Datenschutzverletzungen, die Millionen von Nutzern betreffen, sind viel zu häufig. Hier sind einige der größten und schlimmsten Datenpannen der jüngsten Zeit. [...]
Vor nicht allzu langer Zeit wäre ein Sicherheitsverstoß, der die Daten von ein paar Millionen Menschen kompromittiert, eine Sensation gewesen. Heute sind Verletzungen der Datensicherheit, die Hunderte von Millionen oder sogar Milliarden von Menschen betreffen, viel zu häufig. Etwa 3,5 Milliarden Menschen haben ihre persönlichen Daten allein in den ersten beiden der 15 größten Datenpannen dieses Jahrhunderts entwendet gesehen. Der kleinste Vorfall auf dieser Liste betraf dabei die Daten von „nur“ 134 Millionen Menschen.
CSO hat diese Liste der schwerwiegendsten Datenschutzverletzungen des 21. Jahrhunderts nach einfachen Kriterien zusammengestellt: Die Anzahl der Personen, deren Daten kompromittiert wurden. Außerdem unterscheiden wir zwischen Vorfällen, bei denen Daten in böswilliger Absicht gestohlen wurden, und solchen, bei denen eine Organisation versehentlich Daten ungeschützt ließ. Twitter zum Beispiel ließ die Passwörter seiner 330 Millionen Benutzer in einem Protokoll unverschlüsselt, doch es gab keine Hinweise auf einen Missbrauch. Daher hat es Twitter nicht auf diese Liste geschafft.
Hier sind kurz und bündig, in alphabetischer Reihenfolge, die 15 größten Datenschutzverletzungen der jüngeren Geschichte aufgeführt, einschließlich der Informationen, wer davon betroffen war, wer dafür verantwortlich war und wie die Unternehmen darauf reagiert haben.
Die größten Datenschutzverletzungen des 21. Jahrhunderts
- Adobe
- Adult Friend Finder
- Canva
- Dubsmash
- eBay
- Equifax
- Heartland Payment Systems
- Marriott International
- My Fitness Pal
- MySpace
- NetEase
- Sina Weibo
- Yahoo
- Zynga
Adobe
Datum: Oktober 2013
Auswirkungen: 153 Millionen Benutzer-Datensätze
Einzelheiten: Wie der Security-Blogger Brian Krebs Anfang Oktober 2013 berichtete, hatte Adobe ursprünglich gemeldet, dass Hacker fast 3 Millionen verschlüsselte Kunden-Kreditkartendaten sowie die Anmeldedaten für eine unbestimmte Anzahl von Benutzerkonten gestohlen hatten.
Später im Laufe des Monats erhöhte Adobe diese Schätzung, wonach IDs und verschlüsselte Passwörter von 38 Millionen „aktiven Nutzern“ betroffen gewesen sein sollen. Krebs meldete, dass eine nur wenige Tage zuvor veröffentlichte Datei „mehr als 150 Millionen Benutzernamen- und Hash-Passwort-Paare zu enthalten schien, die von Adobe stammen“. Wochenlange Nachforschungen ergaben, dass der Hack auch Kundennamen, IDs, Passwörter sowie Debit- und Kreditkarteninformationen offengelegt hatte.
Eine Vereinbarung vom August 2015 sah vor, dass Adobe 1,1 Millionen US-Dollar an Anwaltskosten und einen nicht offengelegten Betrag an die Nutzer zahlen sollte, um Klagen wegen der Verletzung des Customer Records Act und unlauterer Geschäftspraktiken beizulegen. Im November 2016 wurde der an Kunden gezahlte Betrag auf 1 Million US-Dollar geschätzt.
Adult Friend Finder
Datum: Oktober 2016
Auswirkung: 412,2 Millionen Accounts
Einzelheiten: Dieser Verstoß war für Kontoinhaber aufgrund der von der Website angebotenen Dienste besonders heikel. Mitte Oktober 2016 fand eine Sicherheitsverletzung des FriendFinder-Netzwerks statt, zu dem auch Websites mit gelegentlichem Hookup und nicht jugendfreien Inhalten wie Adult Friend Finder, Penthouse.com, Cams.com, iCams.com und Stripshow.com gehörten. Die gestohlenen Daten erstreckten sich über 20 Jahre auf sechs Datenbanken und umfassten Namen, E-Mail-Adressen und Passwörter.
