Es geht wieder los: Die schlecht gehandhabten Datenschutzverletzungen im Jahr 2023

Letztes Jahr haben wir zusammengestellt eine Liste der am schlechtesten gehandhabten Datenverstöße im Jahr 2022 mit Rückblick auf das schlechte Verhalten von Konzernriesen bei Hacks und Verstößen. Dazu gehörte alles, vom Herunterspielen der realen Auswirkungen der Verbreitung persönlicher Daten bis hin zur Nichtbeantwortung grundlegender Fragen.

Es stellte sich heraus, dass viele Unternehmen in diesem Jahr weiterhin dieselben Fehler machen. Hier ist das diesjährige Dossier darüber, wie man auf Sicherheitsvorfälle nicht reagieren sollte.

Die Wahlkommission verheimlichte ein Jahr lang Einzelheiten eines riesigen Hacks, hielt sich aber weiterhin bedeckt

Die Wahlkommission, die für die Überwachung der Wahlen im Vereinigten Königreich zuständige Aufsichtsbehörde, bestätigte im August, dass sie von „feindlichen Akteuren“ angegriffen wurde, die auf persönliche Daten zugegriffen haben – darunter vollständige Namen, E-Mail-Adressen, Privatadressen, Telefonnummern und persönliche Bilder an die Kommission geschickt – an bis zu 40 Millionen britischen Wählern.

Auch wenn es so klingt, als ob die Wahlkommission sich offen über den Cyberangriff und seine Auswirkungen geäußert hätte, ereignete sich der Vorfall im August 2021 – also vor etwa zwei Jahren –, als Hacker erstmals Zugang zu den Systemen der Kommission erlangten. Es dauerte ein weiteres Jahr, bis die Kommission die Hacker auf frischer Tat ertappte. Die BBC berichtete im darauffolgenden Monat dass der Wachhund etwa zur gleichen Zeit, als Hacker Zutritt zur Organisation erlangten, einen grundlegenden Cybersicherheitstest nicht bestanden hatte. Es ist noch nicht bekannt, wer den Eingriff durchgeführt hat – oder ob bekannt ist – und wie gegen die Kommission verstoßen wurde.

Samsung will nicht sagen, wie viele Kunden von der jahrelangen Datenpanne betroffen sind

Samsung hat es wieder einmal auf unsere Liste der schlecht behandelten Verstöße geschafft. Als der Elektronikriese mit Fragen zu einem jahrelangen Verstoß gegen seine Systeme konfrontiert wurde, der Hackern Zugriff auf die persönlichen Daten seiner in Großbritannien ansässigen Kunden verschaffte, zeigte er sich wieder einmal wie gewohnt zurückhaltend. In einem im März an betroffene Kunden gesendeten Brief gab Samsung zu, dass Angreifer eine Schwachstelle in einer unbenannten Geschäftsanwendung eines Drittanbieters ausgenutzt hatten, um auf die nicht näher bezeichneten persönlichen Daten von Kunden zuzugreifen, die zwischen Juli 2019 und Juni 2020 Einkäufe in seinem britischen Store getätigt hatten.

In dem Brief gab Samsung zu, die Kompromittierung erst mehr als drei Jahre später, im November 2023, entdeckt zu haben. Auf Anfrage von Tech weigerte sich der Technologieriese, weitere Fragen zu dem Vorfall zu beantworten, etwa wie viele Kunden betroffen waren oder wie Hacker konnten sich Zugang zu seinen internen Systemen verschaffen.

Hacker haben Shadow-Daten gestohlen und Shadow verstummte

Der französische Cloud-Gaming-Anbieter Shadow ist ein Unternehmen, das seinem Namen alle Ehre macht, da ein Verstoß gegen das Unternehmen im Oktober weiterhin rätselhaft ist. Laut einer an betroffene Shadow-Kunden gesendeten E-Mail führten die Angreifer bei der Sicherheitsverletzung einen „fortgeschrittenen Social-Engineering-Angriff“ gegen einen Mitarbeiter von Shadow durch, der den Zugriff auf die privaten Daten der Kunden ermöglichte.

Die vollständigen Auswirkungen des Vorfalls sind jedoch weiterhin unbekannt. Tech erhielt eine Stichprobe von Daten, die vermutlich vom Unternehmen gestohlen wurden und 10.000 eindeutige Datensätze enthielten, darunter private API-Schlüssel, die mit Kundenkonten korrespondierten. Auf Anfrage von Tech lehnte das Unternehmen eine Stellungnahme ab und wollte nicht sagen, ob es die französische Datenschutzbehörde CNIL über den Verstoß informiert hatte, wie es nach europäischem Recht erforderlich ist. Das Unternehmen versäumte es außerdem, die Nachricht über den Verstoß außerhalb der an die betroffenen Kunden gesendeten E-Mails zu veröffentlichen.

