Stunden vor einer langen Am Feiertagswochenende in den Vereinigten Staaten gab der Elektronikriese Samsung bekannt, dass seine US-Systeme einen Monat zuvor von böswilligen Hackern angegriffen wurden, die einbrachen und sich mit Unmengen persönlicher Informationen über eine nicht näher bezeichnete Anzahl seiner Kunden davonmachten.
Die Datenschutzverletzung ist wahrscheinlich erheblich. Samsung ist eines der größten Technologieunternehmen mit Hunderten Millionen Gerätebesitzern – und Benutzern – auf der ganzen Welt. Aber Samsungs schlecht erklärter Hinweis auf Datenschutzverletzungen in Verbindung mit seiner unerklärlichen Verzögerung bei der Offenlegung der Datenschutzverletzung ließ die Kunden die Teeblätter lesen und keine klare Vorstellung davon haben, was sie tun können, um sich zu schützen, wenn überhaupt.
Tech hat markiert und kommentierte die Datenschutzverletzungsmitteilung von Samsung ?️ mit unserer Analyse dessen, was es bedeutet – und was Samsung auslässt.
Sprecher von Samsung lehnten es über das Krisenkommunikationsunternehmen Edelman ab, die Fragen zu beantworten, die wir vor der Veröffentlichung gesendet hatten, und verwiesen auf die „laufende Natur unserer Koordination mit den Strafverfolgungsbehörden“.
Was Samsung in seiner Datenschutzverletzungsmitteilung gesagt hat
Samsung weiß, dass es sich bei einem Sicherheitsvorfall um eine Datenschutzverletzung handelt
Nicht alle Sicherheitsvorfälle werden gleichermaßen erstellt. Böswillige Hacker stehlen nicht immer Daten; es hängt davon ab, wie die Systeme und das Netzwerk eines Unternehmens eingerichtet sind und wie weit die Hacker vordringen. In diesem Fall weiß Samsung das Daten wurden „erworben“ ?️ – oder exfiltriert – von den Hackern.
Denken Sie daran, dass dies nur die anfängliche Offenlegung des Verstoßes ist. Samsung bietet nur das Minimum von dem, was das Unternehmen Ihnen zu sagen hat. Die Tatsache, dass Hacker auf die persönlichen Daten von Kunden zugegriffen haben, zeigt entweder, dass Samsung diese Daten nicht so gut geschützt hat, wie es sollte, oder dass die Hacker einen so tiefen Zugriff auf das Netzwerk von Samsung hatten, dass sie auf Kundendaten und vermutlich andere hochsensible Dateien zugreifen konnten. Dies ist auch Samsungs zweite bekannte Datenschutzverletzung in diesem Jahr, nachdem die Hacker-Crew von Lapsus$ im März Quellcode und andere vertrauliche interne Dokumente aus den Systemen des Unternehmens gestohlen hatte, obwohl keine Kundeninformationen entwendet wurden.
Persönliche Daten von Kunden wurden gestohlen
Samsung sagt in seiner Datenschutzverletzung ?️ dass die Hacker „in einigen Fällen“ Kundennamen, Kontakt- und demografische Informationen, Geburtsdatum und Produktregistrierungsinformationen nahmen. Das deutet darauf hin, dass nicht jeder Samsung-Kunde betroffen ist, aber es könnte auch bedeuten, dass Samsung noch nicht weiß, wie viele Daten bei seiner Datenpanne gestohlen wurden.
Namen und Geburtsdaten sind personenbezogene Daten. Es ist weniger klar, welche anderen Daten gestohlen wurden, aber die Hinweise finden sich in der Datenschutzerklärung.
Samsung teilte Tech zuvor mit, dass Kunden bei der Registrierung ihrer Geräte Informationen angeben, um auf „Service und Support, Garantieinformationen, Software-Updates und exklusive Angebote für den Kauf zukünftiger Samsung-Produkte“ zuzugreifen. Zu diesen Daten gehören das Samsung-Produktmodell, das Kaufdatum und die eindeutige Kennung des Geräts. B. eine IMEI-Nummer für Telefone und Werbe-IDs oder Seriennummern für andere Geräte wie Smart-TVs.
