8 historische Datenschutzverletzungen, die die Welt erschütterten
Während jedes Unternehmen bestrebt ist, alle möglichen Lücken in seiner Software zu schließen, werden Hacker nicht aufhören, Schwachstellen auszunutzen, um neue aufzudecken. Und mit der jüngsten Zunahme von Berichten über Datenschutzverletzungen scheint die Bedrohung in absehbarer Zeit nicht zu enden.
Dies sind einige der schockierendsten Datenschutzverletzungen in der Geschichte, die unvergesslich bleiben, einschließlich regierungsbezogener.
1. Datenschutzverletzung der US-Bundesregierung (2020)
Im Dezember 2020 entdeckte die US-Regierung eine schockierende schwerwiegende Datenpanne, von der zunächst angenommen wurde, dass sie einige Unternehmen betrifft.
Nicht lange nach der Entdeckung wurde klar, dass bis zu 200 prominente Organisationen, auch außerhalb der Gerichtsbarkeit der USA, darunter die NATO und das Europäische Parlament, bei einem Angriff auf die Lieferkette perforiert wurden, der durch das Verstecken von Schadcode in aktualisierter Software funktioniert.
Beim Grübeln über Ursache und Quelle dieses beispiellosen Datenhacks stellte sich schnell heraus, dass die Angreifer es ernst meinten und den Angriff über acht Monate lang unentdeckt in einem sogenannten Advanced Persistent Threat (APT) koordiniert hatten.
Die Angreifer nutzten Lücken in der Cloud-Infrastruktur von Microsoft, in der Software von VMware und in einem von SolarWind Corps veröffentlichten Überwachungssoftware-Update für Regierung und Militär. Quellen behaupteten, dass es sich bei dem Verstoß um einen von der Nation gesponserten gezielten Angriff handelte, der darauf abzielte, sensible Informationen verschiedener halbstaatlicher Unternehmen innerhalb der USA, einschließlich des Militärs, durchsickern zu lassen.
Bis heute ist es immer noch einer der am ernsthaftesten koordinierten Cyberangriffe gegen die USA und einige der größten multinationalen Unternehmen der Welt.
2. MyFitnessPal (2018)
Hacker werden vor nichts Halt machen, um beliebte Apps auf die Knie zu zwingen. Im Jahr 2018 verschafften sich Angreifer unbefugten Zugriff auf die Datenbank von MyFitnessPal und erhielten dabei Millionen von Benutzerinformationen.
Laut Under Amour betraf der beispiellose Verstoß rund 150 Millionen Konten. Als Vorsichtsmaßnahme informierten Sicherheitsexperten des Unternehmens die Benutzer über den Verstoß und forderten sie auf, ihre Passwörter zu ändern.
Obwohl das Unternehmen die Passwörter aller betroffenen Benutzer sofort zurückgesetzt hat, sind leider auch die E-Mails der Benutzer durchgesickert. Dadurch sind sie möglichen Phishing-Angriffen und Identitätsdiebstahl ausgesetzt.
Die Folgen dieser Datenschutzverletzung würden später nach einem Jahr noch besorgniserregender werden, als die erhaltenen Informationen, einschließlich E-Mails, Benutzernamen und verschlüsselten Passwörtern, im Darknet auftauchten . Und dieses Mal wurden sie für einen geschätzten Preis von 20.000 US-Dollar zum Verkauf angeboten.
3. Datenschutzverletzung der schwedischen Verkehrsbehörde (2017)
Obwohl es sich bei den meisten Datenschutzverletzungen um absichtliches Hacken der Software eines Opfers handelt, war dies bei der Datenschutzverletzung der schwedischen Transportbehörde nicht der Fall. Durch unachtsamen Umgang mit Daten wurde das Verkehrsunternehmen des Landes 2017 von Datenlecks schwer getroffen, nachdem es seine IT-Infrastruktur und das Datenbankmanagement an IBM ausgelagert hatte.
Der Schweregrad wäre minimal gewesen, wenn er auf die Tausenden von Führerscheininformationen beschränkt gewesen wäre, die offengelegt wurden. Die Regierung behauptete jedoch, dass neben dem Durchsickern von Informationen über Nationalstraßen und Brücken auch die Identität von verdeckten Ermittlern, die mit dem Geheimdienst und dem Militär zusammenarbeiten, aufgedeckt wurde.
