Collection#1: 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter landeten zum Download im Netz

Gestern, Donnerstag, hat Troy Hunt in seinem Blog als Erster davon berichtet, dass er eine Sammlung von mehr als 773 Millionen E-Mail-Adressen und 21 Millionen im Klartext lesbare Passwörter entdeckt hat. Noch ist nicht klar aus welchen Quellen die Daten stammen. Teilweise sind auch Datensätze dabei, die bereits 2 bis 3 Jahre alt sind. Der 87 Gigabyte große Datensatz bündele Informationen „aus vielen einzelnen Datendiebstählen und Tausenden verschiedenen Quellen“, schrieb der australische IT-Sicherheitsexperte Troy Hunt in der Nacht zum Donnerstag in einem Blogeintrag. Betroffen sind Internetnutzer weltweit. In der „Collection #1“ sind auch österreichische E-Mail-Adressen mit .at-Endung enthalten. Hunt nennt die Sammlung „Collection #1“, weil so der Stammordner heißt, auf den er vergangene Woche beim Datenspeicherdienst „Mega“ gestoßen ist. 

Wer überprüfen will, ob seine E-Mail-Adresse in der Sammlung auftaucht, kann diesen kostenlosen Dienst nutzen: https://haveibeenpwned.com/.

Der auf IT-Sicherheit spezialisierte Journalist Brian Krebs hat Hinweise auf sehr viel größere Datensammlungen derselben Person bekommen und Kontakt zu ihr aufgenommen. Der Unbekannte verlangte für den Zugang zu collection#1 nur 45 Dollar. Er bestätigte, dass es sich bei dieser Sammlung um die Daten verschiedener Breaches der Vergangenheit handelt. Er habe auch noch größere und aktuellere Angebote, die nicht sichtbar sind. Es geht dabei um Daten im Umfang von vier Terrabyte. Die darin enthaltenen Datensätze sollen maximal ein Jahr alt sein.

Datenschutzbehörde leitet Verfahren gegen Post ein

Anfang dieser Woche hat die Rechercheplattform “addendum” darüber berichtet, dass die Post bei rund 2,2 Millionen Österreichern auch die Parteiaffinität abgespeichert hat und diese Daten an Dritte weiterverkauft. Datenschützer halten das für illegal. Dies hat eine Welle der Empörung ausgelöst und eine Unmenge von Anträgen auf Auskunft laut der DSGVO sind bei der Post eingelangt. Die Post verwaltet eigenen Angaben zufolge rund drei Millionen Datensätze und Profile.

Die Post selbst kann die Kritik nicht verstehen und wies die Vorwürfe zurück. Georg Mündl, Leiter des Adressmanagements, erklärte gestern im “OE1 Mittagsjournal”, dass es üblich sei, Wahrscheinlichkeiten zu berechnen, damit Firmen zielgenaue Angebote aussenden können. Die politische Präferenz werde lediglich geschätzt, dies sei in der Digitalisierung üblich. Mündl betonte weiters, dass man sich zu 100 Prozent an die Gewerbeordnung und die Datenschutzgrundverordnung halte.

Anders sieht dies Dietmar Jahnel vom Institut für Verfassungs- und Verwaltungsrecht an der Uni Salzburg. Er erklärte im „OE1 Mittagsjournal“, dass die politische Meinung nicht zu jenen Daten zähle, deren Speicherung laut Gewerbeordnung zulässig sei. Dem Unternehmen könnten Strafen drohen, denn die Datenspeicherung sei weder von der Gewerbeordnung noch von der Datenschutzgrundverordnung gedeckt.
Heute hat die Datenschutzbehörde laut seiner Leiterin Andrea Jelinek ein Prüfverfahren eingeleitet. Die Post müsse nun innerhalb von zwei bis drei Wochen zu den Vorwürfen Stellung nehmen.

500 Millionen Daten sind von der Hotelgruppe Marriott über einen längeren Zeitraum entwendet worden

Hackern ist es gelungen, Daten von etwa 500 Millionen Gästen der Hotelgruppe Marriott zu entwenden. Betroffene Hotels sind unter anderem W Hotels, Sheraton, St. Regis und Le Méridien. Viele dieser Hotels sind auch in der EU vertreten. Unter den gestohlenen Daten sind zum Teil auch Kreditkartendaten, die möglicherweise entschlüsselt werden können.