Lyca Mobile weigerte sich zu sagen, um welche Art von Cyberangriff es sich handelte

Lyca Mobile, der in Großbritannien ansässige Betreiber virtueller Mobilfunknetze, gab im Oktober bekannt, dass das Unternehmen Ziel eines Cyberangriffs geworden sei, der für Millionen seiner Kunden weitreichende Störungen verursacht habe. Lyca Mobile gab später einen Datenverstoß zu, bei dem ungenannte Angreifer während des Hacks auf „zumindest einige der in unserem System gespeicherten persönlichen Daten“ zugegriffen hatten.

Mittlerweile sind mehr als zwei Monate vergangen, und Lyca Mobile hat noch immer nicht mitgeteilt, welche Daten aus seinen Systemen gestohlen wurden (trotz der Speicherung sensibler persönlicher Informationen wie Kopien von Personalausweisen und Finanzdaten) oder wie viele seiner 16 Millionen Kunden betroffen waren durch den Verstoß. Trotz wiederholter Anfragen von Tech weigerte sich das Unternehmen auch, sich zur Art des Vorfalls zu äußern, obwohl es sich bei dem Vorfall um Ransomware handelte.

MGM Resorts hat immer noch nicht gesagt, wie vielen Kunden nach dem Hackerangriff Daten gestohlen wurden

Der Verstoß gegen MGM Resorts ist einer der denkwürdigsten des Jahres 2022; Bei dem Vorfall kompromittierten Hacker, die mit einer Bande namens Scattered Spider in Verbindung standen, die Systeme des Unternehmens und verursachten wochenlange Störungen in den Hotels und Casinos von MGM in Las Vegas. MGM sagte, dass die Störung das Unternehmen mindestens 100 Millionen US-Dollar kosten werde.

MGM gab erstmals bekannt, dass das Unternehmen am 11. September ins Visier von Hackern geraten war. Doch erst im Oktober bestätigte das Unternehmen in einem behördlichen Antrag, dass die Angreifer einige personenbezogene Daten von Kunden erhalten hatten, die vor März 2019 Transaktionen mit MGM Resorts getätigt hatten. Dazu gehören Kundennamen, Kontaktinformationen, Geschlecht, Geburtsdaten, Führerscheinnummern und Sozialversicherungsnummern sowie Passscans für einige Kunden.

Mittlerweile sind mehr als drei Monate vergangen und wir wissen immer noch nicht, wie viele MGM-Kunden betroffen waren. MGM-Sprecher haben es wiederholt abgelehnt, die Fragen von Tech zu dem Vorfall zu beantworten.

Der Verstoß gegen das Gericht kann Millionen von Menschen betreffen – möglicherweise noch viel mehr

Bereits im Februar bestätigte der Satellitenfernsehriese Dish in einer öffentlichen Akte, dass ein Ransomware-Angriff für den anhaltenden Ausfall verantwortlich sei, und warnte, dass Hacker Daten aus seinen Systemen herausgefiltert hätten, die möglicherweise persönliche Daten von Kunden enthielten. Allerdings hat Dish seitdem kein substanzielles Update bereitgestellt und die Kunden wissen immer noch nicht, ob ihre persönlichen Daten gefährdet sind.

Tech erfuhr, dass die Auswirkungen des Verstoßes trotz des Schweigens des Unternehmens weit über die rund 10 Millionen Kunden von Dish hinausgehen könnten. Ein ehemaliger Dish-Einzelhändler sagte gegenüber Tech, dass Dish eine Fülle von Kundeninformationen auf seinen Servern speichert, darunter Kundennamen, Geburtsdaten, E-Mail-Adressen, Telefonnummern, Sozialversicherungsnummern und Kreditkarteninformationen. Die Person sagte, dass diese Informationen auf unbestimmte Zeit gespeichert werden, auch für potenzielle Kunden, die die erste Bonitätsprüfung von Dish nicht bestanden haben.

CommScope hat seinen eigenen Mitarbeitern erst spät mitgeteilt, dass ihre Daten gestohlen wurden

Tech hörte von CommScope-Mitarbeitern, dass sie über einen Datenverstoß im Unternehmen, der ihre persönlichen Daten betraf, im Unklaren gelassen wurden. Das in North Carolina ansässige Unternehmen, das Netzwerkinfrastrukturprodukte für eine Reihe von Kunden entwickelt und herstellt, geriet im April ins Visier der Ransomware-Bande Vice Society. Zu den von der Bande durchgesickerten und von Tech überprüften Daten gehörten die persönlichen Daten von Tausenden von CommScope-Mitarbeitern, darunter vollständige Namen, Postanschriften, E-Mail-Adressen, persönliche Nummern, Sozialversicherungsnummern, Passscans und Bankkontoinformationen.

CommScope lehnte es ab, unsere Fragen im Zusammenhang mit den geleakten Mitarbeiterdaten zu beantworten, und antwortete auch nicht den Betroffenen. Mehrere Mitarbeiter teilten Tech damals mit, dass die Führungskräfte von CommScope sich über den Verstoß nicht im Klaren seien und nur wenig darüber hinaus gesagt hätten, es gebe „keine Beweise“, die darauf hindeuten, dass Mitarbeiterdaten im Spiel gewesen seien.

tch-1-tech