In den letzten Jahren hat Tech auf einige der schlimmsten, schlecht behandelten Datenschutzverletzungen und Sicherheitsvorfälle zurückgeblickt, in der Hoffnung – vielleicht! – andere Konzernriesen würden darauf achten und vermeiden, die gleichen Katastrophen wie früher zu verursachen. Es überrascht absolut niemanden, dass wir dieses Jahr wieder viele der gleichen schlechten Verhaltensweisen einer völlig neuen Klasse von Unternehmen auflisten.
23andMe machte Benutzer für die massive Datenpanne verantwortlich
Im vergangenen Jahr verlor der Gentest-Riese 23andMe die genetischen und Abstammungsdaten von fast 7 Millionen Kunden aufgrund eines Datenverstoßes, bei dem Hacker sich mit brutaler Gewalt Zugang zu Tausenden von Konten verschafften, um Daten von weiteren Millionen zu erbeuten. 23andMe führte verspätet die Multi-Faktor-Authentifizierung ein, eine Sicherheitsfunktion, die die Konto-Hacks hätte verhindern können.
Wenige Tage nach Neujahr begann 23andMe damit, die Schuld für den massiven Datendiebstahl auf die Opfer abzuwälzen und behauptete, die Nutzer hätten ihre Konten nicht ausreichend gesichert. Anwälte, die die Gruppe von Hunderten von 23andMe-Nutzern vertraten, die das Unternehmen nach dem Hack verklagt hatten, sagten, die Schuldzuweisungen seien „unsinnig“. Die britischen und kanadischen Behörden kündigten kurz darauf eine gemeinsame Untersuchung des Datenschutzverstoßes von 23andMe im vergangenen Jahr an.
23andMe entließ später im Jahr 40 % seiner Mitarbeiter, da das angeschlagene Unternehmen vor einer ungewissen finanziellen Zukunft steht – ebenso wie die riesige Datenbank des Unternehmens mit genetischen Daten seiner Kunden.
Es dauerte Monate, bis Change Healthcare bestätigte, dass Hacker die meisten amerikanischen Gesundheitsdaten gestohlen hatten
Change Healthcare ist ein Gesundheitstechnologieunternehmen, von dem bis Februar dieses Jahres nur wenige gehört hatten, als ein Cyberangriff das Unternehmen dazu zwang, sein gesamtes Netzwerk abzuschalten, was zu sofortigen und großflächigen Ausfällen in den gesamten Vereinigten Staaten führte und einen Großteil des US-amerikanischen Gesundheitssystems zum Erliegen brachte. Change, im Besitz des Krankenversicherungsriesen UnitedHealth Group, kümmert sich um die Abrechnung und Versicherung für Tausende von Gesundheitsdienstleistern und Arztpraxen in den gesamten USA und wickelt jedes Jahr zwischen einem Drittel und der Hälfte aller US-amerikanischen Gesundheitstransaktionen ab.
Der Umgang des Unternehmens mit dem Hack – verursacht durch einen Verstoß gegen ein Basisbenutzerkonto mit fehlender Multi-Faktor-Authentifizierung – wurde von Amerikanern kritisiert, die ihre Medikamente nicht auffüllen oder Krankenhausaufenthalte nicht genehmigen konnten; betroffene Gesundheitsdienstleister, die infolge des Cyberangriffs pleite gingen, und Gesetzgeber, die den Vorstandsvorsitzenden des Unternehmens während einer Kongressanhörung im Mai wegen des Hacks befragten. Change Healthcare zahlte den Hackern ein Lösegeld in Höhe von 22 Millionen US-Dollar – wovon die Regierung schon lange gewarnt hat, dass es Cyberkriminellen nur dabei hilft, von Cyberangriffen zu profitieren – und musste dann ein neues Lösegeld aufbringen, um es zu verlangen ein anderer Hackergruppe aufgefordert, ihre gestohlenen Daten zu löschen.
Letztendlich dauerte es bis Oktober – etwa sieben Monate später –, bis bekannt wurde, dass bei dem Cyberangriff die privaten Gesundheitsdaten von mehr als 100 Millionen Menschen gestohlen wurden. Zugegeben, es muss eine Weile gedauert haben, denn allen Berichten zufolge handelte es sich um die größte Datenschutzverletzung im Gesundheitswesen des Jahres, wenn nicht sogar überhaupt.