Aufgefallen ist das Sicherheitsleck laut Marriott dank einem internen Security-Tool, das am 8. September nach einem Zugangsversuch zur Starwood-Reservationsdatenbank Alarm schlug. Bei der Untersuchung durch Sicherheits-Experten habe sich danach herausgestellt, dass „eine nicht autorisierte Partei Informationen kopiert und verschlüsselt hatte“. Im Fall von 327 Millionen Hotelgästen gehe es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum.

In einigen Fällen seien auch Kreditkartennummern und die dazugehörigen Verfallsdaten gestohlen worden. Die Kartennummern habe Marriott mit der Verschlüsselungstechnik AES-128 codiert. Das Unternehmen könne jedoch nicht ausschließen, dass die zwei Komponenten, die zur Entschlüsselung der Nummern benötigt werden, nicht auch entwendet wurden, heißt es in der Mitteilung.

Marriott informiert momentan alle betroffenen Kundinnen und Kunden. Da vom Vorfall auch Europäer betroffen sind, dürfte Marriott wegen des Verstoßes gegen die EU-DSGVO nun auch ein saftiges Bußgeld drohen. Denn nachdem der erste Alarm am 8. September ausgelöst wurde gelang es Marriott laut eigenen Angaben erst am 19. November, die gestohlenen Daten zu entschlüsseln und die Lage zu analysieren. Erst elf weitere Tage später veröffentlichte der Konzern schließlich den Datendiebstahl.

Nun verhängen auch Niederlande und Großbritannien Strafen für Uber

Nachdem Uber bereits 148 Millionen US-Dollar Strafe im Zusammenhang mit einer Datenverletzung und deren Vertuschung im Jahr 2016 an die US-Behörden zahlen musste haben nun auch die Datenschutzbehörden der Niederlande und von Großbritannien jeweils eine Strafe für Uber verhängt.

Die niederländische Datenschutzbehörde verhängte nun eine Strafe von 600.000 Euro, weil Uber nicht binnen 72 Stunden Behörden und Betroffene unterrichtet habe. In dem Land wurden demnach 174.000 Bürger Opfer des Hacks. In Großbritannien, wo es um 2,7 Millionen Kunden und fast 82.000 Fahrer geht, soll Uber 385.000 Pfund zahlen.

Das erste Bußgeld nach Datenschutz-Grundverordnung in Deutschland wurde verhängt

Wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit hatte die Bußgeldstelle des LfDI (Landesbeauftragter für Datenschutz und Informationsfreiheit) Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt.

„Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, Dr. Brink. Wie die Aufsichtsbehörde mitteilte, konnte man in konstruktiver Zusammenarbeit mit dem Unternehmen für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten sorgen.

Aon-Server der Telekom Austria gehackt – Passwörter im Klartext abgespeichert

Es gibt wieder einen Sicherheitsvorfall bei der A1 Telekom. Ein Hacker hat eine Kundendatenbank des Providers erbeutet. A1 hat die bereits bestätigt und seine Kunden informiert.

In dieser Datenbank sind Namen, Telefonnummern, E-Mail-Adressen und Kundenpasswörter im Klartext gespeichert. Wie viele Kunden der A1 genau betroffen sind, gab die Telekom Austria nicht bekannt. Es dürfte sich bei den erbeuteten Daten allerdings nur um Nutzer eines nicht mehr angebotenen Services für Aon-Webhosting handeln. Dieser Dienst ist seit 2011 nicht mehr im Angebot.

Entdeckt hat A1 den Angriff erst, nachdem sie von der Redaktion von heise online über die Schwachstellen in ihrem System informiert wurden. Heise online selbst war über Twitter mit dem Hacker in Kontakt getreten, der im Nachrichtendienst über den Hack getwittert hatte. Inzwischen hat A1 die Sicherheitslücke behoben. Die verwundbaren Systeme wurden vom Netz genommen, die Passwörter wurden zurückgesetzt und die Kunden wurden schriftlich informiert. A1 bedauert den Vorfall und kooperiert mit der zuständigen Datenschutzbehörde.

Der Hacker twitterte, dass er das Problem bei A1 schon länger kannte und auch A1 darauf hingewiesen habe. A1 habe scheinbar nur mit unzureichenden Maßnahmen regiert.

Betrügereien mit Kreditkarten stiegen in Österreich im Jahr 2017 um 20% zum Vorjahr an

Eine Studie des Analyse-Unternehmens Fico zeigt, dass in Österreich der Schaden durch EC- und Kreditkartenbetrügereien im Jah 2017 um 20 Prozent gestiegen. Das ist europäischer Negativ-Rekord.

