Wenn Sie dachten, dass die Anzahl der Datenschutzverletzungen im letzten Jahr schlecht war, wird 2019 so viel schlimmer — denken Sie an Capital One. Bisher wurden in diesem Jahr Milliarden von Verbraucherkonten entweder durch Hacker oder durch einfache Unachtsamkeit verletzt.
Es ist jedoch wichtig, sich daran zu erinnern, dass bei Datenschutzverletzungen die Anzahl der gehackten Konten nicht immer eine Rolle spielt. Ein Verstoß könnte Millionen betreffen, aber die Daten sind ziemlich allgemein gehalten, während ein kleinerer Verstoß hochsensible Informationen enthalten könnte.
In diesem Jahr haben große Datenschutzverletzungen medizinische Unternehmen, Einzelhändler, soziale Medien sowie Banken und Finanzunternehmen getroffen. Wir haben die folgende Liste wichtiger und gefährlicher Verstöße zusammengestellt, Außerdem haben wir Tipps, wie Sie sich schützen können, wenn Ihre Daten kompromittiert wurden.
- Einzelhändler von Datenschutzverletzungen betroffen
- Facebook Social Media site continues data breach streak
- Hacker konzentrieren sich auf Banken, Finanzunternehmen
- Eine medizinische Agentur gehackt, kompromittiert drei Unternehmen
- Regierungsverletzung Opfer von erneuten Opfern
- Daten Unternehmen links Datenbank ungeschützt
- Hacker erstellen Mystery-Datenbanken im Dark Web
- Wie zu vermeiden und was zu tun ist, wenn Sie Daten gehackt werden
- Teilen:
Einzelhändler von Datenschutzverletzungen betroffen
Earl Enterprises
Earl Enterprises, das Restaurantunternehmen, dem eine Reihe nationaler Ketten gehören, darunter Buca di Beppo, Planet Hollywood und Earl of Sandwich, erlitt zwischen dem 23. Mai 2018 und dem 18. März 2019 eine Datenverletzung durch Malware, die auf seinen Point-of-Sale-Systemen installiert wurde.
Der 10-monatige Angriff hat es Hackern möglicherweise ermöglicht, die Details von 2 Millionen Zahlungskarten zu stehlen, darunter die Kredit- und Debitkartennummern der Verbraucher, das Ablaufdatum und sogar die Namen der Karteninhaber.
Andere betroffene Restaurants waren Chicken Guy! in Florida, Mixology in Los Angeles und Tequila Taqueria in Las Vegas. Ein Cybersicherheitsunternehmen stellte fest, dass die 2 Millionen gestohlenen Kredit- und Debitnummern im Dark Web verkauft wurden.
Toyota
Toyota gab im April bekannt, dass Hacker auf die Server des Unternehmens zugegriffen hatten. Es wurde erklärt, dass die gespeicherten Verkaufsinformationen von 3,1 Millionen Toyota- und Lexus-Autobesitzern gestohlen wurden.
Toyota wusste nicht, welche Informationen gestohlen wurden. Beamte des Unternehmens sagten jedoch, dass die Finanzdaten der Kunden nicht auf den gehackten Servern gespeichert seien.
Facebook Social Media site continues data breach streak
Facebook ist das Aushängeschild für Datenschutzverletzungen in sozialen Medien. In diesem Jahr gab es einige, aber der größte war auf Unachtsamkeit zurückzuführen.
Im April wurde entdeckt, dass Hunderte von Millionen von Facebook-Nutzer Aufzeichnungen öffentlich auf Amazon-Servern von Drittanbietern App-Entwickler ausgesetzt waren. Zwei separate Facebook-App-Datensätze wurden in ihren eigenen Amazon S3 Cloud Server-Buckets gespeichert, aber beide wurden so konfiguriert, dass die Dateien von jedem heruntergeladen werden können.
Der größere Datensatz gehört einem in Mexiko ansässigen Medienunternehmen. Die massive 146 GB-Datei enthielt Informationen wie Kommentare, Likes, Reaktionen, Kontonamen und Facebook-IDs.Facebook-ID:
Der andere Datensatz ist ein Backup einer inzwischen nicht mehr existierenden Facebook-App namens „At the Pool“ und enthält Aufzeichnungen über Benutzer-IDs, Freunde, Likes, Interessen, Check-Ins, Gruppen und die ungeschützten Klartext-Facebook-Passwörter von 22.000 Benutzern.
