltet.

Interessant ist die Reaktion der Firma. Unmittelbar nach der Entdeckung schickten die Sicherheitsforscher E-Mail-Benachrichtigungen direkt an das Managementteam von Rice Consulting (glücklicherweise war ihre E-Mail auch in einer der Dateien enthalten). Allerdings kam innerhalb von 24 Stunden keine Antwort, so dass die Forscher auf Grund der kritischen Daten am nächsten Tag das Büro von Rice Consulting angerufen haben. Eine Person, die den Anruf annahm, hat einfach aufgelegt.

Einer der Twitter-Follower, der dem Sicherheitsforscher helfen wollte, Rice Consulting zu erreichen, hatte das gleiche Problem mit der Kommunikation: "Die erste Person dachte, ich tätige einen Marketinganruf und sagte "Nein danke" und legte auf. Die zweite tat so, als würde sie mir einen Gefallen tun, indem sie die Informationen aufnahm".

Erst am 18. Oktober wurde der öffentliche Zugang zu den NAS-Geräten mit den sensiblen Dateien deaktiviert und die Forscher erhielten eine Dankesnotiz von Rice Consulting. Mit solchen Beratern braucht es wahrlich keine Feinde mehr.

Hersteller von Medizinprodukten verkauft Patientendaten

Die New York Times berichtet hier über einen besonderen Fall von Datenverkauf in den USA. Beteiligt sind Kinsa, ein Technologie-Start-Up, das internetfähige Thermometer verkauft. Und als Partner Clorox, wohl ein Hersteller von Desinfektionstüchern. Zur diesjährigen Grippesaison kaufte Clorox Daten von Kinsa zu Grippefällen. Der Hersteller der intelligenten Fieberthermomenter lieferte Clorox Daten zum Anstieg von Fieberfällen im ganzen Land, geordnet nach Postleitzahlen. Das Unternehmen Glorox schaltete dann mehr Anzeigen in Postleitzahlenbereichen mit einer hohen Anzahl an Fieberfällen. Denn es galt die Annahme, dass es Haushalte gibt, die nun auf der Suche nach Desinfektionstüchern seien. Ganz passend: Das Center for Disease Control and Prevention empfiehlt die Desinfektion von Oberflächen, um die Grippe oder ihre Ausbreitung zu verhindern. – Daten sind das neue Öl, wenn es nach unseren Politikern geht.

Arcserve Unified Data Protection patchen

Unternehmen, die Arcserve Unified Data Protection zur Verwaltung ihrer Backups und Archive einsetzen, wird empfohlen, ihre Software zu aktualisieren. Denn Sicherheitsforscher haben vier Remote ausnutzbare Sicherheitslücken entdeckt. Details sind in diesem Beitrag nachzulesen.

Magento-Shops: Add-In verwundbar

Ein Add-In macht Magento-Shops für Kreditkarten-Skimmer angreifbar. Diese haben es auf das Abfischen von Kreditkartendaten abgesehen. Details zu diesem Thema finden sich in diesem heise.de-Artikel.

Apps: Datensammlung außer Kontrolle

Die BBC befasst sich in diesem Artikel mit dem Thema, dass die Datensammelei bei Mobilgeräte-Apps 'außer Kontrolle geraten sei'.  Fast 90% der kostenlosen Apps im Google Play Store teilen Daten mit der Google-Muttergesellschaft Alphabet, berichtete die Financial Times. Die Aktivistin Frederike Kaltheuner von Privacy International sagt, dass es für den durchschnittlichen Nutzer "unmöglich" geworden ist, zu verstehen, wie seine Daten verwendet werden, und sich bei Apps und Diensten vom Tracking abzumelden.

"Unternehmen verfolgen Menschen [per Tracking] …. und sie verwenden diese Daten, um Profile von Menschen zu erstellen, um diese dann auf eine Weise anzusprechen, die die meisten von uns aufdringlich und sehr überraschend finden würden", sagte sie.

"Es geht nicht mehr um die Notwendigkeit, Daten zu sammeln, um "relevante Anzeigen" zu schalten – es geht um Gewinnmaximierung auf Kosten der Grundrechte der Menschen", so Kaltheuner. Ein deutschsprachiger Artikel, der das aufgreift, findet sich bei nt-v.

Apples neues Produkt – und Leichen im Keller

Apple hat ein neues Produkt! Was ist das für ein Produkt? Da steht doch nix in der Presse drüber? Das neue Produkt heißt 'Datenschutz und Privatsphäre'. Auf IT Top News finden sich einige Informationen zum Thema. heise.de hat im August diesen Artikel dazu gebracht.

Tim Cook reist aktuell durch Europa und verkündet das neue Mantra. Mittwoch trat er auf der EU-Datenschutzkonferenz als Keynote-Sprecher auf. Hier ist ein Artikel zur Keynote erschienen, in dem man liest, dass Cook Facebook und Google wegen deren Datensammelwut angreift. Bei askwoody hat Susan Bradley einige Forderungen von Cook zusammen gefasst und das Video der Keynote eingebunden. Spiegel Online hat ein Interview mit Cook bei seinem Stopp in Berlin geführt und hier veröffentlicht.