Der schwache SHA-1-Hashing-Algorithmus schützte die meisten dieser Passwörter. Schätzungsweise 99% von ihnen waren bereits geknackt worden, als LeakedSource.com am 14. November 2016 seine Analyse des Datensatzes veröffentlichte.
Wie CSO damals berichtete: „Ein Forscher, der sich auf Twitter 1×0123 und auf anderen Webseiten Revolver nennt, veröffentlichte auf Adult Friend Finder Screenshots, die zeigen, dass eine Sicherheitslücke bei der Local File Inclusion (LFI) ausgelöst wurde.“ Er warnte, dass die Sicherheitslücke, die in einem Modul auf den von Adult Friend Finder verwendeten Produktionsservern entdeckt wurde, „ausgenutzt“ werde.
Canva
Datum: Mai 2019
Auswirkung: 137 Millionen Benutzerkonten
Einzelheiten: Im Mai 2019 erlitt die australische Grafikdesign-Tool-Website Canva einen Angriff, bei dem E-Mail-Adressen, Benutzernamen, Namen, Wohnorte sowie bcrypt-Passwörter (für Nutzer, die keine sozialen Logins verwenden – etwa 61 Millionen) von 137 Millionen Nutzern offengelegt wurden. Laut Canva gelang es den Hackern, Dateien mit einem Teil der Kreditkarten- und Zahlungsdaten einzusehen, aber nicht, sie zu stehlen.
Der/die mutmaßliche(n) Täter – bekannt als Gnosticplayer – kontaktierte(n) das ZDNet, um sich mit dem Vorfall zu brüsten, und teilte mit, dass Canva ihren Angriff entdeckt und ihren Server zum Schutz der Daten geschlossen habe. Der Angreifer behauptete auch, OAuth-Login-Token für Benutzer erlangt zu haben, die sich über Google angemeldet haben.
Das Unternehmen bestätigte den Vorfall und benachrichtigte anschließend die Nutzer, forderte sie auf, ihre Passwörter zu ändern und die OAuth-Token zurückzusetzen. Einem späteren Post von Canva zufolge wurde jedoch später eine Liste von etwa 4 Millionen Canva-Konten mit gestohlenen Benutzerpasswörtern entschlüsselt und online weitergegeben, was das Unternehmen dazu veranlasste, unveränderte Passwörter für ungültig zu erklären und Benutzer mit unverschlüsselten Passwörtern in der Liste zu benachrichtigen.
eBay
Datum: Mai 2014
Auswirkung: 145 Millionen Benutzer
Einzelheiten: Im Mai 2014 berichtete eBay, dass ein Angriff seine gesamte Kontenliste von 145 Millionen Nutzern einschließlich Namen, Adressen, Geburtsdaten und verschlüsselten Passwörtern offengelegt hatte. Der Online-Auktionsriese gab an, dass Hacker die Zugangsdaten von drei Firmenangestellten für den Zugriff auf sein Netzwerk verwendet hätten und 229 Tage lang vollständigen Zugriff darauf hatten – mehr als genug Zeit, um die Benutzerdatenbank zu kompromittieren.
Das Unternehmen forderte die Kunden auf, ihre Passwörter zu ändern. Finanzielle Informationen, wie Kreditkartennummern, wurden separat gespeichert und nicht kompromittiert. Das Unternehmen wurde seinerzeit wegen mangelnder Kommunikation mit seinen Benutzern und der schlechten Umsetzung des Passwort-Erneuerungsprozesses kritisiert.
Equifax
Datum: 29. Juli 2017
Auswirkungen: 147,9 Millionen Kunden
Einzelheiten: Equifax, eines der größten Kreditbüros in den USA, erklärte am 7. September 2017, dass eine Sicherheitslücke in einer ihrer Websites zu einer Datenpanne geführt habe, durch die etwa 147,9 Millionen Kunden gefährdet seien. Die Schwachstelle wurde am 29. Juli entdeckt, doch das Unternehmen teilte mit, dass sie wahrscheinlich bereits Mitte Mai einsetzte. Der Sicherheitsverstoß kompromittierte die persönlichen Daten (einschließlich Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen Führerscheinnummern) von 143 Millionen Verbrauchern; außerdem wurden die Kreditkartendaten von 209.000 Verbrauchern offengelegt. Diese Zahl wurde im Oktober 2017 auf 147,9 Millionen erhöht.
