Die 15 größten Datenpannen des 21. Jahrhunderts

Datenschutzverletzungen, die Millionen von Nutzern betreffen, sind viel zu häufig. Hier sind einige der größten und schlimmsten Datenpannen der jüngsten Zeit. [...]

Datenlecks gehören im 21. Jahrhundert zum Alltag der Cybersicherheit. Hier ein Überblick über das Ausmaß der Schäden (c) pixabay.com

Vor nicht allzu langer Zeit wäre ein Sicherheitsverstoß, der die Daten von ein paar Millionen Menschen kompromittiert, eine Sensation gewesen. Heute sind Verletzungen der Datensicherheit, die Hunderte von Millionen oder sogar Milliarden von Menschen betreffen, viel zu häufig. Etwa 3,5 Milliarden Menschen haben ihre persönlichen Daten allein in den ersten beiden der 15 größten Datenpannen dieses Jahrhunderts entwendet gesehen. Der kleinste Vorfall auf dieser Liste betraf dabei die Daten von „nur“ 134 Millionen Menschen.

CSO hat diese Liste der schwerwiegendsten Datenschutzverletzungen des 21. Jahrhunderts nach einfachen Kriterien zusammengestellt: Die Anzahl der Personen, deren Daten kompromittiert wurden. Außerdem unterscheiden wir zwischen Vorfällen, bei denen Daten in böswilliger Absicht gestohlen wurden, und solchen, bei denen eine Organisation versehentlich Daten ungeschützt ließ. Twitter zum Beispiel ließ die Passwörter seiner 330 Millionen Benutzer in einem Protokoll unverschlüsselt, doch es gab keine Hinweise auf einen Missbrauch. Daher hat es Twitter nicht auf diese Liste geschafft.

Hier sind kurz und bündig, in alphabetischer Reihenfolge, die 15 größten Datenschutzverletzungen der jüngeren Geschichte aufgeführt, einschließlich der Informationen, wer davon betroffen war, wer dafür verantwortlich war und wie die Unternehmen darauf reagiert haben.

Die größten Datenschutzverletzungen des 21. Jahrhunderts

  • Adobe
  • Adult Friend Finder
  • Canva
  • Dubsmash
  • eBay
  • Equifax
  • Heartland Payment Systems
  • LinkedIn
  • Marriott International
  • My Fitness Pal
  • MySpace
  • NetEase
  • Sina Weibo
  • Yahoo
  • Zynga

Adobe

Datum: Oktober 2013

Auswirkungen: 153 Millionen Benutzer-Datensätze

Einzelheiten: Wie der Security-Blogger Brian Krebs Anfang Oktober 2013 berichtete, hatte Adobe ursprünglich gemeldet, dass Hacker fast 3 Millionen verschlüsselte Kunden-Kreditkartendaten sowie die Anmeldedaten für eine unbestimmte Anzahl von Benutzerkonten gestohlen hatten.

Später im Laufe des Monats erhöhte Adobe diese Schätzung, wonach IDs und verschlüsselte Passwörter von 38 Millionen „aktiven Nutzern“ betroffen gewesen sein sollen. Krebs meldete, dass eine nur wenige Tage zuvor veröffentlichte Datei „mehr als 150 Millionen Benutzernamen- und Hash-Passwort-Paare zu enthalten schien, die von Adobe stammen“. Wochenlange Nachforschungen ergaben, dass der Hack auch Kundennamen, IDs, Passwörter sowie Debit- und Kreditkarteninformationen offengelegt hatte.

Eine Vereinbarung vom August 2015 sah vor, dass Adobe 1,1 Millionen US-Dollar an Anwaltskosten und einen nicht offengelegten Betrag an die Nutzer zahlen sollte, um Klagen wegen der Verletzung des Customer Records Act und unlauterer Geschäftspraktiken beizulegen. Im November 2016 wurde der an Kunden gezahlte Betrag auf 1 Million US-Dollar geschätzt.

Adult Friend Finder

Datum: Oktober 2016

Auswirkung: 412,2 Millionen Accounts

Einzelheiten: Dieser Verstoß war für Kontoinhaber aufgrund der von der Website angebotenen Dienste besonders heikel. Mitte Oktober 2016 fand eine Sicherheitsverletzung des FriendFinder-Netzwerks statt, zu dem auch Websites mit gelegentlichem Hookup und nicht jugendfreien Inhalten wie Adult Friend Finder, Penthouse.com, Cams.com, iCams.com und Stripshow.com gehörten. Die gestohlenen Daten erstreckten sich über 20 Jahre auf sechs Datenbanken und umfassten Namen, E-Mail-Adressen und Passwörter.

