EDV-Dompteur/Forum

Dieser Thread ist wahrlich überfällig!

Ständig wird uns eingeredet, bei Firma X, bei Behörde Y, beim Webdienst Z etc., seien unsere Daten "absolut sicher".
Und wer nichts zu verbergen hat ...
... und so weiter.

Dabei vernachlässigen CDU-gläubige Problemignoranten, die aus tiefstem, naiven Herzen an die bedingungslose Güte unserer ach so rechtsstaalichen, deutschen Obrigkeit glauben, dass jedwede Datensammlung Begehrlichkeiten weckt und dass selbst Konzerne und staatliche Stellen immer wieder peinliche Datenlecks eingestehen müssen.
Siehe allein die Snowden-Affäre!

Hier sammle ich ab jetzt Fälle solcher Datenlecks, um Mitglieder der "nichts-zu-verbergen-Fraktion" (selbst wenn diese aufrichtigst an die Herzensgüte unserer staatlichen Stellen und großer Firmen glauben) aus dem Stegreif und ohne viel Recherche mit der Nase auf die Probleme stoßen zu können.

Kriminelle haben bei einem Einbruch in interne Server von Vodafone Deutschland Stammdaten für zwei Millionen Kunden entwendet.
[...]
Mit den erbeuteten Daten sei es kaum möglich, direkt auf die Bankkonten
der Betroffenen zuzugreifen, erklärt Vodafone. Allerdings könnten die
kompromittierten Informationen für Phishing-Attacken genutzt werden, um
weitere Daten wie Passwörter und Kreditkarteninformationen abzufragen.

Ganzer Artikel bei Heise.de

Bei einem digitalen Einbruch in einen Adobe-Server hat ein Angreifer
nach eigenen Angaben die Daten von rund 150.000 Nutzern kopiert –
darunter Namen, Mail-Adressen und Passwort-Hashes.

Quelle: Heise.de, Meldung vom 15.11.2012

Obige Meldung ist zwar schon einige Monate alt, aber ich krame sie aus zwei Gründen hervor:

1) Adobe ist "'ne Hausnummer"
2) Die Meldung bietet eine indirekte Erklärung für das Phänomen, dass selbst solche Menschen Spam-Mails erhalten, die das Medium E-Mail fast gar nicht nutzen.
Es genügt bereits, sich bei einer als "vertrauenswürdig" einzustufenden Firma mit der realen Mailadresse zu registrieren.
Die jeweilige Firma muss gar nicht zwangsweise "Daten verkauft" haben. Sie kann selbst das Opfer einer Attacke geworden sein.

Ein Angreifer, der abertausende E-Mail-Adressen von einem Firmenserver, oder Webhoster erbeuten konnte kennt zunächst mal nur die jeweiligen Mailadressen. Doch darüber hinaus weiß er, dass die hinter diesen Mailadressen stehenden Personen (deren Namen er nun kennt) mit hoher Wahrscheinlichkeit Kunden jener Firma sind, von der die Daten abgegriffen wurden.

Diese - bislang lediglich drei Informationen - sind (von primitivem Spam abgesehen) bereits eine ausgezeichnete Grundlage für eine groß angelegte Aktion mit Phishing-Mails.
Unter 150.000 Nutzenr wird ein kleiner Prozentteil naiv genug sein, unbedarft irgendwelchen Aufforderungen in solchen Mails zu folgen ("aktualisieren Sie Ihr Passwort/Ihre Kontonummer/Ihre Profildaten. Loggen Sie sich dazu über folgenden Link ein: ...").

Wer dem präpariertem Link folgt, landet auf einer nachgebauten Website, die vom Original nicht zu unterschieden ist.
Dort gibt das Opfer nun seine Login-Daten ein (die der Angreifer bis dahin noch nicht unbedingt kannte).

Der Angreifer verfügt spätestens jetzt über eine Reihe weiterer Daten der ahnungslosen Opfer. Z. B. Bankdaten ...
Und da viele Menschen aus Bequemlichkeit für mehrere Onlinedienste das selbe Passwort verwenden, lassen sich ab jetzt durchaus größere Kreise zeichnen.
Hat das Opfer gar einen ungehärteten Browser in Betrieb, kann ihm bei dieser Gelegenheit, über ein in die nachgebaute Website eingebautes Script, ein Trojaner untergejubelt werden.