Equifax wurde für eine Reihe von Sicherheits- und Reaktionsmängeln kritisiert. Dazu gehörte vor allem, dass die Schwachstelle der Anwendung, die den Angreifern den Zugang ermöglichte, nicht behoben wurde. Eine unzureichende Segmentierung des Systems machte den Angreifern die laterale Bewegung leicht. Equifax meldete den Systembruch außerdem verspätet.
Dubsmash
Datum: Dezember 2018
Auswirkung: 162 Millionen Benutzerkonten
Einzelheiten: Im Dezember 2018 wurden bei dem in New York ansässigen Videomessaging-Dienst Dubsmash 162 Millionen E-Mail-Adressen, Benutzernamen, PBKDF2-Passwort-Hashes und andere persönliche Daten wie Geburtsdaten gestohlen, die dann im darauf folgenden Dezember auf dem Dark-Web-Markt Dream Market zum Verkauf angeboten wurden. Die Informationen wurden als Teil einer Sammelstelle verkauft, zu der auch solche wie MyFitnessPal (mehr dazu weiter unten), MyHeritage (92 Millionen), ShareThis, Armor Games und die Datierungsapp CoffeeMeetsBagel gehörten.
Dubsmash räumte die Datenschutzverletzung und den Verkauf von Informationen ein – und gab Ratschläge zum Ändern von Passwörtern -, versäumte es aber, mitzuteilen, wie die Angreifer eingedrungen sind, oder zu bestätigen, wie viele Benutzer tatsächlich betroffen waren.
Heartland Payment Systems
Datum: März 2008
Auswirkungen: 134 Millionen Kreditkarten betroffen
Einzelheiten: Zum Zeitpunkt des Verstoßes bearbeitete Heartland 100 Millionen Kreditkartentransaktionen pro Monat für 175.000 Händler – meist kleine bis mittelgroße Einzelhändler. Der Bruch wurde im Januar 2009 entdeckt, als Visa und MasterCard Heartland über verdächtige Transaktionen von Konten informierten, die sie bearbeitet hatten. Die Angreifer nutzten eine bekannte Schwachstelle aus, um einen SQL-Injection-Angriff durchzuführen. Sicherheitsanalysten hatten die Einzelhändler bereits über mehrere Jahre vor dieser Schwachstelle gewarnt, und SQL-Injection wurde dadurch zur damals häufigsten Form eines Angriffs auf Websites.
Aufgrund der Sicherheitsverletzung erachtete die Zahlungskartenindustrie (Payment Card Industry – PCI) Heartland als nicht konform mit ihrem Datensicherheitsstandard (Data Security Standard – DSS) und erlaubte ihr erst im Mai 2009, Zahlungen großer Kreditkartenanbieter zu bearbeiten. Das Unternehmen zahlte zudem eine geschätzte Entschädigung in Höhe von 145 Millionen Dollar für Zahlungsbetrug.
Der Verstoß von Heartland war ein seltenes Beispiel, bei dem die Behörden den Angreifer erwischten. Eine föderale Grand Jury der USA klagte 2009 Albert Gonzalez und zwei namenlose russische Komplizen an. Gonzalez, ein kubanischer Amerikaner, soll die internationale Operation, bei der Kredit- und Debitkartendaten gestohlen wurden, angezettelt haben. Er wurde im März 2010 zu 20 Jahren Haft in einem amerikanischen Bundesgefängnis verurteilt.
Datum: 2012 (und 2016)
Auswirkung: 165 Millionen Benutzerkonten
Einzelheiten: Als das wichtigste soziale Netzwerk für Geschäftsleute ist LinkedIn zu einem attraktiven Angriffspunkt für Hacker geworden, die Social Engineering-Angriffe durchführen wollen. Allerdings ist es in der Vergangenheit auch Opfer von Benutzerdatenlecks geworden.