Der schwache SHA-1-Hashing-Algorithmus schützte die meisten dieser Passwörter. Schätzungsweise 99% von ihnen waren bereits geknackt worden, als LeakedSource.com am 14. November 2016 seine Analyse des Datensatzes veröffentlichte.

Wie CSO damals berichtete: „Ein Forscher, der sich auf Twitter 1×0123 und auf anderen Webseiten Revolver nennt, veröffentlichte auf Adult Friend Finder Screenshots, die zeigen, dass eine Sicherheitslücke bei der Local File Inclusion (LFI) ausgelöst wurde.“ Er warnte, dass die Sicherheitslücke, die in einem Modul auf den von Adult Friend Finder verwendeten Produktionsservern entdeckt wurde, „ausgenutzt“ werde.

Canva

Datum:  Mai 2019

Auswirkung: 137 Millionen Benutzerkonten

Einzelheiten: Im Mai 2019 erlitt die australische Grafikdesign-Tool-Website Canva einen Angriff, bei dem E-Mail-Adressen, Benutzernamen, Namen, Wohnorte sowie bcrypt-Passwörter (für Nutzer, die keine sozialen Logins verwenden – etwa 61 Millionen) von 137 Millionen Nutzern offengelegt wurden. Laut Canva gelang es den Hackern, Dateien mit einem Teil der Kreditkarten- und Zahlungsdaten einzusehen, aber nicht, sie zu stehlen.

Der/die mutmaßliche(n) Täter – bekannt als Gnosticplayer – kontaktierte(n) das ZDNet, um sich mit dem Vorfall zu brüsten, und teilte mit, dass Canva ihren Angriff entdeckt und ihren Server zum Schutz der Daten geschlossen habe. Der Angreifer behauptete auch, OAuth-Login-Token für Benutzer erlangt zu haben, die sich über Google angemeldet haben.

Das Unternehmen bestätigte den Vorfall und benachrichtigte anschließend die Nutzer, forderte sie auf, ihre Passwörter zu ändern und die OAuth-Token zurückzusetzen. Einem späteren Post von Canva zufolge wurde jedoch später eine Liste von etwa 4 Millionen Canva-Konten mit gestohlenen Benutzerpasswörtern entschlüsselt und online weitergegeben, was das Unternehmen dazu veranlasste, unveränderte Passwörter für ungültig zu erklären und Benutzer mit unverschlüsselten Passwörtern in der Liste zu benachrichtigen.

eBay

Datum: Mai 2014

Auswirkung: 145 Millionen Benutzer

Einzelheiten: Im Mai 2014 berichtete eBay, dass ein Angriff seine gesamte Kontenliste von 145 Millionen Nutzern einschließlich Namen, Adressen, Geburtsdaten und verschlüsselten Passwörtern offengelegt hatte. Der Online-Auktionsriese gab an, dass Hacker die Zugangsdaten von drei Firmenangestellten für den Zugriff auf sein Netzwerk verwendet hätten und 229 Tage lang vollständigen Zugriff darauf hatten – mehr als genug Zeit, um die Benutzerdatenbank zu kompromittieren.

Das Unternehmen forderte die Kunden auf, ihre Passwörter zu ändern. Finanzielle Informationen, wie Kreditkartennummern, wurden separat gespeichert und nicht kompromittiert. Das Unternehmen wurde seinerzeit wegen mangelnder Kommunikation mit seinen Benutzern und der schlechten Umsetzung des Passwort-Erneuerungsprozesses kritisiert.

