Wir sind fast am Ende des Jahres 2024 angelangt, einem Jahr, das als eines der größten und verheerendsten Datenschutzverstöße der jüngeren Geschichte in die Geschichte eingehen wird. Und gerade wenn man denkt, dass einige dieser Hacks nicht noch schlimmer werden können, dann tun sie es.
Von riesigen Beständen an persönlichen Daten von Kunden, die abgekratzt, gestohlen und online gestellt wurden, bis hin zu Unmengen medizinischer Daten, die die meisten Menschen in den Vereinigten Staaten abdecken und die gestohlen wurden – die schlimmsten Datenverstöße im Jahr 2024 haben die Marke von 1 Milliarde gestohlener Datensätze überschritten, Tendenz steigend. Diese Verstöße betreffen nicht nur die Personen, deren Daten unwiederbringlich preisgegeben wurden, sondern ermutigen auch die Kriminellen, die von ihren böswilligen Cyberangriffen profitieren.
Reisen Sie mit uns in die nicht allzu ferne Vergangenheit, um zu sehen, wie es zu einigen der größten Sicherheitsvorfälle des Jahres 2024 kam, welche Auswirkungen sie hatten und wie sie in einigen Fällen hätten gestoppt werden können.
Die Datenschutzverletzungen von AT&T betreffen „fast alle“ seiner Kunden und viele weitere Nichtkunden
Für AT&T war 2024 ein sehr schlechtes Jahr für die Datensicherheit. Der Telekommunikationsriese bestätigte nicht nur einen, sondern zwei separate Datenschutzverstöße, die nur wenige Monate voneinander entfernt waren.
Im Juli sagte AT&T, Cyberkriminelle hätten über einen Zeitraum von sechs Monaten im Jahr 2022 und in einigen Fällen länger einen Datencache gestohlen, der Telefonnummern und Anrufaufzeichnungen von „fast allen“ seiner Kunden, also rund 110 Millionen Menschen, enthielt. Die Daten wurden nicht direkt von den Systemen von AT&T gestohlen, sondern von einem Konto beim Datengiganten Snowflake (dazu später mehr).
Obwohl die gestohlenen AT&T-Daten nicht öffentlich sind (und Einem Bericht zufolge zahlte AT&T ein Lösegeld, damit die Hacker die gestohlenen Daten löschen konnten) und die Daten selbst nicht den Inhalt von Anrufen oder Textnachrichten enthalten, verraten die „Metadaten“ immer noch, wer wann wen angerufen hat, und in einigen Fällen können die Daten verwendet werden, um ungefähre Standorte abzuleiten. Schlimmer noch: Die Daten umfassen Telefonnummern von Nichtkunden, die in dieser Zeit von AT&T-Kunden angerufen wurden. Dass Daten öffentlich werden, könnte für Personen mit höherem Risiko gefährlich sein, beispielsweise für Überlebende häuslicher Gewalt.
Das war der zweite Datenschutzverstoß von AT&T in diesem Jahr. Anfang März stellte ein Broker für Datenschutzverletzungen einen vollständigen Cache mit 73 Millionen Kundendatensätzen online in einem bekannten Forum für Cyberkriminalität zur Verfügung, damit jeder sie sehen konnte, etwa drei Jahre nachdem eine viel kleinere Stichprobe online veröffentlicht wurde.
Zu den veröffentlichten Daten gehörten persönliche Daten der Kunden, darunter Namen, Telefonnummern und Postanschriften, wobei einige Kunden bestätigten, dass ihre Daten korrekt seien.
Doch erst als ein Sicherheitsforscher herausfand, dass die offengelegten Daten verschlüsselte Passwörter enthielten, die für den Zugriff auf das AT&T-Konto eines Kunden verwendet wurden, ergriff der Telekommunikationsriese Maßnahmen. Der Sicherheitsforscher sagte damals gegenüber Tech, dass die verschlüsselten Passcodes leicht entschlüsselt werden könnten, wodurch etwa 7,6 Millionen bestehende AT&T-Kundenkonten dem Risiko von Entführungen ausgesetzt seien. AT&T zwang das Zurücksetzen der Kontopasswörter seiner Kunden, nachdem Tech das Unternehmen auf die Ergebnisse des Forschers aufmerksam gemacht hatte.
Ein großes Rätsel bleibt bestehen: AT&T weiß immer noch nicht, wie die Daten durchgesickert sind oder woher sie stammen.