Eindeutige Kennungen sind pseudonym konzipiert, sodass diese zufälligen Buchstaben- und Zahlenfolgen im Falle einer Datenpanne nicht viel nützen würden. Eindeutige Kennungen sind jedoch nicht vollständig anonymisiert und können mit anderen Daten für gezielte Werbung oder zur Identifizierung von Benutzern oder zur Verfolgung der Online-Aktivitäten einer Person kombiniert werden.
Demografische Daten umfassen genaue Geolokalisierungsdaten
Die Datenschutzverletzung von Samsung enthält eine vage Erwähnung von „demografischen Informationen“, die von den Hackern gestohlen wurden. Samsung sagt, es sammelt diese nicht näher bezeichneten demografischen Informationen ?️ um „dabei zu helfen, mit unseren Produkten und Dienstleistungen das bestmögliche Erlebnis zu bieten“ – oder eine andere Art, gezielte Werbung auszudrücken.
Samsungs USA Datenschutz-Bestimmungen erklärt dies genauer. „Werbenetzwerke ermöglichen es uns, unsere Nachrichten unter Berücksichtigung demografischer Daten, abgeleiteter Interessen der Benutzer und des Browserkontexts auf Benutzer auszurichten. Diese Netzwerke können die Online-Aktivitäten der Benutzer im Laufe der Zeit verfolgen, indem sie Informationen auf automatisierte Weise sammeln, einschließlich durch die Verwendung von Browser-Cookies, Web-Beacons, Pixeln, Gerätekennungen, Serverprotokollen und anderen ähnlichen Technologien.“
Samsung lehnte es ab, Tech mitzuteilen, welche spezifischen Daten „demografische Informationen“ enthalten, aber es gibt weitere Hinweise in den separaten Angaben des Unternehmens Datenschutzerklärung für Werbungauf die in der Datenschutzverletzungsmitteilung verlinkt wird, und erklärt, welche demografischen Informationen enthalten sind.
Die Liste ist lang, und Sie sollten sich die Zeit nehmen, sie selbst genau zu lesen. Die gekürzte Version ist, dass Samsung technische Informationen über Ihr Telefon oder andere Geräte sammelt, wie Sie Ihr Gerät verwenden, wie z. B. welche Apps Sie installiert haben und welche Websites Sie besuchen, und wie Sie mit Anzeigen interagieren, die von Werbetreibenden und Datenbrokern verwendet werden, um daraus zu schließen Informationen über dich. Die Daten können auch Ihre „genauen Geolokalisierungsdaten“ enthalten, die verwendet werden können, um zu identifizieren, wohin Sie gehen und mit wem Sie sich treffen. Samsung sagt, dass es Informationen darüber sammelt, was Sie auf seinen Smart-TVs sehen, einschließlich der Kanäle und Programme, die Sie angesehen haben.
Samsung sagt auch, dass es „andere Verhaltens- und demografische Daten von vertrauenswürdigen Datenquellen von Drittanbietern erhalten kann“, was bedeutet, dass Samsung Daten von anderen Unternehmen kauft und sie mit seinen eigenen Speichern von Kundeninformationen kombiniert, um mehr über Sie zu erfahren, wiederum für gezielte Werbung. Samsung würde nicht sagen, von welchen Unternehmen, etwa Datenbrokern, es diese Daten bezieht.
Aber dieselben Daten in den Händen von schlechten Schauspielern können viel über eine Person und ihre Online-Gewohnheiten verraten.
Warum sagt Samsung nichts davon in seiner Datenschutzverletzungsmitteilung? Obwohl die Daten möglicherweise nicht persönlich identifizierbar sind, sind sie dennoch persönlicher Natur, da sie mit Vorlieben, Vorlieben und unseren Aktivitäten in der realen Welt verknüpft sind, weshalb die wesentlichen Details dessen, was Unternehmen wie Samsung über Sie sammeln, oft darin verborgen sind die Datenschutzrichtlinien, die niemand liest (und daran sind wir alle schuld).
Samsung lehnte es ab zu sagen, ob von Dritten stammende Daten bei seiner Verletzung kompromittiert wurden, bestritt unsere Charakterisierungen jedoch nicht, als Sprecher vor der Veröffentlichung erreicht wurden.