Ich kann hier nur versuchen, den Blick für die möglichen Probleme zu schärfen.
Und ein Gefühl zu vermitteln, warum man auch gegenüber staatlicher Datensammelwut skeptisch sein sollte. Auch behördliche Server werden gehackt, da mag der jeweilige Staat (momentan!) noch so "demokratisch und rechtsstaatlich" sein.

Ergänzend zum vorigen Posting vier ältere Meldungen, die die Dimension des Datenhandels mit illegal/halblegal erworbenen Daten verdeutlichen:

Kontonummern von 21 Millionen Bürgern auf dem Schwarzmarkt

Illegaler Datenhandel: Auch Telekom-Kunden betroffen

Datenklau im Gesundheitsministerium

Mitgliederdaten der CDU geklaut


An den Daten aus der letzten Meldung hätte ich übrigens persönliches Interesse!
Wer kann sie mir verkaufen?

Wenn ich nämlich eines schönen Tages endlich König von Deutschland werde, dann werden rückwirkend alle ehemaligen Mitglieder dieser (dann verbotenen) Partei als "Mitglieder einer kriminellen Vereinigung" eingestuft und entsprechend behandelt!



Aber CDU-Mitglieder haben ja generell "nichts zu verbergen" und daher grundsätzlich "nichts zu befürchten", gelle?
Vielleicht kapieren sie dann, wenn ich endlich König von Deutschland bin, warum "nichts-zu-verbergen" ein saudummes Mem ist.

http://deutsche-wirtschafts-nachrichten.…mtern-bedienen/

Nicht direkt ein Datenleck, sondern eine offene Weitergabe unserer Daten.
Voll gerichtlich legitimiert.
In diesem Fall von staatlicher Stelle zu einem Abzockerverein - äh, Korrektur, ich wollte natürlich schreiben: zum "Beitrags-Service".

"Service", das klingt ja immer gut!
Da kann man nichts gegen haben! Jeder liebt guten Service!

Der neue Name klingt ja auch wahrlich viel geschmeidiger, als der bisherige, emotional verbrannte Name "Gebühreneinzugszentrale".
Gebühren hasst bekanntlich jeder. Und "Einzugszentrale" klingt ohnehin so furchtbar düster, nach kräftigen Russen, die an der Tür klingeln über "finanzielle Angelegenheiten" reden wollen.

Warum ich die Meldung in diesen Thread stelle?
- Weil es aufzeigt, wie alle möglichen Firmen, Ämter etc. unsere Daten fröhlich in der Welt verbreiten. Auch staatliche Stellen.

Ruhen unsere Daten gut gesichert auf lediglich einem einzigen Server, beim jeweiligen Amt, dann mag man die Notwendigkeit leicht einsehen.
Wenn diese Daten aber aus der Hand gegeben werden, multipliziert sich entsprechend die Wahrscheinlichkeit, dass damit Schindluder getrieben wird.

Wer auf diese Daten scharf ist, muss nun nicht mehr unbedingt einen (hoffentlich!) streng gesicherten Behördenserver hacken.
Er kann sich, falls er dort nicht rein kommt, ebensogut beim Abzockerv... - äh, verschrieben, ich meinte: "Beitrags-Service" bedienen.
Oder er nimmt dort 'nen Job an und bedient sich ganz fröhlich.

Die Redaktion der Neuen Zürcher Zeitung (NZZ) ist an Datenbänder gelangt, auf denen Backups von internen Daten des Telecom-Unternehmens Swisscom gespeichert sind.

Ganzer Artikel bei Heise.de

http://www.zeit.de/digital/datenschutz/2…sicherheitsleck

Super, da konnte man also ungehindert den Server leerräumen und unter Umständen noch ganz andere Dinge veranstalten.

Der Sicherheitsblogger Brian Krebs ist einem über vermutlich mehrere Jahre professionell ausgeführten Identitätsklau bei namhaften amerikanischen Firmen auf die Schliche gekommen.

