Die größten Datenlecks des vergangenen Jahres
Das Jahr 2021 war geprägt von Datenlecks und Cybersicherheitsverstößen, doch einige stachen aus der Masse hervor. Werfen wir einen Blick auf die Top 5 und darauf, was sie uns lehren.
22. Dezember 2021, 12:10 Uhr · Quelle: Pressebox
Neustadt an der Weinstraße, 22.12.2021 (PresseBox) - Das Jahr 2021 stellt Rekorde auf, wenn auch nicht im positiven Sinne. Einer Studie des Identity Theft Resource Center (ITRC) zufolge lag die Zahl der Datenschutzverletzungen bereits am 30. September 2021 um 17 Prozent über der Gesamtzahl der Ereignisse im Jahr 2020. Waren es im vergangenen Jahr insgesamt 1.108 Verstöße, wurden 2021 bis zum Stichtag der Untersuchung 1.291 Verstöße gezählt.
Insbesondere der Fertigungs- und Versorgungssektor war mit 48 Vorfällen und insgesamt 48.294.629 Opfern stark betroffen. Im Gesundheitssektor lag die Zahl der Vorfälle mit 78 zwar deutlich höher, allerdings waren mit etwa 7 Millionen Opfern deutlich weniger Menschen betroffen. Andere Sektoren mit mehr als 1 Million Opfern waren Finanzdienstleistungen (1,6 Millionen Opfer), Regierungen (1,4 Millionen Opfer) und professionelle Dienste (1,5 Millionen Opfer). Doch selbst angesichts der Masse an Angriffen, Datenlecks und Sicherheitslücken stechen einige Vorfälle heraus.
Hier sind die Top 5 der Cybervorfälle im Jahr 2021
5. Die „Brasilianische Datenbank“
Im Januar 2021 wurde das bis dato größte Datenleck in der Geschichte Brasiliens entdeckt. In frei zugänglichen Datenbanken in einem Darknet-Forum waren die Namen, Steuernummern, Portraitfotos, Kontaktdaten und Informationen zur Kreditwürdigkeit sowie zum Gehalt von223 Millionen Personenkostenlos abrufbar, darunter auch die Daten mehrerer Millionen bereits Verstorbener. Darüber hinaus standen 104 Millionen Datensätze zu Fahrzeugen zur Verfügung. In der Regel werden derartige Daten von Kreditauskunfteien verwendet und ausgewertet, daher wird vermutet, dass die Daten aus einem Datenleck von Serasa Experian, dem führenden brasilianischen Kreditbewertungsbüro, stammen könnten.
4. Bykea
Bei einer Routineüberprüfung der IP-Adressen entdeckten Sicherheitsforscher von Safety Detectives eine Schwachstelle an einem bestimmten Port des Elastic Servers. Dieser Server enthielt API-Protokolle von Bykea, einem Unternehmen für Transport-, Logistik- und Nachnahmezahlungen mit Sitz in Karachi, Pakistan.
Eine nähere Untersuchung ergab, dass Bykea offenbar alle seine Produktionsserverinformationen ohne Passwortschutz oder Verschlüsselung öffentlich zugänglich gemacht und den Zugriff auf mehr als 200 GB Daten mitmehr als 400 Millionen Datensätzenermöglicht hatte. Die Datensätze enthielten die vollständigen Namen, Standorte und andere persönliche Informationen, die Hacker potenziell nutzen könnten, um finanzielle Schäden und Rufschädigungen zu verursachen.
Allzu besorgt schien das Unternehmen über diese Fakten jedoch nicht zu sein, denn der CEO von Bykea bezeichnete den Vorfall als „nichts Außergewöhnliches“. Es bleibt auch weiter unklar, ob dieser jüngste Verstoß mit einem zuvor erlittenen Hack zusammenhängt, bei dem Angreifer Berichten zufolge die gesamte Kundendatenbank des Unternehmens gelöscht haben.
3. Facebook
Auch die größten Unternehmen der Tech-Branche sind vor Datenlecks nicht gefeit. So entdeckte der Sicherheitsforscher Alon Gal in diesem Jahr eine geleakte Facebook-Datenbank mit denDaten von 533 Millionen Usern.
Die entdeckten Daten scheinen vor 2019 erbeutet worden zu sein und umfassten die personenbezogenen Daten von Facebook-Nutzern aus 106 Ländern, darunter mehr als 32 Millionen Datensätze zu Nutzern in den USA, 11 Millionen zu Nutzern in Großbritannien und 6 Millionen zu Nutzern in Indien. Auch die Telefonnummern und E-Mail-Adressen der betroffenen User waren in den Datensätzen enthalten. Sicherheitsforscher warnen daher davor, dass Kriminelle diese Informationen für Social-Engineering-Angriffe oder gar Identitätsdiebstahl nutzen könnten.