Equifax

Datum: 29. Juli 2017

Auswirkungen: 147,9 Millionen Kunden

Einzelheiten: Equifax, eines der größten Kreditbüros in den USA, erklärte am 7. September 2017, dass eine Sicherheitslücke in einer ihrer Websites zu einer Datenpanne geführt habe, durch die etwa 147,9 Millionen Kunden gefährdet seien. Die Schwachstelle wurde am 29. Juli entdeckt, doch das Unternehmen teilte mit, dass sie wahrscheinlich bereits Mitte Mai einsetzte. Der Sicherheitsverstoß kompromittierte die persönlichen Daten (einschließlich Sozialversicherungsnummern, Geburtsdaten, Adressen und in einigen Fällen Führerscheinnummern) von 143 Millionen Verbrauchern; außerdem wurden die Kreditkartendaten von 209.000 Verbrauchern offengelegt. Diese Zahl wurde im Oktober 2017 auf 147,9 Millionen erhöht.

Equifax wurde für eine Reihe von Sicherheits- und Reaktionsmängeln kritisiert. Dazu gehörte vor allem, dass die Schwachstelle der Anwendung, die den Angreifern den Zugang ermöglichte, nicht behoben wurde. Eine unzureichende Segmentierung des Systems machte den Angreifern die laterale Bewegung leicht. Equifax meldete den Systembruch außerdem verspätet.

Dubsmash

Datum:  Dezember 2018

Auswirkung: 162 Millionen Benutzerkonten

Einzelheiten: Im Dezember 2018 wurden bei dem in New York ansässigen Videomessaging-Dienst Dubsmash 162 Millionen E-Mail-Adressen, Benutzernamen, PBKDF2-Passwort-Hashes und andere persönliche Daten wie Geburtsdaten gestohlen, die dann im darauf folgenden Dezember auf dem Dark-Web-Markt Dream Market zum Verkauf angeboten wurden. Die Informationen wurden als Teil einer Sammelstelle verkauft, zu der auch solche wie MyFitnessPal (mehr dazu weiter unten), MyHeritage (92 Millionen), ShareThis, Armor Games und die Datierungsapp CoffeeMeetsBagel gehörten.

Dubsmash räumte die Datenschutzverletzung und den Verkauf von Informationen ein – und gab Ratschläge zum Ändern von Passwörtern -, versäumte es aber, mitzuteilen, wie die Angreifer eingedrungen sind, oder zu bestätigen, wie viele Benutzer tatsächlich betroffen waren.

Heartland Payment Systems

Datum: März 2008

Auswirkungen: 134 Millionen Kreditkarten betroffen

Einzelheiten: Zum Zeitpunkt des Verstoßes bearbeitete Heartland 100 Millionen Kreditkartentransaktionen pro Monat für 175.000 Händler – meist kleine bis mittelgroße Einzelhändler. Der Bruch wurde im Januar 2009 entdeckt, als Visa und MasterCard Heartland über verdächtige Transaktionen von Konten informierten, die sie bearbeitet hatten. Die Angreifer nutzten eine bekannte Schwachstelle aus, um einen SQL-Injection-Angriff durchzuführen. Sicherheitsanalysten hatten die Einzelhändler bereits über mehrere Jahre vor dieser Schwachstelle gewarnt, und SQL-Injection wurde dadurch zur damals häufigsten Form eines Angriffs auf Websites.

Aufgrund der Sicherheitsverletzung erachtete die Zahlungskartenindustrie (Payment Card Industry – PCI) Heartland als nicht konform mit ihrem Datensicherheitsstandard (Data Security Standard – DSS) und erlaubte ihr erst im Mai 2009, Zahlungen großer Kreditkartenanbieter zu bearbeiten. Das Unternehmen zahlte zudem eine geschätzte Entschädigung in Höhe von 145 Millionen Dollar für Zahlungsbetrug.

Der Verstoß von Heartland war ein seltenes Beispiel, bei dem die Behörden den Angreifer erwischten. Eine föderale Grand Jury der USA klagte 2009 Albert Gonzalez und zwei namenlose russische Komplizen an. Gonzalez, ein kubanischer Amerikaner, soll die internationale Operation, bei der Kredit- und Debitkartendaten gestohlen wurden, angezettelt haben. Er wurde im März 2010 zu 20 Jahren Haft in einem amerikanischen Bundesgefängnis verurteilt.

LinkedIn

Datum: 2012 (und 2016)

Auswirkung: 165 Millionen Benutzerkonten

Einzelheiten: Als das wichtigste soziale Netzwerk für Geschäftsleute ist LinkedIn zu einem attraktiven Angriffspunkt für Hacker geworden, die Social Engineering-Angriffe durchführen wollen. Allerdings ist es in der Vergangenheit auch Opfer von Benutzerdatenlecks geworden.