Ganzer Artikel bei Heise.de

Nach Berichten des isländischen Rundfunks RÚV wurden SMS von 70 000
Kunden öffentlich gemacht, darunter auch Nachrichten von Ministern und
Parlamentsabgeordneten. Außerdem seien persönliche Kundeninformationen
und tausende Passwörter zugänglich gewesen.

Ganzer Bericht bei Heise:
http://heise.de/-2058302


Man fragt sich, ob es einen guten Grund hatte, dass die Inhalte der SMS dort auf dem Vodafone-Server lagen?
Sowas gehört doch eigentlich schleunigst gelöscht, nach der Zustellung!?!

Jedenfalls zeigt dieser neue Fall wieder einmal, dass eigene Daten auf fremden Servern keine gute Sache sind.
Und dass weder ein großes, sogar auf Telekommunikation spezialisiertes Unternehmen, noch Papa Staat, die Sicherheit unserer Daten garantieren kann. Weswegen man auch Papa Staates Sammelwut nicht einfach hinnehmen sollte.

http://heise.de/-2104331

Jedes Ereignis solcher Art beweist erneut:
Daten sind nirgendwo sicher!
Auch nicht bei großen Konzernen, auch nicht bei Papa Staat (da sowieso nicht!).

Darum:
Datensparsamkeit parkizieren!

Firmen und Ämtern auf die Finger klopfen, wann immer die mehr wissen wollen, als unbedingt notwendig.

Vorschlag für die Einleitung einer entsprechenden Predigt:
"Wir wir alle ja spätestens seit Edward Snowden wissen ..."
(Mehr muss man meistens auch gar nicht sagen - ab dieser Einleitung, mit schön ausgedehnter Sprechpause nach dem Wort "wissen", fällt beim jeweiligen Gegenüber der Groschen, so in aller Regel.)


Ich träume ja davon, dass sich das mit der Datensparsamkeit endlich soweit herumspricht, dass Bewerber künftig ganz selbstverständlich KEINEN Lebenslauf mehr unverlangt beilegen!
Was bitteschön geht es einen lediglich potenziellen Arbeitgeber an, wo und wann der Bewerber zur Schule gegangen ist?
Wer studiert hat MUSS zur Schule gegangen sein! Was interessieren da die mitunter erniedrigenden Details aus der Kindheit?
Und wozu soll ein Vierzigjähriger, der sich als Lagerarbeiter bewirbt, Schulzeugnisse beilegen?

Es wird Zeit, Firmen und Ämter zu erziehen!

Bei Happyshops, einem Online-Versandhandel mit einer halben Million Kunden, wurden bei einem Hackerangriff persönliche Daten kopiert.
Die Firma warnt nun vor Phishing-Versuchen.

Ganzer Artikel bei Heise

Eigentlich hatte ich diesen Thread für Meldungen aus Deutschland angedacht, aber "interessanten" Dinge passieren doch häufig im Ausland.

Bei der britischen Großbank Barclays wurden private Investmentdaten von mindestens 27.000 Kunden entwendet.
[...] genaue Informationen über die Investitionen, das Einkommen und in manchen Fällen auch die Gesundheitsdaten der Kunden.

Ganzer Artikel bei Heise.de

27000 Datensätze - da ist man inzwischen schon andere Größenordnungen gewohnt. Aber die "Qualität" der Daten ist doch beachtlich.
Und jetzt gehe mal jeder in sich und frage sich selbst, wem er was so alles mitteilt, wenn er danach gefragt wird ...
... und was so alles im Kleingedruckten steht; an wen die Daten weitergereicht werden ("an unsere Partner und zu Werbezwecken") ...


Passend dazu (Lesepflicht!):

Der gläserne Patient


Naja, den deutschen Michel braucht das alles ja zum Glück nicht zu interessieren. Der hat nichts zu verbergen und daher auch nichts zu befürchten. Darum wählt er auch immer wieder die mit dem "C" im Parteinamen ...