Grund für den Trend laut Experten: Die von Plastikgeld-Gaunereien am stärksten betroffenen Länder, allen voran Großbritannien und Frankreich, steuern neuerdings einen harten Kurs gegen die Betrüger. Das hat, schreibt Fico, Kriminelle bewogen, sich nach „neuen Märkten“ umzusehen. Die Hauptleidtragenden heute sind: Österreich, Ungarn, Dänemark, Polen, Russland und Norwegen. Unterm Strich entstand in den 19 untersuchten Ländern 2017 ein Schaden von 1,58 Milliarden Euro, das ist ein Plus von 29 Mio. Euro gegenüber 2016. In Österreich ergaunerten sich die Betrüger im Jahr 2017 rund sechs Millionen Euro.

 

US State Department bestätigt Verletzung von nicht klassifiziertem E-Mail-System

Das US-Außenministerium bestätigte Mitte September 2018, dass es zu einer Datenverletzung gekommen war, die Mitarbeiterdaten offenlegte; Die Verletzung betraf das nicht klassifizierte E-Mail-System des Außenministeriums. Der Vorfall kam erst zum Vorschein, nachdem Politico am 7. September 2018 einen Hinweis über den Verstoß erhalten hatte.  Nach Angaben des US-Außenministeriums waren weniger als 1% der Beschäftigten von dem Verstoß gegen das nicht klassifizierte E-Mail-System betroffen.

Nachdem ein Sprecher des Außenministeriums die Kompromittierung seines E-Mail-Systems bestätigt hatte, wurde Politico gesagt: “Dies ist eine laufende Untersuchung, und wir arbeiten mit Partneragenturen sowie dem privaten Dienstleister zusammen, um eine umfassende Bewertung vorzunehmen.”

Die Meldung über Verstöße hatte zur Folge, dass die entdeckten Aktivitäten in ihrem nicht klassifizierten E-Mail-System “weniger als 1% der Posteingänge” betrafen. Der von der US-Außenbehörde für nicht klassifizierte Arbeiten genutzte E-Mail-Service ist Microsoft Office 365 .

“Wir haben festgestellt, dass die persönlich identifizierbaren Informationen (PII) bestimmter Mitarbeiter möglicherweise offengelegt wurden”, heißt es in der Mitteilung. “Wir haben diese Mitarbeiter benachrichtigt.”

Die US-Senatoren Ron Wyden (D-Ore), Rand Paul (R-Ky), Edward Markey (D-Mass.), Cory Gardner (R-Colo.) Und Jeanne Shaheen (DN.H.) schickten einen Brief an Außenminister Mike Pompeo, der sagt, dass “das Außenministerium die Cybersicherheitsstandards des Bundes nicht erfüllt”, trotz des Bundesgesetzes über die Verbesserung der Cybersicherheit von 2015, das Bundesbehörden zur Verbesserung der Cybersicherheit verpflichtete. Eine Bewertung der General Service Administration im Jahr 2018 ergab, dass im US-Außenministerium nur 11% der Geräte die Multi-Faktor-Authentifizierung (MFA) anwendet. Die Senatoren fügten hinzu, dass der Generalinspekteur des Außenministeriums  letztes Jahr herausgefunden habe, dass 33% der diplomatischen Missionen selbst die grundlegendsten Methoden zur Verwaltung von Cyberbedrohungen, wie regelmäßige Überprüfungen und Audits, nicht durchgeführt hätten. Der Generalinspekteur stellte auch fest, dass Experten, die diese Systeme getestet haben, Schwachstellen in E-Mail-Konten von Mitarbeitern der Abteilung sowie von Anwendungen und Betriebssystemen der Abteilung erfolgreich ausgenutzt haben.

 

Uber zahlt 148 Millionen US-Dollar Strafe im Zusammenhang mit einer Datenverletzung und deren Vertuschung im Jahr 2016

Wie der Sender CNBC berichtet, hat Uber zugestimmt, 148 Millionen US-Dollar im Zusammenhang mit einer Datenverletzung aus dem Jahr 2016 und der anschließenden Vertuschung zu zahlen, so das Büro des kalifornischen Justizministers. 2017 wurde bei Uber eine Sicherheitslücke entdeckt, die Hackern den Zugang zu persönlichen Informationen von 57 Millionen Fahrern und Kunden ermöglichte. Uber bezahlte daraufhin den Hackern 100.000 US-Dollar, um die Daten zu löschen und die Lücke ruhig zu halten, anstatt den Vorfall zu melden.