Hacker konzentrieren sich auf Banken, Finanzunternehmen
Capital One
Die Server von Capital One wurden gehackt und betrafen über 100 Millionen Menschen in den USA.
Die Zahl der Kunden, deren Sozialversicherungs- und Bankinformationen gestohlen wurden, liegt bei 220.000. Capital One sagte, es habe begonnen, mit den Strafverfolgungsbehörden zusammenzuarbeiten, sobald der Verstoß festgestellt wurde.
Das FBI hat eine Person festgenommen, von der es glaubt, dass sie für den Hack verantwortlich ist, aber die Ermittlungen dauern noch an.
Ascension
Das Datenanalyseunternehmen Ascension hat aufgrund eines falsch konfigurierten Servers rund 24 Millionen Finanz- und Bankdokumente offengelegt. Die Datenbank war nicht passwortgeschützt, sodass jeder den Informationsschatz einsehen und darauf zugreifen konnte.
Die durchgesickerten Informationen enthielten Dokumente zu Kredit- und Hypothekendatensätzen von einer Reihe großer Bankinstitute wie CitiFinancial, HSBC Life Insurance, Wells Fargo, Capital One und sogar dem Ministerium für Wohnungswesen und Stadtentwicklung.
Das Leck enthüllte auch Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern, Bank- und Girokontonummern, Steuerdokumente und mehr. Die tatsächliche Anzahl der betroffenen Personen bleibt unklar und es ist nicht bekannt, ob Hacker auf die Informationen zugegriffen haben.
First American Financial
First American Financial, einer der führenden Abwicklungs- und Versicherungsanbieter des Landes, legte 800 Millionen Datensätze mit sensiblen Daten offen. Aber Hacker waren nicht für diesen Verstoß verantwortlich.
Ein Fehler im Datenbankdesign machte kritische Daten für jeden sichtbar, der einen Webbrowser für mehr als zwei Jahre verwendete. Auf seiner öffentlich zugänglichen Website können private Hypothekeninformationen, Steuerunterlagen und sogar Sozialversicherungs- und Bankkontonummern von jedem mit einer Internetverbindung eingesehen werden.
Die Daten reichen fast 16 Jahre zurück und erforderten keinen Benutzernamen oder kein Passwort, um sie anzuzeigen. Und First American gab den Menschen buchstäblich Zugang zu den Daten.
Das Unternehmen sendet seinen Benutzern regelmäßig Links zu Dokumenten, wobei jede Datei mit einer Nummer in der Webadresse gekennzeichnet ist. Wenn Sie jemals einen Dokumentlink von der Firma erhalten haben, müssen Sie nur die Nummer in der URL ändern, um auf die Informationen einer anderen Person zuzugreifen.
Verwandt: Über 40? Sie könnten ein Ziel in dieser neuesten Datenschutzverletzung sein
Eine medizinische Agentur gehackt, kompromittiert drei Unternehmen
American Medical Collection Agency (AMCA)
American Medical Collection Agency (AMCA) erlitt eine massive Datenverletzung, die drei seiner wichtigsten Kunden betroffen — Quest Diagnostics, LabCorp und Clinical Pathology Laboratories (CPL).
Ein nicht autorisierter Benutzer hatte Zugriff auf das Web-Zahlungssystem von AMCA. Der Verstoß wurde acht Monate lang nicht festgestellt. Die betroffenen Unternehmen gaben an, dass auf die Laborergebnisse nicht zugegriffen werden konnte.
Die Daten von 11,9 Millionen Quest, 2.2 Millionen CPL- und 7,7 Millionen LabCorp-Patienten waren exponiert. CPL sagte, die Namen, Adressen, Telefonnummern, Geburtsdaten, Servicedaten, Kontostandsinformationen und Informationen zu Behandlungsanbietern könnten bei der Verletzung gestohlen worden sein.
CPL fügte hinzu, dass die Kreditkarten- oder Bankinformationen von weiteren 34.500 Patienten kompromittiert wurden. Der Verstoß war auf US-Bürger beschränkt.