Kickstarters Mitgründer Yancey Strickler teilte per E-Mail und im firmeneigenen Blog mit, dass keine Kreditkartendaten erbeutet worden seien. Einige andere Daten allerdings schon: Dazu zählen Kontonamen, E-Mail-Adressen, Anschriften, Telefonnummern und verschlüsselte Passwörter.

Ganzer Artikel bei Golem.de

Wie eine Sprecherin gegenüber heise Security erklärte, werden die Passwörter seit sieben Jahren als ungesalzene SHA1-Hashes gespeichert.

Ganzer Artikel bei Heise.de


Also stets für jedes Forum und jede sonstige Seite, die einen Login erfordert, ein ausschließlich dort gültiges Passwort verwenden!

Bis zu 100 Geldinstitute in über 20 Ländern sind weltweit von der "Carbanak"-Gang angegriffen worden.

http://heise.de/-2549656

Eine Milliarde US-Dollar erbeutet ... puuhh!

Wie man immer wieder sieht, ist die EDV einfach nicht wasserdicht zu bekommen.
Ob bei Behörden, Banken, großen Konzernen, oder dem eigenen Arzt, Steuerberater, wasauchimmer - Sicherheitslücken, oft von NSA & Co. überhaupt erst geschaffen, werden auch von anderen Warzen dieser Welt ausgenutzt.

Und noch immer wird einem mit Unverständnis begegnet, wenn man angemessenes Bewusstsein für Datensicherheit zeigt:
(Achtung: Artikel geht zur TAZ): http://www.taz.de/!64248/

Keine Ahnung, ob der TAZ-Artikel nicht bloß eine Ente ist, aber die Geschichte klingt plausibel.

Unter meinen EDV-Servicekunden befindet sich auch eine Ärzin, ein Steuerberater, ein Betreuer ... und ich weiß, wie da mit Daten geschludert wird!
Rechner am Internet, zudem eine installierte Fernwartungssoftware, offen zugängliche USB-Ports ...
Selbst Besucher werden mitunter lange Minuten in einem Raum mit derart "zugriffsbereiter" EDV "geparkt". Dabei dauert es kaum auch nur Sekunden, dort kurz 'nen infizierten USB-Stick anzustöpseln, um später, per Internet, alle Daten im gesamten Netzwerk abzuschnorcheln.

Google bietet seinen Kunden die Möglichkeit, Domains zu registrieren, ohne dass dabei persönliche Daten in den Whois-Einträgen auftauchen. Durch einen Bug waren die Informationen trotzdem abrufbar.

http://heise.de/-2574423

Öh, ja, "bei uns sind Ihre Daten sicher" ... oder so.
Mal davon abgesehen: Wie man auf die Idee kommen kann, ausgerechnet bei Google irgend watt mit "anonym" zu buchen, bzw. zu erwarten ... !?!?!

Laut Medienberichten gibt es Zugangsdaten zu Tausenden von Nutzerkonten des Taxi-Fahrdiensts UberPOP zu Schleuderpreisen im Web zu kaufen. Darüber lassen sich auch Fahrten im Namen des Kontoinhabers buchen.

UberPOP: Kundendaten im Web


Vier Tage lang hatten Angreifer wohl unbefugten Zugriff auf die Datenbank, in der Slack die Profilinformation seiner Nutzer hinterlegt.

Messaging: Slack führt nach Angriffen Zwei-Faktor-Authentifizierung ein


Frage: Warum berichte ich eigentlich dauernd über solche Vorfälle?
Antwort: Damit ich jederzeit belegen kann, warum ich gegen die Datensammelwut privater und staatlicher Enrichtungen bin!
Insbesondere gegen aufgezwungene Datenerhebungen!

Klingt im ersten Moment nett, nur leider veröffentlichten die Hacker auch die intimen Daten der bedauernswerten Opfer dieser miesen Überwachungssoftware:

mySpy: Hacker legen Daten von Überwachten offen

Fettes Ding!

Und ich hoffe, dass möglichst viele dieser Idioten, die ihren Partnern und anderen Opfern so eine Software untergejubelt hatten, dafür jetzt richtig Ärger kriegen!