“Die Entscheidung von Uber, diesen Verstoß zu vertuschen, stellte eine eklatante Verletzung des Vertrauens der Öffentlichkeit dar. Das Unternehmen versäumte es, Nutzerdaten zu schützen und die Behörden darüber zu informieren, als der Breach bekannt wurde. Uber war die Missachtung des Gesetzes bewußt”, sagte der kalifornische Generalstaatsanwalt Xavier Becerra in einer Erklärung.

Hacker stahlen persönliche Daten, einschließlich Namen und Führerscheinnummern von rund 600.000 Fahrern in den USA, deren Namen, E-Mail-Adressen und Handynummern.

„Wir wissen , dass es nicht leicht sein wird, das Vertrauen unserer Kunden zu gewinnen”, sagte  Uber Chief Legal Officer Tony West in einer öffentlichen Erklärung. “Wir werden weiterhin in Schutzmaßnahmen investieren, um unsere Kunden und ihre Daten sicher und geschützt zu halten, und wir verpflichten uns zu einer konstruktiven und kooperativen Beziehung mit Regierungen auf der ganzen Welt.”

Die 148 Millionen Dollar werden in unterschiedlichen Mengen in den Staaten und Washington, DC verteilt

Kriminalstatistik 2017: Die prozentuell höchsten Anstiege waren 2017 erneut im Bereich Cybercrime zu verzeichnen

Auszug aus dem heute veröffentlichten Lagebericht der Polizeilichen Kriminalstatistik 2017 zum Thema Cybercrime

Cybercrime

Die prozentuell höchsten Anstiege waren 2017 erneut im Bereich Cybercrime zu verzeichnen: Mit einem Gesamtanstieg von 28,3 Prozent ist auch 2017 die Tendenz weiterhin steigend. 2017 wurden 16.804 Anzeigen der Polizei gemeldet.

 

Entwicklung der Cybercrime-Delikte in Österreich 2008 bis 2017

 

Die Kriminalitätsformen im Internet werden in zwei Bereiche unterteilt: Unter Cybercrime im engeren Sinne versteht man Straftaten, die an IT-Systemen oder Daten begangen werden. Ein Beispiel dafür ist der widerrechtliche Zugriff auf ein Computersystem. Unter Cybercrime im weiteren Sinn versteht man herkömmliche Delikte, die mit Hilfe des Internets begangen wurden, wie zum Bespiel den Internetbetrug, Erpressungen im Internet, Kinderpornographie und die Anbahnung von Sexualkontakten zu Unmündigen.

Die Anzahl der Tatbestände von Cybercrime im engeren Sinne ist österreichweit von 2.630 im Jahr 2016 auf 3.546 angezeigte Fälle um 34,8 Prozent angestiegen. Gleichzeitig ist die Aufklärungsquote um 10,2 Prozentpunkte auf 28,2 Prozent gestiegen. Besonders der Tatbestand Datenbeschädigung (§ 126a StGB) mit einem Anstieg von 527 Fällen und somit 80 Prozent wurde überdurchschnittlich stark angezeigt (2017: 1.186 Anzeigen). Der Grund für diese Zunahme liegt vor allem in der weltweit steigenden Verbreitung von Ransomware. Damit werden wichtige Daten in EDV-Systemen durch einen Verschlüsselungstrojaner unbrauchbar gemacht. In der Folge versuchen die Täter für die Entschlüsselung der Daten ein Lösegeld in Form von Bitcoins zu erpressen.

Der betrügerische Datenverarbeitungsmissbrauch (§ 148a StGB) ist von 817 auf 1.056 Anzeigen und die Datenfälschung (§ 225a StGB) von 139 auf 231 Anzeigen angestiegen.

Mit Jänner 2016 ist die Bestimmung Cybermobbing (§ 107c StGB) neu in Kraft getreten. 2017 wurden 359 Fälle zur Anzeige gebracht (2016: 302 Fälle).

Die Anzahl von Anzeigen wegen Hacking, dem unbefugten Eindringen in ein Computersystem (§ 118a StGB) ist nach einem Anstieg 2016 im Jahr 2017 um 20,6 Prozent auf 363 Anzeigen gesunken (2016: 457 Anzeigen).

Die Zahl der Anzeigen wegen kinderpornographischer Darstellung Minderjähriger (§ 207a StGB) ist von 681 im Jahr 2016 auf 733 im Jahr 2017 angestiegen, die Zahl der Anzeigen wegen Groomings (§ 208a StGB) von 80 auf 106 Anzeigen im Jahr 2017 angestiegen.

Quelle: Lagebericht Polizeiliche Kriminalstatistik 2017

Den vollständigen Bericht können Sie hier herunterladen: http://bundeskriminalamt.at/bmi_documents/2170.pdf