Change Healthcare-Hacker haben medizinische Daten über einen „erheblichen Teil“ der Menschen in Amerika gestohlen
Im Jahr 2022 verklagte das US-Justizministerium den Krankenversicherungsriesen UnitedHealth Group, um dessen versuchte Übernahme des Gesundheitstechnologieriesen Change Healthcare zu blockieren, aus Angst davor Der Deal würde dem Gesundheitskonzern breiten Zugang verschaffen auf etwa „die Hälfte aller Krankenversicherungsansprüche der Amerikaner“ pro Jahr. Der Versuch, den Deal zu blockieren, scheiterte letztlich. Dann, zwei Jahre später, passierte etwas viel Schlimmeres: Change Healthcare wurde von einer produktiven Ransomware-Bande gehackt; Seine umfangreichen Datenbanken mit sensiblen Gesundheitsdaten wurden gestohlen, weil eines der kritischen Systeme des Unternehmens nicht durch Multi-Faktor-Authentifizierung geschützt war.
Die durch den Cyberangriff verursachte lange Ausfallzeit zog sich über Wochen hin und führte zu großflächigen Ausfällen in Krankenhäusern, Apotheken und Gesundheitspraxen in den gesamten Vereinigten Staaten. Die Folgen des Datenschutzverstoßes sind jedoch noch nicht vollständig erkennbar, obwohl die Folgen für die Betroffenen wahrscheinlich irreversibel sein werden. Laut UnitedHealth umfassen die gestohlenen Daten – für die das Unternehmen die Hacker bezahlt hat, um eine Kopie zu erhalten – die persönlichen, medizinischen und Rechnungsinformationen eines „erheblichen Teils“ der Menschen in den Vereinigten Staaten.
UnitedHealth hat noch keine Zahl angegeben, wie viele Personen von dem Verstoß betroffen waren. Der Vorstandsvorsitzende des Gesundheitsriesen, Andrew Witty, sagte den Gesetzgebern, dass der Verstoß etwa ein Drittel der Amerikaner und möglicherweise mehr betreffen könnte. Im Moment ist es eine Frage der Gerechtigkeit Wie viele Hunderte Millionen Menschen in den USA sind betroffen.
Der Ransomware-Angriff von Synnovis führte zu großflächigen Ausfällen in Krankenhäusern in ganz London
Ein Cyberangriff im Juni auf das britische Pathologielabor Synnovis – ein Labor für Blut- und Gewebetests für Krankenhäuser und Gesundheitsdienste in der gesamten britischen Hauptstadt – führte wochenlang zu anhaltenden weitreichenden Störungen der Patientenversorgung. Die örtlichen National Health Service Trusts, die auf das Labor angewiesen sind, haben nach dem Hackerangriff Tausende von Operationen und Verfahren verschoben, was zur Meldung eines kritischen Vorfalls im gesamten britischen Gesundheitssektor führte.
Für den Cyberangriff wurde eine in Russland ansässige Ransomware-Bande verantwortlich gemacht der Diebstahl von Daten im Zusammenhang mit rund 300 Millionen Patienteninteraktionen eine „bedeutende Anzahl“ von Jahren zurückliegen. Ähnlich wie bei der Datenpanne bei Change Healthcare dürften die Folgen für die Betroffenen erheblich und lebenslang sein.
Einige der Daten wurden bereits online veröffentlicht, um das Labor zur Zahlung eines Lösegelds zu erpressen. Berichten zufolge Synnovis weigerte sich, das Lösegeld der Hacker in Höhe von 50 Millionen US-Dollar zu zahlenwodurch die Bande daran gehindert wird, von dem Hack zu profitieren, aber dennoch verschwindet Die britische Regierung sucht nach einem Plan für den Fall, dass die Hacker Millionen von Gesundheitsakten online gestellt haben.
Einer der NHS-Trusts, der fünf von den Ausfällen betroffene Krankenhäuser in ganz London betreibt, hat Berichten zufolge in den Jahren vor dem Cyberangriff auf Synnovis im Juni die vom britischen Gesundheitswesen geforderten Datensicherheitsstandards nicht eingehalten.
Ticketmaster hat im Zuge des Snowflake-Hacks angeblich 560 Millionen Datensätze gestohlen
Eine Reihe von Datendiebstählen des Cloud-Datengiganten Snowflake entwickelten sich dank der riesigen Datenmengen, die von seinen Firmenkunden gestohlen wurden, schnell zu einem der größten Verstöße des Jahres.
Cyberkriminelle haben Hunderte Millionen Kundendaten von einigen der größten Unternehmen der Welt geklaut – darunter auch angeblich 560 Millionen Datensätze von Ticketmaster, 79 Millionen Datensätze von Advance Auto Parts und rund 30 Millionen Datensätze von TEG – durch die Verwendung gestohlener Anmeldeinformationen von Dateningenieuren mit Zugriff auf die Snowflake-Umgebungen ihres Arbeitgebers. Snowflake seinerseits verlangt (oder erzwingt) von seinen Kunden nicht die Verwendung der Sicherheitsfunktion, die vor Eindringlingen schützt, die auf gestohlenen oder wiederverwendeten Passwörtern beruhen.