LabCorp sagte, dass vollständige Namen, Geburtsdaten, Adressen, Telefonnummern, Servicedaten, Anbieter, Kontostandsinformationen und in einigen Fällen Bankkonto- und Kreditkarteninformationen offengelegt wurden. AMCA informierte 200.000 LabCorp-Kunden, auf deren Finanzdaten zugegriffen werden konnte.
Zu den Daten von Quest-Kunden gehörten Bankdaten und Kreditkartennummern, Krankenakten und Sozialversicherungsnummern. Da der Verstoß acht Monate lang unentdeckt blieb, ist unklar, wie weitreichend dieser Verstoß sein könnte.
ZOLL Medical Corporation
ZOLL Medical Corporation teilte mit, dass sie am 24.Januar während einer Servermigration von der Sicherheitsverletzung erfahren habe. ZOLL verwendet einen Drittanbieter, um Unternehmens-E-Mails zu archivieren, und während der Migration wurden Daten aus diesen E-Mails offengelegt.
Neben Namen, Adressen, Geburtsdaten und einigen begrenzten medizinischen Informationen gab das Unternehmen an, dass in einigen Fällen auch die Sozialversicherungsnummern der Verbraucher offengelegt wurden. Mehr als 277.000 Menschen waren von der Sicherheitslücke betroffen.
ZOLL Medical Corporation entwickelt und vermarktet medizinische Geräte und Software für die Notfallversorgung.
Regierungsverletzung Opfer von erneuten Opfern
FEMA
Ein Bericht des Generalinspekteurs des Heimatschutzministeriums ergab, dass die Federal Emergency Management Agency (FEMA) sensible Informationen über 2,3 Millionen Katastrophenopfer weitergab. Die Menschen hatten vier große Katastrophen erlitten, wie die Hurrikane Harvey, Irma und Maria oder große Waldbrände in Kalifornien.
Der Verstoß betraf Personen, die das FEMA-Hilfsprogramm für Übergangsunterkünfte in Anspruch nahmen. Namen, Adressen, teilweise Sozialversicherungsnummern und Bankinformationen wurden an einen privaten Auftragnehmer weitergegeben, der das Programm verwaltete.
Related: Beliebte Fast-Food-Restaurants in neuen Datenschutzverletzung gezielt
Daten Unternehmen links Datenbank ungeschützt
Verifizierungen IO
Verifizierungen IO links mehr als 2 Milliarden unverschlüsselte Datensätze in einer ungeschützten Datenbank. Die Informationen wurden in vier separate Sammlungen unterteilt.
Die Sammlungen enthielten E-Mail-Adressen, Nachnamen, Geburtsdaten, Adressen, Telefonnummern, Social-Media-Kontodaten, Kredit-Scores, Geschlechtsinformationen und mehr.
Verifizierungen IO genehmigt oder überprüft E-Mail-Adressen für Dritte. Nach der Entdeckung des Verstoßes nahm das Unternehmen seine Website und seinen Domainnamen herunter.
Das Unternehmen entfernte auch die offengelegten Datensätze am selben Tag, an dem der Verstoß entdeckt wurde. Bisher gibt es keine Hinweise darauf, dass die Aufzeichnungen gestohlen wurden.
Hacker erstellen Mystery-Datenbanken im Dark Web
Sammlung #1, Sammlung #2-5
Wenn Daten aus einer verletzten Datenbank gestohlen werden, können Sie sie häufig auf den zahlreichen Marktplätzen im Dark Web zum Verkauf finden. Manchmal können die Daten einem bestimmten Verstoß zugeordnet werden, aber hin und wieder erstellen Hacker Sammlungen aus einer Vielzahl von Verstößen.
Dies bringt uns zur Mutter aller Datenschutzverletzungen. „Collection #1“ ist eine Zusammenstellung gestohlener Anmeldeinformationen aus einer Reihe anderer Datenverstöße aus dem Jahr 2008. Sammlung #1 hat fast eine dreiviertel Milliarde E-Mail-Konten, mehr als 20 Millionen Passwörter und Informationen aus 2.000 durchgesickerten Datenbanken.