Woher die Daten stammten, ist nicht vollständig geklärt. Facebook meldete, dass sie vermutlich per Scraping über eine Sicherheitslücke erbeutet wurden, die das Unternehmen bereits 2019 geschlossen hat.
2. LinkedIn
Im Juni wurde ein gewaltiges Datenleck bei LinkedIn bekannt. Mit700 Millionen Opfernwaren fast 93 Prozent aller Nutzer des Netzwerks betroffen. Schlimmer noch: Die geleakten Daten schienen auch ziemlich aktuell zu sein. Betroffen waren personenbezogene Daten, die es Kriminellen ermöglichen könnten, Identitätsdiebstahl zu begehen.
Das Unternehmen selbst bestreitet allerdings, dass die Datensätze aktuell sind und damit aus den Jahren 2020 und 2021 stammen. Insbesondere Gehalt und Anschrift kämen nicht von LinkedIn, so ein Sprecher. Insgesamt seien die Daten nicht das Ergebnis eines Angriffs, sondern das Werk eines Datensammlers, der öffentlich zugängliche Informationen abruft und zusammenträgt. Diese Praxis wird auch Scraping genannt.
1. Cognite
Ausgerechnet ein Unternehmen, das auf Cybersicherheitsanalysen spezialisiert ist, war für das größte Datenleck in diesem Jahr verantwortlich. Sicherheitsforscher von Comparitech entdeckten eine gewaltige Datenbank mitmehr als 5 Milliarden Datensätzenfrei im Internet, ohne Schutz durch ein Passwort oder eine andere Authentifizierungsmethode. Sie gehört dem Unternehmen Cognite, das die Daten aus früheren Sicherheitsvorfällen als Teil seines Cyber-Intelligence-Dienstes speicherte, um Kunden vor Sicherheitsrisiken durch Dritte zu warnen. Drei Tage nachdem die Sicherheitsforscher das Unternehmen warnten war die Datenbank gesichert.
Trotzdem handelt es sich um einen ernsten Vorfall, denn alle oder wenigstens einige der Datensätze enthielten Name, E-Mail-Adresse, Passwort und die Datenquelle, also das Leak, aus dem der Datensatz stammte. Obwohl die Daten bereits zuvor kompromittiert waren, hätte sie Risiken für Endbenutzer darstellen können, wenn Cyberkriminelle darauf zugegriffen hätten.
Besonders am letzten Beispiel sehen wir, dass Datenschutzverletzungen nicht immer durch einen Angriff entstehen, sondern auch schlicht das Ergebnis einer suboptimalen, unvorsichtigen oder gar schlampigen Vorgehensweise eines Unternehmens sein können. Das macht sie jedoch nicht weniger gefährlich für die Betroffenen. Umso wichtiger ist es, dass Unternehmen den Schutz der ihnen anvertrauten Daten ernst nehmen und alles dafür tun, unberechtigte Zugriffe zu verhindern.
Insbesondere der Fertigungs- und Versorgungssektor war mit 48 Vorfällen und insgesamt 48.294.629 Opfern stark betroffen. Im Gesundheitssektor lag die Zahl der Vorfälle mit 78 zwar deutlich höher, allerdings waren mit etwa 7 Millionen Opfern deutlich weniger Menschen betroffen. Andere Sektoren mit mehr als 1 Million Opfern waren Finanzdienstleistungen (1,6 Millionen Opfer), Regierungen (1,4 Millionen Opfer) und professionelle Dienste (1,5 Millionen Opfer). Doch selbst angesichts der Masse an Angriffen, Datenlecks und Sicherheitslücken stechen einige Vorfälle heraus.
Hier sind die Top 5 der Cybervorfälle im Jahr 2021
5. Die „Brasilianische Datenbank“
Im Januar 2021 wurde das bis dato größte Datenleck in der Geschichte Brasiliens entdeckt. In frei zugänglichen Datenbanken in einem Darknet-Forum waren die Namen, Steuernummern, Portraitfotos, Kontaktdaten und Informationen zur Kreditwürdigkeit sowie zum Gehalt von223 Millionen Personenkostenlos abrufbar, darunter auch die Daten mehrerer Millionen bereits Verstorbener. Darüber hinaus standen 104 Millionen Datensätze zu Fahrzeugen zur Verfügung. In der Regel werden derartige Daten von Kreditauskunfteien verwendet und ausgewertet, daher wird vermutet, dass die Daten aus einem Datenleck von Serasa Experian, dem führenden brasilianischen Kreditbewertungsbüro, stammen könnten.
4. Bykea
Bei einer Routineüberprüfung der IP-Adressen entdeckten Sicherheitsforscher von Safety Detectives eine Schwachstelle an einem bestimmten Port des Elastic Servers. Dieser Server enthielt API-Protokolle von Bykea, einem Unternehmen für Transport-, Logistik- und Nachnahmezahlungen mit Sitz in Karachi, Pakistan.