Im Jahr 2012 gab das Unternehmen bekannt, dass 6,5 Millionen nicht verknüpfte Passwörter (ungesalzene SHA-1-Hashes) von Angreifern gestohlen und in ein russisches Hacker-Forum gestellt wurden. Das volle Ausmaß des Vorfalls wurde jedoch erst 2016 bekannt. Derselbe Hacker, der die Daten von MySpace verkaufte, bot die E-Mail-Adressen und Passwörter von rund 165 Millionen LinkedIn-Benutzern für nur 5 Bitcoins (damals rund 2.000 Dollar) zum Kauf an. LinkedIn räumte ein, dass es auf den Verstoß aufmerksam gemacht worden sei und gab an, dass es die Passwörter der betroffenen Konten zurückgesetzt habe.

Marriott International

Datum: 2014-18

Auswirkung: 500 Millionen Kunden

Einzelheiten: Marriott International gab im November 2018 bekannt, dass Angreifer Daten von etwa 500 Millionen Kunden gestohlen hätten. Der Einbruch erfolgte zunächst auf Systemen, die seit 2014 Starwood-Hotelmarken unterstützen. Die Angreifer blieben auch nach der Übernahme von Starwood durch Marriott im Jahr 2016 im System und wurden erst im September 2018 entdeckt.

Die Angreifer waren in der Lage, eine Kombination aus Kontaktinformationen, Reisepassnummer, Nummern von Starwood-Präferenzgästen, Reiseinformationen und anderen persönlichen Daten zu erfassen. Die Kreditkartennummern und Ablaufdaten von mehr als 100 Millionen Kunden wurden für gestohlen gehalten, doch Marriott ist sich nicht sicher, ob die Angreifer in der Lage waren, die Kreditkartennummern zu entschlüsseln. Der Bruch wurde schließlich einer chinesischen Geheimdienstgruppe zugeschrieben, die einem Artikel der New York Times zufolge Daten von US-Bürgern sammeln wollte.

My Fitness Pal

Datum:  Februar 2018

Auswirkung: 150 Millionen Benutzerkonten

Einzelheiten: Neben Dubsmash gehörte auch die im Besitz von UnderArmor befindliche Fitness-App MyFitnessPal zu dem massiven Datenleck von 16 kompromittierten Websites, auf denen etwa 617 Millionen Kundenkonten durchgesickert sind und auf Dream Market zum Verkauf angeboten wurden.

Im Februar 2018 wurden die Benutzernamen, E-Mail-Adressen, IP-Adressen, SHA-1- und bcrypt-verschlüsselten Passwörter von rund 150 Millionen Kunden gestohlen und ein Jahr später zeitgleich mit Dubsmash et al. zum Verkauf angeboten. MyFitnessPal räumte die Verletzung ein und forderte die Kunden auf, ihre Passwörter zu ändern, teilte aber nicht mit, wie viele Konten betroffen waren und wie die Angreifer Zugang zu den Daten erhielten.

MySpace

Datum: 2013

Auswirkung: 360 Millionen Benutzerkonten

Einzelheiten: Obwohl MySpace schon lange nicht mehr das Kraftpaket war, das es einst gewesen war, geriet die Social-Media-Website MySpace 2016 in die Schlagzeilen, nachdem 360 Millionen Benutzerkonten sowohl auf LeakedSource (eine durchsuchbare Datenbank mit gestohlenen Konten) durchgesickert waren als auch auf dem Dark-Web-Markt The Real Deal mit einem Angebotspreis von 6 Bitcoin (damals rund 3.000 US-Dollar) zum Verkauf angeboten wurden.

Zu den gestohlenen Daten gehörten nach Angaben des Unternehmens E-Mail-Adressen, Passwörter und Benutzernamen für „einen Teil der Konten, die vor dem 11. Juni 2013 auf der alten Myspace-Plattform erstellt wurden“. Laut Troy Hunt von HaveIBeenPwned wurden die Passwörter als SHA-1-Hashes der ersten 10 Zeichen des in Kleinbuchstaben umgewandelten Passworts gespeichert.