Im Jahr 2012 gab das Unternehmen bekannt, dass 6,5 Millionen nicht verknüpfte Passwörter (ungesalzene SHA-1-Hashes) von Angreifern gestohlen und in ein russisches Hacker-Forum gestellt wurden. Das volle Ausmaß des Vorfalls wurde jedoch erst 2016 bekannt. Derselbe Hacker, der die Daten von MySpace verkaufte, bot die E-Mail-Adressen und Passwörter von rund 165 Millionen LinkedIn-Benutzern für nur 5 Bitcoins (damals rund 2.000 Dollar) zum Kauf an. LinkedIn räumte ein, dass es auf den Verstoß aufmerksam gemacht worden sei und gab an, dass es die Passwörter der betroffenen Konten zurückgesetzt habe.
Marriott International
Datum: 2014-18
Auswirkung: 500 Millionen Kunden
Einzelheiten: Marriott International gab im November 2018 bekannt, dass Angreifer Daten von etwa 500 Millionen Kunden gestohlen hätten. Der Einbruch erfolgte zunächst auf Systemen, die seit 2014 Starwood-Hotelmarken unterstützen. Die Angreifer blieben auch nach der Übernahme von Starwood durch Marriott im Jahr 2016 im System und wurden erst im September 2018 entdeckt.
Die Angreifer waren in der Lage, eine Kombination aus Kontaktinformationen, Reisepassnummer, Nummern von Starwood-Präferenzgästen, Reiseinformationen und anderen persönlichen Daten zu erfassen. Die Kreditkartennummern und Ablaufdaten von mehr als 100 Millionen Kunden wurden für gestohlen gehalten, doch Marriott ist sich nicht sicher, ob die Angreifer in der Lage waren, die Kreditkartennummern zu entschlüsseln. Der Bruch wurde schließlich einer chinesischen Geheimdienstgruppe zugeschrieben, die einem Artikel der New York Times zufolge Daten von US-Bürgern sammeln wollte.
My Fitness Pal
Datum: Februar 2018
Auswirkung: 150 Millionen Benutzerkonten
Einzelheiten: Neben Dubsmash gehörte auch die im Besitz von UnderArmor befindliche Fitness-App MyFitnessPal zu dem massiven Datenleck von 16 kompromittierten Websites, auf denen etwa 617 Millionen Kundenkonten durchgesickert sind und auf Dream Market zum Verkauf angeboten wurden.
Im Februar 2018 wurden die Benutzernamen, E-Mail-Adressen, IP-Adressen, SHA-1- und bcrypt-verschlüsselten Passwörter von rund 150 Millionen Kunden gestohlen und ein Jahr später zeitgleich mit Dubsmash et al. zum Verkauf angeboten. MyFitnessPal räumte die Verletzung ein und forderte die Kunden auf, ihre Passwörter zu ändern, teilte aber nicht mit, wie viele Konten betroffen waren und wie die Angreifer Zugang zu den Daten erhielten.
MySpace
Datum: 2013
Auswirkung: 360 Millionen Benutzerkonten
Einzelheiten: Obwohl MySpace schon lange nicht mehr das Kraftpaket war, das es einst gewesen war, geriet die Social-Media-Website MySpace 2016 in die Schlagzeilen, nachdem 360 Millionen Benutzerkonten sowohl auf LeakedSource (eine durchsuchbare Datenbank mit gestohlenen Konten) durchgesickert waren als auch auf dem Dark-Web-Markt The Real Deal mit einem Angebotspreis von 6 Bitcoin (damals rund 3.000 US-Dollar) zum Verkauf angeboten wurden.
Zu den gestohlenen Daten gehörten nach Angaben des Unternehmens E-Mail-Adressen, Passwörter und Benutzernamen für „einen Teil der Konten, die vor dem 11. Juni 2013 auf der alten Myspace-Plattform erstellt wurden“. Laut Troy Hunt von HaveIBeenPwned wurden die Passwörter als SHA-1-Hashes der ersten 10 Zeichen des in Kleinbuchstaben umgewandelten Passworts gespeichert.
