4 der schlimmsten Datenverletzungen aller Zeiten

Seit Beginn der groß angelegten Datenverbreitung in den frühen 2000er Jahren gab es mehr als 4000 hochkarätige Datenverletzungen, wobei bislang fast eine Milliarde Daten von Personen durchgesickert oder gestohlen wurden.

Datenverletzungen sind nicht nur wegen ihrer Auswirkungen auf die Privatsphäre der Benutzer gefährlich, sondern auch, weil sie den Unterschied zwischen Leben und Tod eines Unternehmens ausmachen können. Der erhebliche finanzielle und Imageverlust, der durch einen Datenverstoß verursacht wird, ist eine Kluft, die nicht viele Unternehmen erfolgreich überwinden können.

Schauen wir uns heute die schlimmsten Datenverletzungen in der Geschichte und ihre Auswirkungen an.

1. 2018 Marriott International: Kompromittierte Server

Der Hack hinter dieser Datenverletzung – einer der heimtückischeren in dieser Liste – begann bereits 2014, als die Server der aktuellen Marke Starwood von Marriot kompromittiert wurden. Während Starwood damals ein unabhängiges Unternehmen war, wurde es 2016 von Marriot zusammen mit seinen noch unentdeckten kompromittierten Aufzeichnungsservern übernommen.

Dieser Hack war aufgrund der Art der gestohlenen Daten besonders beunruhigend. Zu den durchgesickerten persönlichen Informationen von fast 500 Millionen Kunden gehörten Namen, Adressen, Kreditkartennummern, Telefonnummern und auch seltenere Preise für Hacker wie Passnummern, Reisestandorte und persönliche Reisedaten von Kunden.

Marriott International sah sich einer Sammelklage gegenüber und verzeichnete aufgrund des Verstoßes einen sofortigen Rückgang seines Nettovermögens um 5,6 Prozent. Bis Anfang 2020 hatte es Benutzern, deren Daten offengelegt wurden, eine Entschädigung in Höhe von fast 350 Millionen US-Dollar gezahlt.

2. 2019 Facebook: Lose Enden in Sicherheitsprotokollen

Im Jahr 2019 litt Facebook unter einigen lächerlichen Sicherheitsvorfällen, die gemeinsam die Verwundbarkeit des weltweit größten sozialen Netzwerks aufdeckten.

Der erste Teil beinhaltete ein Leck von fast 50 Millionen Online- Anmeldeinformationen für Instagram-Benutzer . Die Benutzerdaten, die in einer Klartextdatei auf einem Webserver gespeichert sind, auf den über Web-Token zugegriffen werden kann, waren für die anspruchsvollen Hacker-Gruppen, auf die Facebook normalerweise abzielt, nur eine einfache Auswahl.

Bei der nächsten – komplizierteren – Datenverletzung wurden mehr als 540 Millionen Datensätze von Facebook-Nutzern öffentlich im Cloud-Computing-Dienst von Amazon veröffentlicht. Auf zwei Websites von Drittanbietern ("At the Pool" und "Cultura Colectiva") wurden Benutzerinformationen, die mit ihren Facebook-Konten verknüpft sind, in ungeschützten Datenbanken auf den Webservern von Amazon gespeichert.

Dies bedeutete, dass jemand, der versuchte, auf die Datenbank von At the Pool oder Cultura zuzugreifen, versehentlich über eine Sicherheitslücke auf Facebook-Daten zugreifen konnte. Die exponierten Datenbanken enthielten persönliche Telefonnummern, Facebook-IDs und Passwörter sowie vertrauliche demografische Informationen wie Geschlecht und sexuelle Orientierung.

Zusammen mit einem leichten Rückgang der Börsenperformance von Facebook verschlechterten die Nachrichten über die Debakel bei Datenschutzverletzungen im Jahr 2019 die öffentliche Meinung von Facebook und führten zu Untersuchungen der Regierung darüber, wie das Unternehmen mit seinen Benutzerdaten umgeht.

3. 2019 First American Financial Corporation: Daten zu gewinnen

Bei dieser Datenverletzung, die durch eine Authentifizierungslücke verursacht wurde, gingen insgesamt fast 885 Millionen Finanzdaten durch.

Einfach ausgedrückt, hat First American die sensiblen Daten seiner Benutzer mithilfe eindeutiger und schwer zu erratender Weblinks gespeichert. Es gab keinerlei Passwortschutz oder Verschlüsselung von Daten. Wenn Sie Zeit und Ressourcen hätten, um einen Weblink zu erraten, könnten Sie sofort auf einen Datensatz auf den Servern des Unternehmens zugreifen. Durch die Automatisierung des Generierungsprozesses dieser Weblinks, die einem bestimmten Muster folgten, gelang es Hackern, auf fast alle Kundeninformationen von First American zuzugreifen.