Das Incident-Response-Unternehmen Mandiant sagte, dass rund 165 Snowflake-Kunden Daten aus ihren Konten gestohlen hätten, in einigen Fällen eine „erhebliche Menge an Kundendaten“. Nur eine Handvoll der 165 Unternehmen haben bisher bestätigt, dass ihre Umgebungen kompromittiert wurden, darunter auch Zehntausende Mitarbeiterdatensätze Neiman Marcus Und Santander-BankUnd Millionen von Aufzeichnungen von Schülern des Los Angeles Unified School District. Erwarten Sie, dass sich viele Snowflake-Kunden melden werden.
(Un)ehrenhafte Erwähnungen
Cencora benachrichtigt über eine Million, Tendenz steigend, dass das Unternehmen seine Daten verloren hat:
Der US-Pharmariese Cencora hat im Februar einen Datenverstoß offengelegt, bei dem Gesundheitsdaten von Patienten kompromittiert wurden, Informationen, die Cencora durch seine Partnerschaften mit Arzneimittelherstellern erhalten hatte. Cencora hat sich standhaft geweigert zu sagen, wie viele Menschen betroffen sind, aber eine Zählung von Tech zeigt, dass bisher weit über eine Million Menschen benachrichtigt wurden. Cencora gibt an, bis heute mehr als 18 Millionen Patienten versorgt zu haben.
MediSecure-Datenverstoß betrifft halb Australien:
Bei fast 13 Millionen Menschen in Australien – etwa der Hälfte der Bevölkerung des Landes – wurden persönliche Daten und Gesundheitsdaten gestohlen ein Ransomware-Angriff auf den Rezeptanbieter MediSecure im April. MediSecure, das bis Ende 2023 Rezepte für die meisten Australier verteilte, Insolvenz angemeldet kurz nach dem Massendiebstahl von Kundendaten.
Kaiser teilte Gesundheitsdaten von Millionen von Patienten mit Werbetreibenden:
Der US-amerikanische Krankenversicherungsriese Kaiser meldete im April einen Datenverstoß, nachdem er versehentlich die privaten Gesundheitsinformationen von 13,4 Millionen Patienten, insbesondere Website-Suchbegriffe zu Diagnosen und Medikamenten, an Technologieunternehmen und Werbetreibende weitergegeben hatte. Kaiser sagte, es habe ihren Tracking-Code für Website-Analysen verwendet. Der Krankenversicherer gab den Vorfall im Anschluss an mehrere andere Telemedizin-Startups wie Cerebral, Monument und Tempest bekannt und gab zu, dass auch sie Daten mit Werbetreibenden geteilt hatten.
USPS teilte die Postanschrift auch mit Technologiegiganten:
Und dann war der US-Postdienst an der Reihe und wurde dabei erwischt, wie er die Postadressen eingeloggter Benutzer mit Werbetreibenden wie Meta, LinkedIn und Snap teilte, indem er einen ähnlichen, von den Unternehmen bereitgestellten Tracking-Code nutzte. USPS entfernte den Tracking-Code von seiner Website, nachdem Tech den Postdienst im Juli über die missbräuchliche Datenweitergabe informiert hatte, aber die Behörde wollte nicht sagen, wie viele Personen Daten gesammelt hatten. USPS hat im März 2024 über 62 Millionen Informed Delivery-Benutzer.
Datenverstoß bei Evolve Bank betraf Fintech- und Startup-Kunden:
Bei einem Ransomware-Angriff auf die Evolve Bank wurden im Juli persönliche Daten von mehr als 7,6 Millionen Menschen von Cyberkriminellen gestohlen. Evolve ist ein Banking-as-a-Service-Riese, der hauptsächlich Fintech-Unternehmen und Start-ups wie Affirm und Mercury bedient. Infolgedessen hatten viele der Personen, die über den Datenverstoß informiert wurden, vor dem Cyberangriff noch nie von der Evolve Bank gehört, geschweige denn eine Beziehung zu dem Unternehmen gehabt.
National Public Data geht pleite, nachdem Millionen von SSNs gestohlen wurden
Das Unternehmen hinter dem Datenbroker National Public Data beantragte im Oktober Insolvenzschutz nach Kapitel 11, Monate nachdem ein massiver Datenverstoß laut verschiedenen Analysen von Sicherheitsforschern rund drei Milliarden Datensätze offengelegt hatte, von denen rund 270 Millionen Personen betroffen waren. Der Datenbroker gewährte seinen zahlenden Kunden Zugriff auf seine umfangreichen Datenbanken mit Namen, Geburtsdaten, E-Mail- und Postadressen, Telefonnummern und Sozialversicherungsnummern (auch wenn nicht alle Daten korrekt waren). Das Unternehmen sagte, es müsse Insolvenz anmelden, da es nicht mehr die Einnahmen erwirtschaften könne, um die Flut von Sammelklagen und die zunehmende Haftung seitens staatlicher und bundesstaatlicher Aufsichtsbehörden zu bewältigen.
Erstmals veröffentlicht am 28. Juni und aktualisiert am 14. Oktober.