Dieses Ereignis führte jedoch zur Entlassung von Maria Ågren – der damaligen Generaldirektorin der Agentur. Letztendlich wurde es von Sicherheitsangelegenheiten als das bekannteste staatliche Datenleck beschrieben, das die schwedische Regierung jemals getroffen hat.
4. Yahoo! (2013 und 2014)
Die Ankündigung von Yahoo! im Jahr 2016, dass sich Hacker unbefugten Zugriff auf seine Datenbank verschafften und die persönlichen Daten von weit über 500 Millionen Nutzern seiner Plattform im Jahr 2014 gestohlen hatten, war ein Schock.
Später in diesem Jahr erhielt der Internetbereich die Bombe, als das Unternehmen bekannt gab, dass es 2013 einen früheren separaten Angriff auf seine Datenbank gegeben hatte, von dem über eine Milliarde Benutzer betroffen waren.
Es wurde eklatant, dass die Sicherheitsmauer von Yahoo! stark kompromittiert war, als das Unternehmen später im Jahr 2017 bestätigte, dass die Datenpanne im Jahr 2013 alle seine drei Milliarden Benutzer betraf.
In beiden Fällen hatten die Hacker bösartige Browser-Cookies gefälscht und verwendet, die das Sicherheitssystem von Yahoo! getäuscht haben, um sich jederzeit und ohne Verwendung eines Passworts unbefugten Zugriff auf das Konto eines Benutzers zu verschaffen.
So wurden bei dieser Razzia, die bis heute als die schlimmste Sicherheitsverletzung im Internet gilt, unverschlüsselte Sicherheitsfragen, Telefonnummern und E-Mails durchgesickert.
Folglich, später Anfang 2017, Verizon, das zuvor angeboten hatte, Yahoo! in Höhe von 4,8 Milliarden US-Dollar – die Plattform wurde auf 350 Millionen US-Dollar unter dem vereinbarten Preis gesenkt. Yahoo! war gezwungen, zu diesem neuen Preis zu verkaufen, wobei Mayer als CEO zurücktrat.
5. Facebook (2019)
Facebook wurde wegen seiner Unsicherheit vielfach kritisiert, wobei Kritiker seine Nutzer aufforderten, die App zu löschen. Darüber hinaus war die Plattform an einer Vielzahl von Datenschutzverletzungen beteiligt.
Im Jahr 2019 erlitt die Social-Media-Plattform eine schwerwiegende Sicherheitsverletzung, die zur Offenlegung der persönlichen Daten von über 500 Millionen Benutzern führte. Später in diesem Jahr tauchte eine weitere Datenbank mit den persönlichen Informationen von 267 Millionen Benutzern im Internet auf. Spekulationen zufolge war die Datenbank fast zwei Wochen lang im Dark Web frei verfügbar.
Diese Verstöße ereigneten sich nur ein Jahr, nachdem Facebook einen separaten Datenschutzverstoß erlitten hatte, von dem etwa 50 Millionen Nutzer betroffen waren.
Die gestohlenen Informationen waren in beiden Fällen Facebook-IDs, Benutzernamen und Telefonnummern. Laut Facebook resultierten die Verstöße aus einer Sicherheitslücke, die es in diesem Jahr zuvor gepatcht hatte.
6. Adult FriendFinder (2016)
AdultFriendFinder, eine der größten Dating-Sites der Welt, rammte 2016 kurz nach einer Sicherheitslücke im Jahr 2015 eine weitere. Und dieses Mal bezeichneten Experten es als den schlimmsten Datenbank-Hacking in der Geschichte des Jahres 2016.
Während der Sicherheitsverletzung im Jahr 2015 wurden über 3,5 Millionen Benutzerinformationen gestohlen und in mehreren CSV-Dateien im Dark Web veröffentlicht. Aber die Sicherheitsverletzung von 2016 betraf weit über 400 Millionen Benutzer, einschließlich früherer Benutzer. Sie alle hatten ihre Informationen, einschließlich Benutzernamen, Passwörter und E-Mails, die auf einen Schlag gestohlen wurden.
