2019 ist erst sieben Monate alt, und Milliarden von Menschen haben in diesem Jahr bereits unter Datenschutzverletzungen gelitten. Die USA sind nach wie vor das beliebteste Zielland für Datenschutzverletzungen und Hacks, aber sie finden auf der ganzen Welt statt.
Es ist davon auszugehen, dass, wenn Sie online sind, Ihre Daten bereits auf die eine oder andere Weise verloren gegangen sind. Dies kann Ihre Telefonnummer, Benutzernamen und Passwortkombination, Fotos, Adressen und sogar Ihre medizinischen Daten beinhalten. Das Wichtigste ist, sich bewusst zu bleiben und sich zu schützen, wenn es zu einer Verletzung kommt.
Hier sind die fünf größten Datenschutzverletzungen und -lecks des Jahres 2019 bisher:
1. Sammlungen #1-5 (ca. 3 Milliarden Konten)
Die Sammlungen #1-5 waren ein Megaleak mit rund 3 Milliarden Benutzerdatensätzen. Die Cybersicherheitsforscherin Troy Hunt entdeckte Links zu all diesen Datenbanken, die in einem Hacking-Forum gemeinsam genutzt werden. Dies ist die größte Auswahl an kompromittierten Daten, die jemals gesammelt wurden, im Laufe der Zeit von mehreren anderen Verletzungen.
- Die Kollektion #1 erschien im Januar im Dark Web. Es soll Adressen und Passwörter von über 2000 früheren Datenschutzverletzungen enthalten, zu denen auch die E-Mails und Passwörter von 770 Millionen Menschen gehören. Es erschien auf dem Cloud-Service MEGA und stand über Torrent-Magnetlinks zum Download bereit. Die Sammlung #1 enthielt über 12.000 Dateien und „wiegt“ mehr als 87 Gigabyte.
- Wenige Wochen später wurde ein Megaleak mit dem Titel Collections #2-5 mit rund 25 Milliarden einzigartigen Datensätzen und rund 2,2 Milliarden einzigartigen Benutzernamen und Passwörtern im Internet verfügbar. Es wurde über Hackerforen und Torrent-Websites verbreitet. Die Sammlungen #2-5 umfassen 845 Gigabyte gestohlene Daten. Wie bei Collection #1 stammen die meisten der gestohlenen Daten aus früheren Diebstählen, wie z.B. den Verletzungen von Yahoo, LinkedIn und Dropbox. Wie bei der ersten Datenmenge kamen die meisten von ihnen aus jahrelangen Leckagen.
2. Leck im Cloud-Service (2,3 Milliarden Dateien)
Ende Mai entdeckten Forscher des Photon Research Teams bei Digital Shadows, dass 2,3 Milliarden Dateien aufgrund von Konfigurationsfehlern online zugänglich waren. Die Daten waren öffentlich über Data-Sharing und Cloud-Dienste, Online-Speicherdienste und Unternehmensserver. Diese Dateien enthielten medizinische Scans, Kreditkartendaten, Gehaltsabrechnungen, Patente auf geistiges Eigentum und mindestens 11 Millionen Fotos, von denen viele als private Bilder galten. Sie gingen auf einer japanischen Foto-Sharing-Plattform namens Theta360 an die Öffentlichkeit. Glücklicherweise reagierte das Unternehmen schnell und dichtete das Leck in den nächsten 24 Stunden ab.
3. Facebook, WhatsApp und Instagram (2,1 Milliarden Nutzer)
Diese Liste wäre ohne Facebook und seine Unternehmen nicht vollständig. Sie sind dafür verantwortlich, dass die Daten von satten 2,1 Milliarden Nutzern verletzt oder weitergegeben werden.
- Im April fand und berichtete eine Cybersicherheitsfirma namens UpGuard, dass zwei Drittanbieter von Facebook-Apps – die mexikanische Cultura Colectiva und eine App namens At The Pool – insgesamt etwa 540 Millionen Facebook-Nutzerdateneinträge auf ungesicherten Amazon Web Services (AWS)-Servern speicherten. Dazu gehörten „Kommentare, Vorlieben, Reaktionen, Kontonamen, FB-IDs und mehr“ von Millionen von Facebook-Nutzern.
- Im Mai wurde die Facebook-eigene WhatsApp verletzt. Hacker fanden und nutzten eine Sicherheitslücke, die ihre Benutzer anfällig für Spyware machte. Die genaue Anzahl der Opfer ist unbekannt, aber die App hat 1,5 Milliarden Benutzer, die alle betroffen sein könnten. Eine israelische staatliche Überwachungsbehörde namens NSO Group entwarf die Spyware. Es könnte das Mikrofon und die Kamera eines Geräts einschalten, Zugriff auf E-Mails und Nachrichten erhalten und Standortdaten sammeln.
- In der zweiten Maihälfte wurden die Kontaktdaten von fast 50 Millionen Instagram-Benutzern in einer massiven ungesicherten Online-Datenbank zugänglich. Die verletzten Daten enthalten personenbezogene Daten wie E-Mails und Telefonnummern von hochkarätigen Meinungsbildnern, Prominenten und Markenkunden. Die Datenbank selbst befand sich auf einem Amazon-Server und war nicht passwortgeschützt. Es wurde auf eine in Mumbai ansässige Marketingfirma namens Chtrbox zurückgeführt.
