Die 5 (bislang) größten Datenlecks 2017

13 Okt 2017

Datenlecks, bei denen persönliche Daten abgegriffen werden, gibt es täglich. Einige von ihnen sind so schwerwiegend, dass selbst in den Medien davon berichtet wird und wieder andere gelangen nie an die Öffentlichkeit. Alleine in den Vereinigten Staaten waren dieses Jahr bislang 163 Millionen Benutzerdatensätze betroffen. (Diese Informationen wurden vom Identity Theft Resource Center zur Verfügung gestellt.) Das ist 4 Mal so viel wie im gesamten letzten Jahr.

Das Jahr 2017 ist zwar noch nicht ganz vorbei, aber wir wollten nicht länger darauf warten, Ihnen die bislang 5 größten Datenpannen des Jahres 2017 zu präsentieren. Fairerweise müsste diese Liste eigentlich von den 3 Milliarden Konten, die bei einem Hackerangriff von Yahoo betroffen waren, angeführt werden. Der Vorfall geschah allerdings, um genau zu sein, bereits im Jahr 2013; ans Licht kam das Ganze aber erst im Oktober dieses Jahres. Zudem handelt es sich so gesehen nur um ein Update eines bereits zuvor bekannt gegebenen Datenlecks.

5. Avanti Markets — 1,6 Millionen Konten

Sie haben eventuell noch nie etwas von Avanti gehört. Ihre Arbeitsstätte aber vermutlich schon. Und mit Sicherheit haben Sie (wenn auch unbewusst) schon einmal einen Snack an einem ihrer Verkaufsautomaten gezogen. Im Juli 2017 gab der Anbieter der Snackautomaten bekannt, dass Malware auf einigen der Zahlungsterminals gefunden wurde. Die Angreifer schafften es, die Maschinen mit vergleichbar komplizierter Malware zu infizieren, die speziell dafür entwickelt wurde, die Kartennummer, das Ablaufdatum und den CVV der Kreditkarten abzufangen. Wie genau die Kriminellen es geschafft haben die Geräte zu infizieren ist unklar. In einigen Fällen ist es ihnen sogar gelungen, Zugriff auf die biometrischen Daten zu bekommen – einige der Terminals waren mit Fingerabdrucksensoren ausgestattet. Die unterschiedlichen Einstellungen der Automaten hinderten die Angreifer jedoch daran, das gesamte Netzwerk zu hacken. Aus demselben Grund konnte das Unternehmen keine genauen Angaben zu den Schäden machen. Sie gaben bekannt, das mindestens 1.6 Millionen Konten betroffen waren.

4. Election Systems & Software — 1,8 Millionen Konten

Im August haben Sicherheitsexperten einen offen Cloud-Container des AWS (Amazon Web Services) entdeckt. Er enthielt eine Backup-Kopie der Daten von Election Systems & Software (ES&S) und einem Unternehmen, das Wahlcomputer und Wahlverwaltungssysteme herstellt. Unter den Daten befanden sich 2 Millionen Konten mit Namen, Adressen, Geburtsdaten und Parteizugehörigkeiten der Bewohner von Illinois. Standardmäßig ist der Zugriff auf AWS nur nach einer Authentifizierung möglich; aus unbekannten Gründen waren die Einstellungen auf diesem Gerät jedoch falsch konfiguriert und der Container somit zugänglich für die Öffentlichkeit. Es ist nicht möglich herauszufinden, ob der Container bereits entdeckt wurde bevor es die Experten getan haben, aber die persönlichen Daten von 1,8 Millionen Personen waren öffentlich zugänglich.

3. Dow Jones & Company — 2,2 Millionen Konten

Der Dow-Jones-Vorfall ähnelt dem vorherigen Beispiel, da erneut ein AWS-Repository mit einem Datenarchiv betroffen war. Das Problem? Wie auch zuvor, die Einstellungen. Obwohl die Daten dieses Mal nicht für die gesamte Öffentlichkeit, sondern nur für Nutzer des AWS zugänglich waren. Der Vorfall betraf die persönlichen und finanziellen Informationen von Millionen von Abonnenten des Wall Street Journals, der Zeitung Barron’s und anderen Magazinen, die von einem der größten Wirtschaftsinformationsdiensten der Welt herausgegeben werden. Ob die Cyberkriminellen Zugriff auf die Daten hatten, bevor die Einstellungen des Containers abgeändert werden konnten, ist unklar.

2. America’s Job Link Alliance — 5,5 Millionen Konten

Eine Schwachstelle in der Webanwendungssoftware einer großen Online-Jobsuchmaschine ließ einen unbekannten Hacker auf Namen, Geburtsdaten und Sozialversicherungsnnumern von Nutzern aus 10 Bundesstatten zugreifen. Im Februar eröffnete der Hacker ein Konto im System und nutzte die Schwachstelle dazu, Zugang zu mehr als 5,5 Millionen Konten zu erlangen. Der „Einbruch“ wurde zwei Wochen später entdeckt und die Schwachstelle daraufhin geschlossen. In einer offiziellen Pressemitteilung gab America’s Job Link Alliance bekannt, dass die Schwachstelle aufgrund einer falsch konfigurierten Anwendung, die Teil des Updates im Oktober 2016 war, zustande kam.

1. Equifax — 145,5 Millionen Konten

Und nun zum Hauptereignis: die Datenpanne bei Equifax. Im September gaben Vertreter des Unternehmens bekannt, dass Hacker Zugriff auf Datenbanken mit Namen, Sozialversicherungsnummern, Geburtsdaten und Adressen von Kunden bekommen hatten. Um an die Daten zu gelangen, hatten die Kriminellen eine Schwachstelle im Framework Apache Struts 2 ausgenutzt. Zu Beginn zifferte Equifax die Anzahl der Betroffenen auf 143 Millionen. Später wurde die Zahl der Betroffenen auf 145,5 Millionen angehoben. Der Angriff beeinträchtigte mehr als 209.000 Kreditkartennummern sowie personenbezogene Daten von 182.000 Personen. Die Schwachstelle, die zu dem Datenleck geführt hatte, wurde von Oracel (dem Entwickler von Apache Struts) im März 2017 behoben. Dennoch hatte Equifax, eines der größten Credit-Scoring-Unternehmen der USA, die nötigen Updates zu diesem Zeitpunkt noch immer nicht installiert.

Was wir aus den (bislang) 5 größten Datenlecks gelernt haben? In 4 Fällen (im ersten Fall ist die Ursache noch immer nicht bekannt) wären die Datenlecks voll und ganz verhinderbar gewesen. In den Vorfällen von Election Systems & Sofware und Dow Jones & Company, waren Informationen durch falsche Softwareeinstellungen ungeschützt. America’s Job Link Alliance war von einer bereits bekannten Schwachstelle einer Webanwendung betroffen. Und im Falle von Equifax ist der Vorfall weniger auf eine Schwachstelle als auf die unregelmäßige Ausführung von Updates zurückzuführen. Kurz gesagt: diese Datenlecks hätten mit einer rechtzeitigen Überprüfung der IT-Infrastruktur verhindert werden können. Alle Unternehmen sollten eine derartige Überprüfung regelmäßig durchführen.