Die Sicherheitslücke auf AdultFriendFinder war überraschend, da Passwörter, die in den durchgesickerten Daten gefunden wurden, entweder im Klartext oder schlecht verschlüsselt waren. Später in diesem Jahr enthüllte ein White-Hat-Hacker ein weiteres lokales Schlupfloch zum Einschließen von Dateien auf der Website.
7. Sony PlayStation Massive Datenschutzverletzung (2011)
Die Sony PlayStation Network-Saga von 2011 ist vielleicht die schlimmste Datenschutzverletzung in der Geschichte der Spieleindustrie. Die Hacker verschafften sich Zugang zu seiner Datenbank und erhielten verschiedene Informationen von 77 Millionen Benutzern.
Obwohl Sony dieses unglückliche Ereignis nicht sofort bekannt gab, schaltete es sein Netzwerk sofort ab und verhinderte so den Zugriff auf die Online-Gaming-Plattform. Zu den erhaltenen Daten gehörten unter anderem Namen, Geburtsdaten, Benutzernamen und Passwörter.
Es war nicht klar, wie die Hacker auf den Server des Unternehmens zugegriffen haben, aber es wurde spekuliert, dass sie sich Zugriff durch Phishing eines der Systemadministratoren von Sony verschafften. Infolge der unvermeidlichen Abschaltung seines Netzwerks würde Sony später bis zu 171 Millionen US-Dollar durch den Verstoß verlieren.
8. Verstoß gegen die National Archives and Records Administration (NARA) (2009)
Wenn Sie gerne Ihre Festplatten entsorgen, ohne sie vorher zu formatieren, dann wird Sie das dramatische Ereignis, das zur Verletzung der Daten des Nationalarchivs geführt hat, Ihre Handlungen nachverfolgen.
Die Agentur wurde 2009 von einer Datenschutzverletzung heimgesucht, die Millionen von Informationen über US-Militärpersonal und Mitarbeiter des Weißen Hauses betraf.
Eine Datenpanne wäre vielleicht nicht schmerzhaft gewesen, wenn sie plötzlich und unvermeidlich wäre. Aber das Informationsleck der National Archives resultierte aus einer fehlerhaften Festplatte, die an ihren Reparaturpartner gesendet wurde.
Nach der Fehlersuche und der Feststellung, dass die Festplatte beschädigt war, schickte die Reparaturfirma sie zum Recycling, ohne NARA zu kontaktieren. Sie dachten, die Informationen auf der Diskette seien gesichert und zuvor von NARA formatiert worden, bevor sie zur Reparatur geschickt wurden.
Es war also eher ein Datenverlust als eine Verletzung. Und es wurde noch verwirrender, als NARA einen Bericht über eine fehlende Festplatte einreichte, die Informationen mehrerer Veteranen des Militärs enthielt. Irrtümlicherweise hatten sie die beschädigte Diskette nicht formatiert und auf einer neuen gesichert, bevor sie sie zur Reparatur eingeschickt hatten. Leider lag die Verantwortung für die Sicherung ihrer Daten nicht bei der Reparaturfirma.
Obwohl sich die Behörde nicht sicher war, ob die Daten böswillig verwendet wurden, mussten die Betroffenen auf einen drohenden Identitätsdiebstahl achten. Tatsächlich war es eines der schlimmsten Missgeschicke bei der Datensicherheit aller Zeiten, das auf die Unachtsamkeit einer US-Behörde zurückzuführen war.
Es gibt immer ein Schlupfloch
Obwohl viele Softwareentwicklungspipelines den bereitgestellten Sicherheitsstandards folgen, um die Internetsicherheit aufrechtzuerhalten, tauchen immer wieder neue Schwachstellen auf.
Wie Sie gesehen haben, haben Internetgiganten den einen oder anderen Datenschutzverstoß erlitten, und sogar staatliche Einrichtungen hatten ihren Anteil. Kein technisches Produkt ist also gegen Sicherheitsverletzungen immun – solange es über das Internet zugänglich ist.