Der Synnovis-Hack störte das britische Gesundheitswesen monatelang
Der NHS litt dieses Jahr unter monatelangen Störungen, nachdem Synnovis, ein in London ansässiger Anbieter von Pathologiedienstleistungen, im Juni von einem Ransomware-Angriff betroffen war. Der von der Ransomware-Gruppe Qilin behauptete Angriff führte dazu, dass Patienten im Südosten Londons mehr als drei Monate lang keine Blutuntersuchungen von ihren Ärzten erhalten konnten, und führte zur Absage tausender ambulanter Termine und mehr als 1.700 chirurgischer Eingriffe.
Angesichts des Angriffs, der Experten Laut Unite, der führenden britischen Gewerkschaft, hätte dies verhindert werden können, wenn die Zwei-Faktor-Authentifizierung vorhanden gewesen wäre. angekündigt dass die Mitarbeiter von Synnovis im Dezember fünf Tage lang streiken werden. Unite sagte, der Vorfall habe „alarmierende Auswirkungen auf die Mitarbeiter gehabt, die während der Bearbeitung des Angriffs monatelang gezwungen waren, zusätzliche Stunden zu arbeiten und keinen Zugang zu wichtigen Computersystemen zu haben.“
Es bleibt unbekannt, wie viele Patienten von dem Vorfall betroffen sind. Die Ransomware-Gruppe Qilin gibt an, 400 Gigabyte an sensiblen Daten durchgesickert zu haben, die angeblich von Synnovis gestohlen wurden, darunter Patientennamen, Registrierungsnummern des Gesundheitssystems und Beschreibungen von Bluttests.
Snowflake-Kunden-Hacks führten zu schwerwiegenden Datenschutzverletzungen
Der Cloud-Computing-Riese Snowflake stand dieses Jahr im Mittelpunkt einer Reihe von Massen-Hacks, die auf seine Firmenkunden wie AT&T, Ticketmaster und Santander Bank abzielten. Die Hacker, denen die Einbrüche später strafrechtlich zur Last gelegt wurden, drangen mithilfe von Anmeldedaten ein, die von Malware gestohlen wurden, die auf den Computern von Mitarbeitern von Unternehmen gefunden wurde, die auf Snowflake angewiesen sind. Da Snowflake die Multi-Faktor-Sicherheit nicht vorgeschrieben einsetzte, konnten die Hacker in riesige Datenbestände Hunderter Snowflake-Kunden eindringen, diese stehlen und die Daten als Lösegeld erpressen.
Snowflake wiederum äußerte sich wenig zu den damaligen Vorfällen, räumte jedoch ein, dass die Verstöße durch eine „gezielte Kampagne, die sich an Benutzer mit Ein-Faktor-Authentifizierung richtete“, verursacht wurden. Später führte Snowflake den Multi-Faktor-Standard für seine Kunden ein, in der Hoffnung, einen Wiederholungsvorfall zu vermeiden.
Columbus, Ohio, verklagte einen Sicherheitsforscher, weil er wahrheitsgemäß über einen Ransomware-Angriff berichtet hatte
Als die Stadt Columbus, Ohio, im Sommer einen Cyberangriff meldete, versicherte der Bürgermeister der Stadt, Andrew Ginther, den besorgten Bewohnern, dass die gestohlenen Stadtdaten „entweder verschlüsselt oder beschädigt“ seien und dass sie für die Hacker, die sie gestohlen hatten, unbrauchbar seien. Gleichzeitig fand ein Sicherheitsforscher, der für seinen Job Datenschutzverletzungen im Dark Web verfolgt, Beweise dafür, dass die Ransomware-Crew tatsächlich Zugriff auf die Daten der Bewohner – mindestens einer halben Million Menschen – hatte, einschließlich ihrer Sozialversicherungsnummern und Führerscheine sowie Festnahmeakten, Informationen zu Minderjährigen und Überlebenden häuslicher Gewalt. Der Forscher machte Journalisten auf den Datenschatz aufmerksam.
Die Stadt erfolgreich eine einstweilige Verfügung erwirkt gegen den Forscher, die von ihm gefundenen Beweise für den Verstoß weiterzugeben, ein Schritt, der als Versuch der Stadt angesehen wird, den Sicherheitsforscher zum Schweigen zu bringen, anstatt den Verstoß zu beheben. Die Stadt später ließ seine Klage fallen.