Was Samsung in seiner Datenschutzverletzung nicht sagt
Wie viele Kunden betroffen sind, will Samsung nicht sagen
Samsung lehnte es ab, Tech mitzuteilen, wie viele Kunden von der Verletzung betroffen sind. Es könnte sein, dass entweder Samsung es nicht weiß, was unwahrscheinlich ist, da es bereits Kunden per E-Mail benachrichtigt hat, von denen es glaubt, dass sie betroffen sind. Oder, was ist wahrscheinlicher ?️ist, dass die Zahl der betroffenen Kunden so groß ist, dass Samsung Sie nicht wissen lassen will, weil es dem Unternehmen peinlich wäre.
Samsung hat Hunderte Millionen Nutzer, gibt aber selten bekannt, wie viele Kunden es hat. Selbst 1 % der betroffenen Kunden könnten immer noch Millionen oder zig Millionen betroffene Benutzer ausmachen.
Es ist unklar, warum Sozialversicherungsnummern erwähnt werden
Der Hinweis auf Datenschutzverletzung notiert auffällig ?️ dass der Verstoß „keine Auswirkungen auf Sozialversicherungsnummern oder Kredit- und Debitkartennummern hatte“. Auf den ersten Blick beruhigend, aber der Wortlaut ist unklar. Tech fragte Samsung, ob es Sozialversicherungsnummern sammelt und speichert und dass diese Daten nicht betroffen sind, aber das Unternehmen lehnte es ab zu sagen – nur dass das Problem „keine Auswirkungen“ auf Sozialversicherungsnummern hatte. Samsung sammelt Sozialversicherungsnummern als Teil seiner Finanzierungsoptionen und als a Voraussetzung für Benutzer von Samsung Money.
Warum hat es einen Monat gedauert, Kunden zu benachrichtigen?
Anschauen die Zeitleiste des Verstoßes ?️, sagt Samsung, dass die Hacker „Ende Juli 2022“ Daten gestohlen haben, die eine großzügige Lesart als jeden Zeitpunkt nach Mitte Juli interpretieren könnte. Samsung könnte das Datum offenlegen – wenn es es weiß. Es ist auch erwähnenswert, dass dies das Datum ist, an dem Samsung sagt, dass Daten aus seinem Netzwerk exfiltriert wurden, und dies nicht beinhaltet, wie viel Zeit die Hacker in Samsungs Systemen verbracht haben, bevor sie schließlich entdeckt wurden. Es entdeckte die Exfiltration von Daten am 4. August, was bedeutet, dass Samsung wochenlang nicht wusste, dass Kundendaten gestohlen wurden.
Die Offenlegung der Verletzung einen Monat später, nur wenige Stunden vor Geschäftsschluss an einem Freitag vor einem langen Feiertagswochenende? Nun, das ist einfach schlechte PR.
Samsung hat seine Datenschutzrichtlinie aktualisiert, als es seinen Verstoß bekannt gab
Am selben Tag gab Samsung auch seine Datenpanne bekannt hat eine neue Datenschutzerklärung veröffentlicht an seine Benutzer. Dank eines Lesers, der Tech darauf aufmerksam gemacht hat, gilt jetzt die neue Richtlinie heißt es ausdrücklich ?️ dass Samsung mit Zustimmung des Benutzers die „genaue Geolokalisierung“ eines Kunden für Marketing und Werbung verwenden kann. Die neue Politik auch jetzt buchstabiert ?️ wie lange Samsung Daten speichert, die Benutzer über die Quick Share-Funktion teilen. Samsung sagt, dass es „die von Ihnen geteilten Inhalte sammeln kann, die 3 Tage lang verfügbar bleiben“.
Tech fragte Samsung, wie es definiert, was es als Benutzereinwilligung definiert, aber ein Sprecher wollte es nicht sagen. Samsung wollte nicht sagen, aus welchem Grund es eine neue Datenschutzrichtlinie vorangetrieben hat, behauptete jedoch, das Update sei „nicht im Zusammenhang“ mit dem Vorfall und zuvor geplant gewesen.