Diese 87 GB große Sammlung enthält 2 Milliarden Datensätze. Nicht lange nachdem Collection #1 gefunden wurde, wurden vier weitere gefunden — „Collection #2“, „the 37GB „Collection #3″,“ the 178GB „Collection #4“ und die 42GB „Collection #5.“
Sammlungen # 2-5 zusammen sind fast dreimal so groß wie Sammlung #1. Das entspricht etwa 25 Milliarden Datensätzen mit 2,2 Milliarden eindeutigen Benutzernamen und Passwörtern.
Das Dark Web-Preisschild für den „lebenslangen Zugriff“ auf diese Sammlungen beträgt nur 45 US-Dollar.
No Name database
Im Februar wurden rund 617 Millionen Kontodaten, die von 16 kompromittierten Websites gestohlen wurden, im Dark Web zum Verkauf angeboten. Der Preis des Verkäufers für die gestohlenen Daten betrug weniger als 20.000 US-Dollar in Bitcoin.
Die Datenbanken wurden auf einer unterirdischen Handelsseite namens Dream Market entdeckt, und aus der Sammlung getestete Proben scheinen legitim zu sein. Der Datencache enthält Kontoinhabernamen, E-Mail-Adressen und Kennwörter.
Die Passwörter sind jedoch entweder gehasht oder einwegverschlüsselt, sodass sie geknackt werden müssen, bevor sie verwendet werden können. Weitere 127 Millionen Konten wurden dem ursprünglichen Cache hinzugefügt. Diese Aufzeichnungen stammen von acht kompromittierten Websites.
Wie zu vermeiden und was zu tun ist, wenn Sie Daten gehackt werden
Wie Sie sehen können, werden Datenbanken regelmäßig verletzt. Unnötig zu sagen, wenn die Informationen in die Hände von Betrügern gelangen, kann dies zu allen Arten von böswilligen Aktivitäten führen.
Hier sind einige Vorschläge, wie Sie sich schützen können, wenn Ihre Daten gestohlen werden:
Vorsicht vor Phishing-Betrügereien – Betrüger werden versuchen, bei großen Verstößen wie diesem Huckepack zu fahren. Sie erstellen Phishing-E-Mails und geben vor, das betroffene Unternehmen zu sein, in der Hoffnung, die Opfer dazu zu bringen, auf schädliche Links zu klicken, die zu weiteren Problemen führen könnten. Machen Sie unseren Phishing-IQ-Test, um zu sehen, ob Sie eine gefälschte E-Mail erkennen können.
Behalten Sie Ihre Bankkonten im Auge – Sie sollten häufig Ihre Kontoauszüge überprüfen und nach verdächtigen Aktivitäten suchen. Wenn Sie etwas sehen, das seltsam erscheint, melden Sie es sofort.
Überprüfen Sie Ihre Online-Konten – Have I Been Pwned ist eine benutzerfreundliche Website mit einer Datenbank mit Informationen, die Hacker und Schadprogramme öffentlich veröffentlicht haben. Es überwacht Hacker-Sites und sammelt alle fünf bis 10 Minuten neue Daten zu den neuesten Hacks und Gefährdungen.
Holen Sie sich ein Kredit-Freeze – Wenn Sie denken, dass Ihre Identität bereits kompromittiert wurde, setzen Sie ein Kredit-Freeze auf Ihre Konten so schnell wie möglich.
Haben Sie starke Sicherheitssoftware – Der Schutz Ihrer Geräte mit starker Sicherheitssoftware ist wichtig. Es ist die beste Verteidigung gegen digitale Bedrohungen.
Verschiedene Passwörter verwenden – Es ist immer eine schlechte Idee, dasselbe Passwort für eine Vielzahl von Websites zu verwenden. Wenn Sie dasselbe Kennwort auf mehreren Websites verwenden und eine Website verletzt wird, sind Ihre Konten auf anderen Websites einem größeren Risiko ausgesetzt.
Da Hacker den Unternehmen scheinbar immer einen Schritt voraus sind, wundern Sie sich nicht, wenn Sie herausfinden, dass Ihre Daten verletzt wurden. Finden Sie heraus, was das Unternehmen dagegen unternimmt, und verwenden Sie die oben genannten Vorschläge, um entweder eine Firewall gegen sie zu erstellen oder den Fallout einzudämmen.