4. Internet der Dinge: Orvibo (2 Milliarden Datensätze)
Der jüngste Verstoß auf der Liste erfolgte Anfang Juli. Noam Rotem und Ran Locar, Forscher von vpnMentor, entdeckten, dass eine Benutzerdatenbank, die zu einem chinesischen Unternehmen namens Orvibo gehört, offen online zugänglich bleibt. Orbivo betreibt eine Verwaltungsplattform für das Internet der Dinge. Die Datenbank enthielt über 2 Milliarden Protokolle, darunter unter anderem die Passwörter der Benutzer, E-Mail-Adressen, Geolokalisierungsdaten und, was am beunruhigendsten ist, Rückstellcodes. Sie könnten verwendet werden, um Passwörter und E-Mail-Adressen zurückzusetzen, so dass die Benutzer für immer von ihren Konten ausgeschlossen bleiben.
5. Verstöße & Sammlungen von Gnosticplayern (über 1 Milliarde Konten)
Ein Hacker namens Gnosticplayers legt seit Mitte Februar Stapel von gehackten Daten auf einer Darknet-Website namens Dream Market ab. Bis Ende Mai stahl er 45 Unternehmen 1,071 Milliarden Anmeldeinformationen, ein Ziel, das er sich gesetzt hatte.
Der Hacker forderte im Austausch für die gestohlenen Informationen unterschiedliche Summen an Bitcoin an und bewarb die Daten in den Massenmedien. Er behauptete, dass seine beiden Hauptziele Geld und der „Sturz der amerikanischen Schweine“ seien…..
Gnosticplayer gaben die gestohlenen Informationen in sechs Runden frei, die in Größe und Preis variierten. Es enthielt Daten von verschiedenen Apps und Unternehmen und enthielt vollständige Namen der Benutzer, E-Mail-Adressen, Passwörter, Standortdaten, Social Media-Seiten, etc. Einige der betroffenen Unternehmen zahlten Gebühren, damit ihre Informationen nicht weitergegeben werden konnten.
Am stärksten betroffen war eines der größten australischen Technologieunternehmen, Canva. Das Unternehmen entdeckte den Hacker und schaffte es, seinen Datenbankserver zu schließen, aber nicht bevor er 139 Millionen Benutzerdaten gestohlen hatte – Login-Informationen, echte Namen, Adressen, etc. 61 Millionen der Passwörter wurden mit dem bcrypt-Algorithmus gehasht, einem der sichersten Algorithmen unserer Zeit. Die restlichen 78 Millionen Konten nutzten Google-Token, mit denen sich die Nutzer ohne Passwort für den Service anmelden konnten.
Warum hat er das getan? Laut dem Hacker selbst hat er die Daten manchmal zum Verkauf angeboten, nur weil die Unternehmen die Passwörter ihrer Benutzer nicht verschlüsselt haben. „Ich war in diesem Moment einfach nur verärgert, denn dieser Mangel an Sicherheit im Jahr 2019 macht mich wütend“, sagte der Hacker gegenüber ZDNet.
Unehrenhafte Erwähnung: medizinische und finanzielle Einrichtungen
Auch für die Medizin- und Finanzinstitute war es ein schwieriges Halbjahr. Viele Sicherheitsvorfälle waren relativ klein, aber die Gesamtzahl gibt Anlass zur Sorge.
- Im Juni wurden fast 12 Millionen Patienten einer Datenverletzung von Quest Diagnostics ausgesetzt.
- Am nächsten Tag gab LabCorp bekannt, dass derselbe Hack auch 7,7 Millionen ihrer Kunden betraf.
- Der Sicherheitsverstoß der American Medical Collection Agency war bei weitem der schlimmste. Es enthüllte persönliche und finanzielle Informationen von über 20 Millionen Menschen.
Leider litten auch viele Finanzinstitute unter ähnlichen Angriffen.
- Im Juni wurden Daten über 2,7 Millionen Personen und 173.000 Unternehmen von einem Mitarbeiter von Kanadas größter Kreditgenossenschaft, Desjardins, gestohlen. Namen, Sozialversicherungsnummern, Alter, Adressen, E-Mails und Telefonnummern wurden kompromittiert.
- Hacker infiltrierten das chilenische Geldautomaten-Interbanken-Netzwerk Redbanc, nachdem sie einen Mitarbeiter zum Herunterladen eines bösartigen Programms überredet hatten.
- Im Februar litt die britische Metro Bank als erste Großbank unter einer neuartigen Cyber-Intrusion, die Textnachrichten mit Zwei-Faktor-Authentifizierungscodes abfangen kann.
- Im selben Monat schloss die Bank of Valletta, Maltas älteste Bank, den Betrieb nach einem versuchten Diebstahl von 13 Millionen Euro.
Was es für den digitalen Datenschutz bedeutet
Diese Verstöße und Lecks sind gefährlicher, als es auf den ersten Blick scheint. Die häufigen Cyberangriffe könnten die Öffentlichkeit für die damit verbundenen Datenschutzrisiken betäuben. Dies kann zu einer unvorsichtigen Haltung gegenüber der eigenen Sicherheit führen.
Milliarden von Menschen waren erst in diesem Jahr betroffen. Es ist offensichtlich, dass Internetnutzer Unternehmen und sogar Regierungsbehörden nicht vertrauen können, dass sie ihre Daten sicher aufbewahren. Deshalb müssen sie die Cybersicherheit in die eigenen Hände nehmen.