Diese Datenverletzung ist besonders berüchtigt für die Empfindlichkeit der durchgesickerten Daten. Bei diesem Verstoß erhielten Hacker Zugriff auf Kontoauszüge, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern und Führerscheinbilder.

Infolge des Datenschutzverstoßes verlor das Unternehmen nicht nur einen Großteil seiner Verbraucherbasis, sondern befand sich auch am Ende einer Sammelklage. Derzeit wird es auch von den Aufsichtsbehörden auf Verstöße gegen Gesetze untersucht, nach denen Banken und andere Finanzdienstleistungsunternehmen Cybersicherheitsprotokolle implementieren und pflegen müssen.

4. 2013 Yahoo: Unentdeckte Katastrophe

Last but not least geht der unerwünschte, aber wohlverdiente Titel für die weltweit schlimmste Datenverletzung aller Zeiten an diese Veranstaltung im Jahr 2013, vor allem, weil sie fast drei Jahre lang unentdeckt blieb.

Im September 2016 gab Yahoo bekannt, dass die Informationen aller 3 Milliarden Benutzerkonten drei Jahre zuvor von Hackern gestohlen wurden. Das Unternehmen konnte den Verstoß erst erkennen, als es sah, dass seine Benutzerdaten in unterirdischen Hackerforen und auf Marktplätzen verkauft wurden.

Bei einem von russischen Hacker-Gruppen unterstützten Hack wurden Daten wie Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten, verschlüsselte Passwörter und in einigen Fällen sogar Sicherheitsfragen gestohlen.

Das Durchsickern solcher Informationen war nicht nur katastrophal, weil es Hackern den Zugriff auf Yahoo-Konten ermöglichte, sondern auch die Verbindungen der Benutzer zu ihren Banken, Social-Media-Profilen, anderen Finanzdienstleistungen sowie Freunden und Familie.

Erschwerend kommt hinzu, dass mehr als 150.000 Regierungs- und Militärkonten der Vereinigten Staaten unter den Opfern der Datenverletzung waren. Leider für Yahoo hätte diese Nachricht nicht zu einem schlechteren Zeitpunkt kommen können. Es dauerte nur zwei Tage bis zur Unterzeichnung der Übernahme von Yahoo durch Verizon, als Einzelheiten über den schlimmsten Datenverstoß des Unternehmens Schlagzeilen machten.

Die Veranstaltung warf nicht nur eine Wolke der Unsicherheit über die Zukunft des Geschäfts auf, sondern zwang Yahoo auch zu drastischen organisatorischen und strukturellen Änderungen, bevor es sich als marktwürdig bezeichnen konnte. Schließlich wurde der Deal um fast ein Jahr zurückgedrängt und der Vorfall hat den Verkaufspreis von Yahoo um fast 350 Millionen US-Dollar gesenkt.

Yahoo sah sich außerdem 23 hochkarätigen und mehreren tausend kleineren Klagen seiner Nutzer gegenüber. Am Ende zahlte es fast 150 Millionen US-Dollar an gesetzlichen Auszahlungen und Entschädigungen.

Was Sie aus den schlimmsten Datenverletzungen aller Zeiten lernen können

Diese Vorfälle sind zutiefst erschreckend und beunruhigend und nur die Spitze des Eisbergs. Während die Unternehmen, die für den Verlust von Benutzerdaten verantwortlich sind, kurzfristige Konsequenzen haben können, können sie sich letztendlich erholen, indem sie das Vertrauen der Öffentlichkeit zurückgewinnen und ihre finanziellen Verluste reparieren.

Die Auswirkungen auf die Benutzer könnten jedoch nachteiliger und langfristiger sein. Solange Benutzerdaten in unterirdischen Foren und auf Marktplätzen frei verfügbar sind, werden die Menschen weiterhin Opfer von Identitätsdiebstahl, Bankdiebstahl und sogar Erpressung. Mit dem dezentralen Dark Web wird es auf absehbare Zeit eine Fülle solcher Plattformen geben.

Die Ironie der Bequemlichkeit eines hochgradig personalisierten Online-Erlebnisses besteht darin, dass unsere persönlichsten und wichtigsten Daten häufig zum Schutz völlig fremder Personen dienen.

Der beste Weg, Benutzerdaten zu schützen, besteht nicht darin, sie Schicht für Schicht mit Verschlüsselungen oder Firewalls zu beauftragen, sondern die eigenen privaten Informationen verantwortungsbewusst zu verwalten – die von uns offengelegten Informationen zu überwachen und zu regulieren und wo wir sie offenlegen.