In den USA möchte Cook eine Datenschutzgesetzgebung wie die DSGVO in Europa haben. Zudem möchte Apple die Schlüssel für die iCloud loswerden, wie heise.de hier berichtet. Dann kann kein Richter die Herausgabe dieses Schlüssels verlangen. Ist diametral zu dem, was Facebook und Google treiben.

Damit niemand jetzt übermütig wird, auch Apple hat Leichen im Keller – und Google manches Hühnchen mit den Leuten aus Cupertina zu rupfen. Denn Apple hat heimlich eine Reihe von kritischen Bugs bzw. Schwachstellen gepatcht, die von Googles Project Zero-Forschern gemeldet wurden.

Vom Googles Projekt Zero kommt erneut öffentliche Kritik am Verhalten von Apple, Sicherheitsmängel in iOS und macOS zu beheben, ohne sie in öffentlichen Sicherheitshinweisen zu dokumentieren. Apple hält zwar die 90-Tage-Frist von Project Zero für das Patchen oder Offenlegen der gefundenen Fehler ein. Aber Ivan Fratric von Projkt Zero argumentierte kürzlich, dass diese Praxis die Benutzer gefährdet habe, indem Apple diese nicht vollständig darüber informiert hat, warum ein Update installiert werden sollte. Details sind bei ZDnet nachlesbar.

Wie geht's eigentlich Facebook?

Gute Frage, nach all den vielen Skandalen der letzten Zeit müssten die ja am Boden liegen. Die Kritik von Tim Cook an diesem Facebook und dessen Datensammelleidenschaft wäre als 'nachtreten' zu werten.

Britische Datenschützer haben Facebook wegen des Cambridge Analytica-Skandals die geltende 'Höchststrafe' von 500.000 britische Pfund aufgebrummt (siehe). Meine Rede, das muss in der 'Portokasse' so richtig weh tun – aber das ist geltendes britisches Recht.

Ach ja, immerhin fordert das Europaparlament eine vollständige Auditierung von Facebook nach den Datenschutzskandalen, wie man bei Techcrunch nachlesen kann. Die Pressemitteilung zur Resolution des EU-Parlaments ist hier abrufbar. Immerhin, es geht voran

Dies und das …

Opfer der Ransomware Grandgrab können möglicherweise Hoffnung schöpfen. Für die Versionen 1, 4 und 5 gibt es ein Entschlüsselungstool (siehe).

Anderer Fall: 2014 hatte ich über den Hacks des belgischen Anbieters Belgacom durch den Trojaner Regin berichtet (siehe Stecken Amis und Briten hinter Regin-Trojaner?). Der Trojaner wurde von den US-Geheimdiensten und dem britischen Geheimdienst GCHQ entwickelt. Jetzt gibt es einen Abschlussbericht der Belgier, der auf den GCHQ zeigt – siehe diesen The Register-Artikel.

Und noch einige Meldungen: Axel Voss (CDU) vom EU-Parlament wurde mit dem Big Brother Award für seinen Upload-Filter ausgezeichnet.

Die Electronic Frontier Foundation (EFF) hat die Tage zudem einen Brief mit einer Stellungnahme an alle EU-Offizielle geschrieben, die mit der neuen Copyright-Direktive befasst sind.

The Next Web hat hier ein Portrait von Meet Jane Won veröffentlicht. Die 23 jährige Studentin im Bereich Software Engineering hat einige der größten Sicherheitlücken bei US-Techfirmen wie Facebook, Google oder Instagram aufgedeckt. Die meisten öffentlich gewordenen Schwachstellen sind übrigens nach einem Monat noch ungepatcht, wie man in diesem ZDNet-Artikel nachlesen kann.

Ähnliche Artikel:
Facebook-Hack & DSGVO: Wird es in Europa richtig teuer?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Datenleaks und Sicherheit (26.10.2018)

  1. Al CiD sagt:

    Zum Thema Datenschutz bei Google, FaceBook, MS, Smartphones und IoT:
    Man hat sich von seiten der Politik viel zu viel Zeit gelassen dem einen Riegel vor zu schieben… auch mit dankender Unterstützung von Frau Merkel (siehe Rede zur Cebit 2016).
    Jetzt ist das Spionage-Monster schon fast zu groß um es in den Griff zu kriegen, mit der Begründung: der andere macht das auch, also hat er einen Vorteil…

    Dem kann man nur mit empfindlichen Strafzahlungen bei kommen, nicht so Kleckerbeträge, die die Großen locker aus der Portokasse bezahlen.

    Für jede einzelne Weitergabe eines Datensatz einer Person, der ohne Einwilligung derselben erfolgt, sollten mind. 1000 € (Wert aus der Luft gegriffen, flog da so rum…) an Strafzahlung fällig sein, wovon der jeweilig Geschädigte mindestens 50% bekommt.

    DAS kann man dann als Strafe bezeichnen.

    my2cts

  2. Eina sagt:

    Dazu kommt dann noch das, von dem wir nicht erfahren. … =:(
    Danke, für die Zusammenstellung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.