NetEase
Datum: Oktober 2015
Auswirkung: 235 Millionen Benutzerkonten
Einzelheiten: NetEase ist ein Anbieter von Mailboxdiensten wie 163.com und 126.com. Es wurde berichtet, dass die E-Mail-Adressen und Klartext-Passwörter von etwa 235 Millionen Konten von NetEase-Kunden über einen Dark Web Marketplace-Anbieter namens DoubleFlag verkauft wurden. Derselbe Anbieter verkaufte auch Informationen, die von anderen chinesischen Großunternehmen wie Tencent’s QQ.com, Sina Corporation und Sohu, Inc. stammen. NetEase hat Berichten zufolge jeden Verstoß bestritten. HaveIBeenPwned führt diesen Bruch als „nicht verifiziert“ auf.
Sina Weibo
Datum: März 2020
Auswirkung: 538 Millionen Konten
Einzelheiten: Mit über 500 Millionen Nutzern ist Sina Weibo Chinas Antwort auf Twitter. Im März 2020 wurde jedoch berichtet, dass die tatsächlichen Namen, Website-Benutzernamen, das Geschlecht, der Standort und – bei 172 Millionen Nutzern – die Telefonnummern auf Dark-Web-Märkten zum Verkauf angeboten wurden. Passwörter wurden nicht angegeben, was darauf hindeuten könnte, warum die Daten für nur ¥1.799 ($250) erhältlich waren.
Weibo räumte ein, dass die zum Verkauf stehenden Daten von ihrer Firma stammten, behauptete aber, dass die Daten durch den Abgleich von Kontakten mit ihrer Adressbuch-API gewonnen wurden. Das Unternehmen speichere keine Passwörter im Klartext, so dass sich die Benutzer keine Sorgen machen müssten. Dies trifft jedoch nicht zu, da einige der angebotenen Informationen, wie z.B. Standortdaten, nicht über die API verfügbar sind. Der Social-Media-Riese gab an, die Behörden über den Vorfall informiert zu haben, und die chinesische Cyber-Sicherheitsverwaltung des Ministeriums für Industrie und Informationstechnologie erklärte, dass sie den Vorfall untersuche.
Yahoo
Datum: 2013-14
Auswirkung: 3 Milliarden Benutzerkonten
Einzelheiten: Yahoo gab im September 2016 bekannt, dass es im Jahr 2014 Opfer der größten Datenpanne der Geschichte geworden sei. Die Angreifer, die nach Ansicht des Unternehmens „staatlich geförderte Akteure“ gewesen sein sollen, kompromittierten die echten Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern von 500 Millionen Nutzern. Yahoo versicherte, dass die meisten der kompromittierten Passwörter gehackt worden seien.
Im Dezember 2016 enthüllte Yahoo dann eine weitere Sicherheitsverletzung aus dem Jahr 2013 durch einen anderen Angreifer, der die Namen, Geburtsdaten, E-Mail-Adressen und Passwörter sowie Sicherheitsfragen und -antworten von 1 Milliarde Benutzerkonten kompromittierte. Yahoo revidierte diese Schätzung im Oktober 2017, um alle seine 3 Milliarden Benutzerkonten einzubeziehen.
Der Zeitpunkt der ursprünglichen Bekanntgabe der Sicherheitsverletzung war schlecht gewählt, da Yahoo gerade von Verizon übernommen werden sollte, das letztendlich 4,48 Milliarden Dollar für das Internet-Kerngeschäft von Yahoo zahlte. Durch die Verstöße wurde der Wert des Unternehmens um schätzungsweise 350 Millionen Dollar geschmälert.
Zynga
Datum: September 2019
Auswirkung: 218 Millionen Benutzerkonten
Einzelheiten: Einst ein Gigant der Facebook-Spielszene, ist der Farmville-Erfinder Zynga mit Millionen von Spielern weltweit immer noch einer der wichtigsten Akteure im Bereich der Mobilegames.
Im September 2019 behauptete ein pakistanischer Hacker namens Gnosticplayers, er habe sich in Zyngas Spielerdatenbank von Draw Something und Words with Friends gehackt und sich Zugang zu den 218 Millionen dort registrierten Konten verschafft. Zynga bestätigte später, dass E-Mail-Adressen, gesalzene SHA-1-Hashing-Passwörter, Telefonnummern und Benutzer-IDs für Facebook- und Zynga-Konten gestohlen wurden.
*Dan Swinhoe schreibt unter anderem für CSO online.
Be the first to comment