Eine nähere Untersuchung ergab, dass Bykea offenbar alle seine Produktionsserverinformationen ohne Passwortschutz oder Verschlüsselung öffentlich zugänglich gemacht und den Zugriff auf mehr als 200 GB Daten mitmehr als 400 Millionen Datensätzenermöglicht hatte. Die Datensätze enthielten die vollständigen Namen, Standorte und andere persönliche Informationen, die Hacker potenziell nutzen könnten, um finanzielle Schäden und Rufschädigungen zu verursachen.
Allzu besorgt schien das Unternehmen über diese Fakten jedoch nicht zu sein, denn der CEO von Bykea bezeichnete den Vorfall als „nichts Außergewöhnliches“. Es bleibt auch weiter unklar, ob dieser jüngste Verstoß mit einem zuvor erlittenen Hack zusammenhängt, bei dem Angreifer Berichten zufolge die gesamte Kundendatenbank des Unternehmens gelöscht haben.
3. Facebook
Auch die größten Unternehmen der Tech-Branche sind vor Datenlecks nicht gefeit. So entdeckte der Sicherheitsforscher Alon Gal in diesem Jahr eine geleakte Facebook-Datenbank mit denDaten von 533 Millionen Usern.
Die entdeckten Daten scheinen vor 2019 erbeutet worden zu sein und umfassten die personenbezogenen Daten von Facebook-Nutzern aus 106 Ländern, darunter mehr als 32 Millionen Datensätze zu Nutzern in den USA, 11 Millionen zu Nutzern in Großbritannien und 6 Millionen zu Nutzern in Indien. Auch die Telefonnummern und E-Mail-Adressen der betroffenen User waren in den Datensätzen enthalten. Sicherheitsforscher warnen daher davor, dass Kriminelle diese Informationen für Social-Engineering-Angriffe oder gar Identitätsdiebstahl nutzen könnten.
Woher die Daten stammten, ist nicht vollständig geklärt. Facebook meldete, dass sie vermutlich per Scraping über eine Sicherheitslücke erbeutet wurden, die das Unternehmen bereits 2019 geschlossen hat.
2. LinkedIn
Im Juni wurde ein gewaltiges Datenleck bei LinkedIn bekannt. Mit700 Millionen Opfernwaren fast 93 Prozent aller Nutzer des Netzwerks betroffen. Schlimmer noch: Die geleakten Daten schienen auch ziemlich aktuell zu sein. Betroffen waren personenbezogene Daten, die es Kriminellen ermöglichen könnten, Identitätsdiebstahl zu begehen.
Das Unternehmen selbst bestreitet allerdings, dass die Datensätze aktuell sind und damit aus den Jahren 2020 und 2021 stammen. Insbesondere Gehalt und Anschrift kämen nicht von LinkedIn, so ein Sprecher. Insgesamt seien die Daten nicht das Ergebnis eines Angriffs, sondern das Werk eines Datensammlers, der öffentlich zugängliche Informationen abruft und zusammenträgt. Diese Praxis wird auch Scraping genannt.
1. Cognite
Ausgerechnet ein Unternehmen, das auf Cybersicherheitsanalysen spezialisiert ist, war für das größte Datenleck in diesem Jahr verantwortlich. Sicherheitsforscher von Comparitech entdeckten eine gewaltige Datenbank mitmehr als 5 Milliarden Datensätzenfrei im Internet, ohne Schutz durch ein Passwort oder eine andere Authentifizierungsmethode. Sie gehört dem Unternehmen Cognite, das die Daten aus früheren Sicherheitsvorfällen als Teil seines Cyber-Intelligence-Dienstes speicherte, um Kunden vor Sicherheitsrisiken durch Dritte zu warnen. Drei Tage nachdem die Sicherheitsforscher das Unternehmen warnten war die Datenbank gesichert.
Trotzdem handelt es sich um einen ernsten Vorfall, denn alle oder wenigstens einige der Datensätze enthielten Name, E-Mail-Adresse, Passwort und die Datenquelle, also das Leak, aus dem der Datensatz stammte. Obwohl die Daten bereits zuvor kompromittiert waren, hätte sie Risiken für Endbenutzer darstellen können, wenn Cyberkriminelle darauf zugegriffen hätten.
Besonders am letzten Beispiel sehen wir, dass Datenschutzverletzungen nicht immer durch einen Angriff entstehen, sondern auch schlicht das Ergebnis einer suboptimalen, unvorsichtigen oder gar schlampigen Vorgehensweise eines Unternehmens sein können. Das macht sie jedoch nicht weniger gefährlich für die Betroffenen. Umso wichtiger ist es, dass Unternehmen den Schutz der ihnen anvertrauten Daten ernst nehmen und alles dafür tun, unberechtigte Zugriffe zu verhindern.