Dank eines US-amerikanischen Hintertürgesetzes hat Salt Typhoon Telefon- und Internetanbieter gehackt
Ein 30 Jahre altes Backdoor-Gesetz kam in diesem Jahr wieder zum Vorschein, nachdem Hacker namens Salt Typhoon – eine von mehreren von China unterstützten Hackergruppen, die den digitalen Grundstein für einen möglichen Konflikt mit den Vereinigten Staaten legten – in den Netzwerken einiger von ihnen entdeckt wurden die größten US-amerikanischen Telefon- und Internetunternehmen. Es wurde festgestellt, dass die Hacker auf Echtzeitanrufe, Nachrichten und Kommunikationsmetadaten hochrangiger US-Politiker und hochrangiger Beamter, darunter Präsidentschaftskandidaten, zugegriffen hatten.
Berichten zufolge drangen die Hacker in die Abhörsysteme einiger Unternehmen ein, die die Telekommunikationsunternehmen nach der Verabschiedung des Gesetzes namens CALEA im Jahr 1994 einrichten mussten. Dank des ständigen Zugriffs auf diese Systeme – und die Daten, die die Telekommunikationsunternehmen erhalten mussten Unternehmen setzen auf Amerikaner – die US-Regierung rät nun US-Bürgern und älteren Amerikanern, Ende-zu-Ende-verschlüsselte Messaging-Apps zu verwenden, damit niemand, nicht einmal die chinesischen Hacker, auf ihre private Kommunikation zugreifen kann.
Moneygram hat immer noch nicht gesagt, wie vielen Personen bei einem Datenverstoß Transaktionsdaten gestohlen wurden
MoneyGram, der US-Geldtransferriese mit mehr als 50 Millionen Kunden, wurde im September von Hackern angegriffen. Das Unternehmen bestätigte den Vorfall mehr als eine Woche später, nachdem es bei Kunden tagelang zu ungeklärten Ausfällen gekommen war, und gab lediglich ein nicht näher bezeichnetes „Cybersicherheitsproblem“ bekannt. MoneyGram hat nicht gesagt, ob Kundendaten gestohlen wurden, aber die britische Datenschutzbehörde teilte Tech Ende September mit, dass sie von dem in den USA ansässigen Unternehmen einen Bericht über Datenschutzverletzungen erhalten habe, der darauf hindeutet, dass Kundendaten gestohlen worden seien.
Wochen später gab MoneyGram zu, dass Hacker während des Cyberangriffs Kundendaten gestohlen hatten, darunter Sozialversicherungsnummern und staatliche Ausweisdokumente sowie Transaktionsinformationen wie Datum und Betrag jeder Transaktion. Das Unternehmen gab zu, dass die Hacker auch strafrechtliche Ermittlungsinformationen über „eine begrenzte Anzahl“ von Kunden gestohlen hätten. MoneyGram hat immer noch nicht gesagt, bei wie vielen Kunden Daten gestohlen wurden oder wie viele Kunden es direkt benachrichtigt hat.
Hot Topic bleibt Stillschweigen, nachdem 57 Millionen Kundendaten online veröffentlicht wurden
Mit 57 Millionen betroffenen Kunden gilt der Verstoß des US-Einzelhandelsriesen Hot Topic im Oktober als einer der größten Verstöße gegen Einzelhandelsdaten aller Zeiten. Trotz des enormen Ausmaßes des Verstoßes hat Hot Topic den Vorfall jedoch weder öffentlich bestätigt noch Kunden oder staatliche Generalstaatsanwaltschaften auf den Verstoß aufmerksam gemacht. Der Einzelhändler ignorierte auch die mehrfachen Bitten von Tech um einen Kommentar.
Website zur Meldung von Verstößen Wurde ich pwned?das eine Kopie der gehackten Daten erhalten hatte, machte fast 57 Millionen betroffene Kunden darauf aufmerksam, dass zu den gestohlenen Daten ihre E-Mail-Adressen, Postadressen, Telefonnummern, Einkäufe, ihr Geschlecht und ihr Geburtsdatum gehören. Zu den Daten gehörten auch teilweise Kreditkartendaten, darunter Kreditkartentyp, Ablaufdaten und die letzten vier Ziffern der Kartennummer.