NetEase

Datum:  Oktober 2015

Auswirkung: 235 Millionen Benutzerkonten

Einzelheiten: NetEase ist ein Anbieter von Mailboxdiensten wie 163.com und 126.com. Es wurde berichtet, dass die E-Mail-Adressen und Klartext-Passwörter von etwa 235 Millionen Konten von NetEase-Kunden über einen Dark Web Marketplace-Anbieter namens DoubleFlag verkauft wurden. Derselbe Anbieter verkaufte auch Informationen, die von anderen chinesischen Großunternehmen wie Tencent’s QQ.com, Sina Corporation und Sohu, Inc. stammen. NetEase hat Berichten zufolge jeden Verstoß bestritten. HaveIBeenPwned führt diesen Bruch als „nicht verifiziert“ auf.

Sina Weibo

Datum: März 2020

Auswirkung: 538 Millionen Konten

Einzelheiten: Mit über 500 Millionen Nutzern ist Sina Weibo Chinas Antwort auf Twitter. Im März 2020 wurde jedoch berichtet, dass die tatsächlichen Namen, Website-Benutzernamen, das Geschlecht, der Standort und – bei 172 Millionen Nutzern – die Telefonnummern auf Dark-Web-Märkten zum Verkauf angeboten wurden. Passwörter wurden nicht angegeben, was darauf hindeuten könnte, warum die Daten für nur ¥1.799 ($250) erhältlich waren.

Weibo räumte ein, dass die zum Verkauf stehenden Daten von ihrer Firma stammten, behauptete aber, dass die Daten durch den Abgleich von Kontakten mit ihrer Adressbuch-API gewonnen wurden. Das Unternehmen speichere keine Passwörter im Klartext, so dass sich die Benutzer keine Sorgen machen müssten. Dies trifft jedoch nicht zu, da einige der angebotenen Informationen, wie z.B. Standortdaten, nicht über die API verfügbar sind. Der Social-Media-Riese gab an, die Behörden über den Vorfall informiert zu haben, und die chinesische Cyber-Sicherheitsverwaltung des Ministeriums für Industrie und Informationstechnologie erklärte, dass sie den Vorfall untersuche.

Yahoo

Datum: 2013-14

Auswirkung: 3 Milliarden Benutzerkonten

Einzelheiten: Yahoo gab im September 2016 bekannt, dass es im Jahr 2014 Opfer der größten Datenpanne der Geschichte geworden sei. Die Angreifer, die nach Ansicht des Unternehmens „staatlich geförderte Akteure“ gewesen sein sollen, kompromittierten die echten Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern von 500 Millionen Nutzern. Yahoo versicherte, dass die meisten der kompromittierten Passwörter gehackt worden seien.

Im Dezember 2016 enthüllte Yahoo dann eine weitere Sicherheitsverletzung aus dem Jahr 2013 durch einen anderen Angreifer, der die Namen, Geburtsdaten, E-Mail-Adressen und Passwörter sowie Sicherheitsfragen und -antworten von 1 Milliarde Benutzerkonten kompromittierte. Yahoo revidierte diese Schätzung im Oktober 2017, um alle seine 3 Milliarden Benutzerkonten einzubeziehen.

Der Zeitpunkt der ursprünglichen Bekanntgabe der Sicherheitsverletzung war schlecht gewählt, da Yahoo gerade von Verizon übernommen werden sollte, das letztendlich 4,48 Milliarden Dollar für das Internet-Kerngeschäft von Yahoo zahlte. Durch die Verstöße wurde der Wert des Unternehmens um schätzungsweise 350 Millionen Dollar geschmälert.

Zynga

Datum:  September 2019

Auswirkung: 218 Millionen Benutzerkonten

Einzelheiten: Einst ein Gigant der Facebook-Spielszene, ist der Farmville-Erfinder Zynga mit Millionen von Spielern weltweit immer noch einer der wichtigsten Akteure im Bereich der Mobilegames.

Im September 2019 behauptete ein pakistanischer Hacker namens Gnosticplayers, er habe sich in Zyngas Spielerdatenbank von Draw Something und Words with Friends gehackt und sich Zugang zu den 218 Millionen dort registrierten Konten verschafft. Zynga bestätigte später, dass E-Mail-Adressen, gesalzene SHA-1-Hashing-Passwörter, Telefonnummern und Benutzer-IDs für Facebook- und Zynga-Konten gestohlen wurden.

*Dan Swinhoe schreibt unter anderem für CSO online.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*