Aon-Server der Telekom Austria gehackt – Passwörter im Klartext abgespeichert

Es gibt wieder einen Sicherheitsvorfall bei der A1 Telekom. Ein Hacker hat eine Kundendatenbank des Providers erbeutet. A1 hat die bereits bestätigt und seine Kunden informiert.

In dieser Datenbank sind Namen, Telefonnummern, E-Mail-Adressen und Kundenpasswörter im Klartext gespeichert. Wie viele Kunden der A1 genau betroffen sind, gab die Telekom Austria nicht bekannt. Es dürfte sich bei den erbeuteten Daten allerdings nur um Nutzer eines nicht mehr angebotenen Services für Aon-Webhosting handeln. Dieser Dienst ist seit 2011 nicht mehr im Angebot.

Entdeckt hat A1 den Angriff erst, nachdem sie von der Redaktion von heise online über die Schwachstellen in ihrem System informiert wurden. Heise online selbst war über Twitter mit dem Hacker in Kontakt getreten, der im Nachrichtendienst über den Hack getwittert hatte. Inzwischen hat A1 die Sicherheitslücke behoben. Die verwundbaren Systeme wurden vom Netz genommen, die Passwörter wurden zurückgesetzt und die Kunden wurden schriftlich informiert. A1 bedauert den Vorfall und kooperiert mit der zuständigen Datenschutzbehörde.

Der Hacker twitterte, dass er das Problem bei A1 schon länger kannte und auch A1 darauf hingewiesen habe. A1 habe scheinbar nur mit unzureichenden Maßnahmen regiert.

Betrügereien mit Kreditkarten stiegen in Österreich im Jahr 2017 um 20% zum Vorjahr an

Eine Studie des Analyse-Unternehmens Fico zeigt, dass in Österreich der Schaden durch EC- und Kreditkartenbetrügereien im Jah 2017 um 20 Prozent gestiegen. Das ist europäischer Negativ-Rekord.

Grund für den Trend laut Experten: Die von Plastikgeld-Gaunereien am stärksten betroffenen Länder, allen voran Großbritannien und Frankreich, steuern neuerdings einen harten Kurs gegen die Betrüger. Das hat, schreibt Fico, Kriminelle bewogen, sich nach „neuen Märkten“ umzusehen. Die Hauptleidtragenden heute sind: Österreich, Ungarn, Dänemark, Polen, Russland und Norwegen. Unterm Strich entstand in den 19 untersuchten Ländern 2017 ein Schaden von 1,58 Milliarden Euro, das ist ein Plus von 29 Mio. Euro gegenüber 2016. In Österreich ergaunerten sich die Betrüger im Jahr 2017 rund sechs Millionen Euro.

 

US State Department bestätigt Verletzung von nicht klassifiziertem E-Mail-System

Das US-Außenministerium bestätigte Mitte September 2018, dass es zu einer Datenverletzung gekommen war, die Mitarbeiterdaten offenlegte; Die Verletzung betraf das nicht klassifizierte E-Mail-System des Außenministeriums. Der Vorfall kam erst zum Vorschein, nachdem Politico am 7. September 2018 einen Hinweis über den Verstoß erhalten hatte.  Nach Angaben des US-Außenministeriums waren weniger als 1% der Beschäftigten von dem Verstoß gegen das nicht klassifizierte E-Mail-System betroffen.

Nachdem ein Sprecher des Außenministeriums die Kompromittierung seines E-Mail-Systems bestätigt hatte, wurde Politico gesagt: “Dies ist eine laufende Untersuchung, und wir arbeiten mit Partneragenturen sowie dem privaten Dienstleister zusammen, um eine umfassende Bewertung vorzunehmen.”

Die Meldung über Verstöße hatte zur Folge, dass die entdeckten Aktivitäten in ihrem nicht klassifizierten E-Mail-System “weniger als 1% der Posteingänge” betrafen. Der von der US-Außenbehörde für nicht klassifizierte Arbeiten genutzte E-Mail-Service ist Microsoft Office 365 .

“Wir haben festgestellt, dass die persönlich identifizierbaren Informationen (PII) bestimmter Mitarbeiter möglicherweise offengelegt wurden”, heißt es in der Mitteilung. “Wir haben diese Mitarbeiter benachrichtigt.”

Die US-Senatoren Ron Wyden (D-Ore), Rand Paul (R-Ky), Edward Markey (D-Mass.), Cory Gardner (R-Colo.) Und Jeanne Shaheen (DN.H.) schickten einen Brief an Außenminister Mike Pompeo, der sagt, dass “das Außenministerium die Cybersicherheitsstandards des Bundes nicht erfüllt”, trotz des Bundesgesetzes über die Verbesserung der Cybersicherheit von 2015, das Bundesbehörden zur Verbesserung der Cybersicherheit verpflichtete. Eine Bewertung der General Service Administration im Jahr 2018 ergab, dass im US-Außenministerium nur 11% der Geräte die Multi-Faktor-Authentifizierung (MFA) anwendet. Die Senatoren fügten hinzu, dass der Generalinspekteur des Außenministeriums  letztes Jahr herausgefunden habe, dass 33% der diplomatischen Missionen selbst die grundlegendsten Methoden zur Verwaltung von Cyberbedrohungen, wie regelmäßige Überprüfungen und Audits, nicht durchgeführt hätten. Der Generalinspekteur stellte auch fest, dass Experten, die diese Systeme getestet haben, Schwachstellen in E-Mail-Konten von Mitarbeitern der Abteilung sowie von Anwendungen und Betriebssystemen der Abteilung erfolgreich ausgenutzt haben.

 

Uber zahlt 148 Millionen US-Dollar Strafe im Zusammenhang mit einer Datenverletzung und deren Vertuschung im Jahr 2016

Wie der Sender CNBC berichtet, hat Uber zugestimmt, 148 Millionen US-Dollar im Zusammenhang mit einer Datenverletzung aus dem Jahr 2016 und der anschließenden Vertuschung zu zahlen, so das Büro des kalifornischen Justizministers. 2017 wurde bei Uber eine Sicherheitslücke entdeckt, die Hackern den Zugang zu persönlichen Informationen von 57 Millionen Fahrern und Kunden ermöglichte. Uber bezahlte daraufhin den Hackern 100.000 US-Dollar, um die Daten zu löschen und die Lücke ruhig zu halten, anstatt den Vorfall zu melden.

“Die Entscheidung von Uber, diesen Verstoß zu vertuschen, stellte eine eklatante Verletzung des Vertrauens der Öffentlichkeit dar. Das Unternehmen versäumte es, Nutzerdaten zu schützen und die Behörden darüber zu informieren, als der Breach bekannt wurde. Uber war die Missachtung des Gesetzes bewußt”, sagte der kalifornische Generalstaatsanwalt Xavier Becerra in einer Erklärung.

Hacker stahlen persönliche Daten, einschließlich Namen und Führerscheinnummern von rund 600.000 Fahrern in den USA, deren Namen, E-Mail-Adressen und Handynummern.

„Wir wissen , dass es nicht leicht sein wird, das Vertrauen unserer Kunden zu gewinnen”, sagte  Uber Chief Legal Officer Tony West in einer öffentlichen Erklärung. “Wir werden weiterhin in Schutzmaßnahmen investieren, um unsere Kunden und ihre Daten sicher und geschützt zu halten, und wir verpflichten uns zu einer konstruktiven und kooperativen Beziehung mit Regierungen auf der ganzen Welt.”

Die 148 Millionen Dollar werden in unterschiedlichen Mengen in den Staaten und Washington, DC verteilt