Ei, das ist pikant:
Eine populäre Sexbörse wurde gehackt; die Daten von 3,9 Millionen Nutzern sollen offen im Netz einsehbar sein, teilweise inkl. persönlicher Adressdaten, Telefonnummern, sexueller Vorlieben ...

http://heise.de/-2663029

Angreifer haben es geschafft, über Monate hinweg unbemerkt die Daten von annähernd 100.000 US-Steuerzahlern von den Servern des Internal Revenue Service zu kopieren. Darunter sind deren Klarnamen, Adressen und Sozialversicherungsnummern.

Weiter bei Heise

Was lernen wir daraus?
- Dass Daten auch bei Papa Staat nicht sicher sind. Weder bei uns, noch bei den selbsternannten Weltherrschern, den Amis.

Und u.a. deshalb sollte Papa Staat zurückhaltender werden, mit seinen zwangsweisen Datenerhebungen!
Denn selbst wenn Papa Staat vertrauenswürdig wäre - was er definitiv nicht (mehr) ist - er ist nicht fähig, diese Daten zu schützen!

Bis zu 700.000 Briten wurden hintergangen. Sie hatten explizit angegeben, dass die von ihren Hausärzten gespeicherten Gesundheitsdaten nicht an Dritte weitergegen werden dürfen ...

Weiter bei Heise

Um die gefühlt 100 Horrormeldungen der letzten Monate hier zu verlinken, fehlten mir leider die Zeit & Kraft.
Nun will ich aber mal wieder! Denn solche Fälle hier freuen mich immer:

Schweiz: Geheimdienst-Informatiker klaute halbes Terabyte Daten

Android-Trojaner auf Amazon.de

Warum mich das freut?
- Nun, der erste Artikel kommt mit in meine prall gefüllte Argumentsammlung, die ich Datensammel-wütigen Überwachungstfetischisten um die Ohren haue (also CDU-Politiker/-Sympathisanten). wenn die mir mal wieder damit kommen: "Beim Staat sind die Daten der Bürger sicher!".

Nun, selbst bei der NSA waren die Daten nicht sicher, wie u.a. Snowden bewies. Beim schweizer Geheimdienst ebenfalls nicht. Und auch deutsche Polizeistellen, Behörden, Ämter ... sind schon mehrfach Opfer von "Cyber-Attacken" und Datenklau geworden. Sogar der Bundestag.
Einen Dreck sicher sind die Bürgerdaten beim Staat!


Der zweite Fall freut mich deshalb, weil er wieder einmal darauf aufmerksam macht, dass man sich auch auf "seriösen Webauftritten", z. B. namhafter Firmen, Schadsoftware einfangen kann.

Ihr glaubt kaum, was ich schon für Familiendramen erlebt habe, weil ein Home-PC plötzlich verseucht war und der strenge Verdacht aufkam, ein Familienmtglied hätte heimlich "ganz schlimme Seiten" angesurft ...

Man kommt mit dem Verlinken solcher Ereignisse gar nicht hinterher und mir fehlt auch schon längst die Lust dazu, darum fehlen hier viele große Datenlecks der letzten Monate.
Aber diesen hier (obwohl schon ein paar Wochen her) will ich aus aktuellem Anlass dennoch erwähnen:

Rekordhack bei Yahoo: Daten von halber Milliarde Konten kopiert

Ständig fließen riesige Datenmengen von großen, namhaften unternehmen ab; gar von Geheimdiensten, oder staatlichen Stellen.
Wie kann es da sein, dass unsere geliebte Bundesregierung ständig die Befugnisse für staatliche Schnüffeldienste ausbaut?
- Und dabei noch frech behauptet, bei Papa Staat wären unsere Daten ja sooo sicher und überhaupt hat ja niemand etwas zu befürchten, der kein Schlingel ist, der nichts zu verbergern hat.

Ohne Worte:

Eilverfahren: Bundesrat winkt BND-Netzüberwachung im NSA-Stil durch


Ich komme mehr und mehr zu dem Schluss, dass ein geeignetes Instrument zur Einführung der Demokratie ungefähr so aussieht: