Collection#1: 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter landeten zum Download im Netz

Gestern, Donnerstag, hat Troy Hunt in seinem Blog als Erster davon berichtet, dass er eine Sammlung von mehr als 773 Millionen E-Mail-Adressen und 21 Millionen im Klartext lesbare Passwörter entdeckt hat. Noch ist nicht klar aus welchen Quellen die Daten stammen. Teilweise sind auch Datensätze dabei, die bereits 2 bis 3 Jahre alt sind. Der 87 Gigabyte große Datensatz bündele Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“, schrieb der australische IT-Sicherheitsexperte Troy Hunt in der Nacht zum Donnerstag in einem Blogeintrag. Betroffen sind Internetnutzer weltweit. In der „Collection #1“ sind auch österreichische E-Mail-Adressen mit .at-Endung enthalten. Hunt nennt die Sammlung „Collection #1“, weil so der Stammordner heißt, auf den er vergangene Woche beim Datenspeicherdienst „Mega“ gestoßen ist. 

Wer überprüfen will, ob seine E-Mail-Adresse in der Sammlung auftaucht, kann diesen kostenlosen Dienst nutzen: https://haveibeenpwned.com/.

Der auf IT-Sicherheit spezialisierte Journalist Brian Krebs hat Hinweise auf sehr viel größere Datensammlungen derselben Person bekommen und Kontakt zu ihr aufgenommen. Der Unbekannte verlangte für den Zugang zu collection#1 nur 45 Dollar. Er bestätigte, dass es sich bei dieser Sammlung um die Daten verschiedener Breaches der Vergangenheit handelt. Er habe auch noch größere und aktuellere Angebote, die nicht sichtbar sind. Es geht dabei um Daten im Umfang von vier Terrabyte. Die darin enthaltenen Datensätze sollen maximal ein Jahr alt sein.

500 Millionen Daten sind von der Hotelgruppe Marriott über einen längeren Zeitraum entwendet worden

Hackern ist es gelungen, Daten von etwa 500 Millionen Gästen der Hotelgruppe Marriott zu entwenden. Betroffene Hotels sind unter anderem W Hotels, Sheraton, St. Regis und Le Méridien. Viele dieser Hotels sind auch in der EU vertreten. Unter den gestohlenen Daten sind zum Teil auch Kreditkartendaten, die möglicherweise entschlüsselt werden können.

Aufgefallen ist das Sicherheitsleck laut Marriott dank einem internen Security-Tool, das am 8. September nach einem Zugangsversuch zur Starwood-Reservationsdatenbank Alarm schlug. Bei der Untersuchung durch Sicherheits-Experten habe sich danach herausgestellt, dass „eine nicht autorisierte Partei Informationen kopiert und verschlüsselt hatte“. Im Fall von 327 Millionen Hotelgästen gehe es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum.

In einigen Fällen seien auch Kreditkartennummern und die dazugehörigen Verfallsdaten gestohlen worden. Die Kartennummern habe Marriott mit der Verschlüsselungstechnik AES-128 codiert. Das Unternehmen könne jedoch nicht ausschließen, dass die zwei Komponenten, die zur Entschlüsselung der Nummern benötigt werden, nicht auch entwendet wurden, heißt es in der Mitteilung.

Marriott informiert momentan alle betroffenen Kundinnen und Kunden. Da vom Vorfall auch Europäer betroffen sind, dürfte Marriott wegen des Verstoßes gegen die EU-DSGVO nun auch ein saftiges Bußgeld drohen. Denn nachdem der erste Alarm am 8. September ausgelöst wurde gelang es Marriott laut eigenen Angaben erst am 19. November, die gestohlenen Daten zu entschlüsseln und die Lage zu analysieren. Erst elf weitere Tage später veröffentlichte der Konzern schließlich den Datendiebstahl.

Nun verhängen auch Niederlande und Großbritannien Strafen für Uber

Nachdem Uber bereits 148 Millionen US-Dollar Strafe im Zusammenhang mit einer Datenverletzung und deren Vertuschung im Jahr 2016 an die US-Behörden zahlen musste haben nun auch die Datenschutzbehörden der Niederlande und von Großbritannien jeweils eine Strafe für Uber verhängt.

Die niederländische Datenschutzbehörde verhängte nun eine Strafe von 600.000 Euro, weil Uber nicht binnen 72 Stunden Behörden und Betroffene unterrichtet habe. In dem Land wurden demnach 174.000 Bürger Opfer des Hacks. In Großbritannien, wo es um 2,7 Millionen Kunden und fast 82.000 Fahrer geht, soll Uber 385.000 Pfund zahlen.

Das erste Bußgeld nach Datenschutz-Grundverordnung in Deutschland wurde verhängt

Wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit hatte die Bußgeldstelle des LfDI (Landesbeauftragter für Datenschutz und Informationsfreiheit) Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt.

„Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Dr. Brink. Wie die Aufsichtsbehörde mitteilte, konnte man in konstruktiver Zusammenarbeit mit dem Unternehmen für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten sorgen.

Aon-Server der Telekom Austria gehackt – Passwörter im Klartext abgespeichert

Es gibt wieder einen Sicherheitsvorfall bei der A1 Telekom. Ein Hacker hat eine Kundendatenbank des Providers erbeutet. A1 hat die bereits bestätigt und seine Kunden informiert.

In dieser Datenbank sind Namen, Telefonnummern, E-Mail-Adressen und Kundenpasswörter im Klartext gespeichert. Wie viele Kunden der A1 genau betroffen sind, gab die Telekom Austria nicht bekannt. Es dürfte sich bei den erbeuteten Daten allerdings nur um Nutzer eines nicht mehr angebotenen Services für Aon-Webhosting handeln. Dieser Dienst ist seit 2011 nicht mehr im Angebot.

Entdeckt hat A1 den Angriff erst, nachdem sie von der Redaktion von heise online über die Schwachstellen in ihrem System informiert wurden. Heise online selbst war über Twitter mit dem Hacker in Kontakt getreten, der im Nachrichtendienst über den Hack getwittert hatte. Inzwischen hat A1 die Sicherheitslücke behoben. Die verwundbaren Systeme wurden vom Netz genommen, die Passwörter wurden zurückgesetzt und die Kunden wurden schriftlich informiert. A1 bedauert den Vorfall und kooperiert mit der zuständigen Datenschutzbehörde.

Der Hacker twitterte, dass er das Problem bei A1 schon länger kannte und auch A1 darauf hingewiesen habe. A1 habe scheinbar nur mit unzureichenden Maßnahmen regiert.

US State Department bestätigt Verletzung von nicht klassifiziertem E-Mail-System

Das US-Außenministerium bestätigte Mitte September 2018, dass es zu einer Datenverletzung gekommen war, die Mitarbeiterdaten offenlegte; Die Verletzung betraf das nicht klassifizierte E-Mail-System des Außenministeriums. Der Vorfall kam erst zum Vorschein, nachdem Politico am 7. September 2018 einen Hinweis über den Verstoß erhalten hatte.  Nach Angaben des US-Außenministeriums waren weniger als 1% der Beschäftigten von dem Verstoß gegen das nicht klassifizierte E-Mail-System betroffen.

Nachdem ein Sprecher des Außenministeriums die Kompromittierung seines E-Mail-Systems bestätigt hatte, wurde Politico gesagt: “Dies ist eine laufende Untersuchung, und wir arbeiten mit Partneragenturen sowie dem privaten Dienstleister zusammen, um eine umfassende Bewertung vorzunehmen.”

Die Meldung über Verstöße hatte zur Folge, dass die entdeckten Aktivitäten in ihrem nicht klassifizierten E-Mail-System “weniger als 1% der Posteingänge” betrafen. Der von der US-Außenbehörde für nicht klassifizierte Arbeiten genutzte E-Mail-Service ist Microsoft Office 365 .

“Wir haben festgestellt, dass die persönlich identifizierbaren Informationen (PII) bestimmter Mitarbeiter möglicherweise offengelegt wurden”, heißt es in der Mitteilung. “Wir haben diese Mitarbeiter benachrichtigt.”

Die US-Senatoren Ron Wyden (D-Ore), Rand Paul (R-Ky), Edward Markey (D-Mass.), Cory Gardner (R-Colo.) Und Jeanne Shaheen (DN.H.) schickten einen Brief an Außenminister Mike Pompeo, der sagt, dass “das Außenministerium die Cybersicherheitsstandards des Bundes nicht erfüllt”, trotz des Bundesgesetzes über die Verbesserung der Cybersicherheit von 2015, das Bundesbehörden zur Verbesserung der Cybersicherheit verpflichtete. Eine Bewertung der General Service Administration im Jahr 2018 ergab, dass im US-Außenministerium nur 11% der Geräte die Multi-Faktor-Authentifizierung (MFA) anwendet. Die Senatoren fügten hinzu, dass der Generalinspekteur des Außenministeriums  letztes Jahr herausgefunden habe, dass 33% der diplomatischen Missionen selbst die grundlegendsten Methoden zur Verwaltung von Cyberbedrohungen, wie regelmäßige Überprüfungen und Audits, nicht durchgeführt hätten. Der Generalinspekteur stellte auch fest, dass Experten, die diese Systeme getestet haben, Schwachstellen in E-Mail-Konten von Mitarbeitern der Abteilung sowie von Anwendungen und Betriebssystemen der Abteilung erfolgreich ausgenutzt haben.

 

Uber zahlt 148 Millionen US-Dollar Strafe im Zusammenhang mit einer Datenverletzung und deren Vertuschung im Jahr 2016

Wie der Sender CNBC berichtet, hat Uber zugestimmt, 148 Millionen US-Dollar im Zusammenhang mit einer Datenverletzung aus dem Jahr 2016 und der anschließenden Vertuschung zu zahlen, so das Büro des kalifornischen Justizministers. 2017 wurde bei Uber eine Sicherheitslücke entdeckt, die Hackern den Zugang zu persönlichen Informationen von 57 Millionen Fahrern und Kunden ermöglichte. Uber bezahlte daraufhin den Hackern 100.000 US-Dollar, um die Daten zu löschen und die Lücke ruhig zu halten, anstatt den Vorfall zu melden.

“Die Entscheidung von Uber, diesen Verstoß zu vertuschen, stellte eine eklatante Verletzung des Vertrauens der Öffentlichkeit dar. Das Unternehmen versäumte es, Nutzerdaten zu schützen und die Behörden darüber zu informieren, als der Breach bekannt wurde. Uber war die Missachtung des Gesetzes bewußt”, sagte der kalifornische Generalstaatsanwalt Xavier Becerra in einer Erklärung.

Hacker stahlen persönliche Daten, einschließlich Namen und Führerscheinnummern von rund 600.000 Fahrern in den USA, deren Namen, E-Mail-Adressen und Handynummern.

„Wir wissen , dass es nicht leicht sein wird, das Vertrauen unserer Kunden zu gewinnen”, sagte  Uber Chief Legal Officer Tony West in einer öffentlichen Erklärung. “Wir werden weiterhin in Schutzmaßnahmen investieren, um unsere Kunden und ihre Daten sicher und geschützt zu halten, und wir verpflichten uns zu einer konstruktiven und kooperativen Beziehung mit Regierungen auf der ganzen Welt.”

Die 148 Millionen Dollar werden in unterschiedlichen Mengen in den Staaten und Washington, DC verteilt