Datenschutzverletzungen können extrem schädlich für Organisationen aller Formen und Größen sein – aber wie diese Unternehmen auf den Vorfall reagieren, kann ihnen den letzten Schlag versetzen. Wir haben einige hervorragende Beispiele dafür gesehen, wie Unternehmen sollte Reaktion auf Datenschutzverletzungen im vergangenen Jahr – ein großes Lob an das Rote Kreuz und Amnesty für ihre Transparenz – 2022 war eine jahrelange Lektion darin, wie man nicht auf eine Datenschutzverletzung reagiert.
Hier ist ein Rückblick auf die schlecht gehandhabten Datenschutzverletzungen in diesem Jahr:
NVIDIA
Der Chiphersteller-Riese Nvidia bestätigte, dass er im Februar einen sogenannten „Cyber-Vorfall“ untersuchte, der später als Datenerpressung bestätigt wurde. Das Unternehmen weigerte sich, viel mehr über den Vorfall zu sagen, und lehnte es auf Druck von Tech ab, zu sagen, wie es kompromittiert, welche Daten gestohlen wurden oder wie viele Kunden oder Mitarbeiter betroffen waren.
Während Nvidia schweigsam blieb, übernahm die mittlerweile berüchtigte Lapsus$-Bande schnell die Verantwortung für den Verstoß und behauptete, sie habe ein Terabyte an Informationen gestohlen, darunter „hoch vertrauliche“ Daten und proprietären Quellcode. Laut Website zur Überwachung von Datenschutzverletzungen Wurde ich pwnedstahlen die Hacker die Zugangsdaten von mehr als 71.000 Nvidia-Mitarbeitern, einschließlich E-Mail-Adressen und Windows-Passwort-Hashes.
DoorDash
Im August trat DoorDash mit dem Angebot an Tech heran, exklusiv über eine Datenschutzverletzung zu berichten, die die persönlichen Daten von DoorDash-Kunden offenlegte. Es ist nicht nur ungewöhnlich, dass Nachrichten über eine nicht bekannt gegebene Verletzung angeboten werden, bevor sie bekannt gegeben werden, es war sogar noch seltsamer, dass das Unternehmen sich weigerte, fast jede Frage zu den Nachrichten zu beantworten, die es uns mitteilen wollte.
Der Lebensmittellieferant bestätigte gegenüber Tech, dass Angreifer auf die Namen, E-Mail-Adressen, Lieferadressen und Telefonnummern von DoorDash-Kunden sowie auf teilweise Zahlungskarteninformationen für eine kleinere Untergruppe von Benutzern zugegriffen haben. Es bestätigte auch, dass Hacker bei DoorDash-Lieferfahrern oder Dashers auf Daten zugegriffen haben, die „hauptsächlich Name und Telefonnummer oder E-Mail-Adresse enthielten“.
DoorDash lehnte es jedoch ab, Tech mitzuteilen, wie viele Benutzer von dem Vorfall betroffen waren – oder sogar, wie viele Benutzer es derzeit hat. DoorDash sagte auch, dass der Verstoß von einem Drittanbieter verursacht wurde, lehnte es jedoch ab, den Anbieter zu nennen, als er von Tech gefragt wurde, und sagte auch nicht, als es entdeckte, dass es kompromittiert wurde.
Samsung
Stunden vor einem langen Feiertag am 4. Juli hat Samsung leise darauf hingewiesene dass seine US-Systeme Wochen zuvor verletzt wurden und dass Hacker die persönlichen Daten von Kunden gestohlen hattenn. In seiner Barebones-Verletzungsmitteilung bestätigte Samsung, dass auch nicht näher bezeichnete „demografische“ Daten, die wahrscheinlich die genauen Geolokalisierungsdaten der Kunden, Browsing- und andere Gerätedaten von den Samsung-Telefonen und Smart-TVs der Kunden enthielten, entnommen wurden.
Jetzt, am Jahresende, hat Samsung immer noch nichts weiter über seinen Hack gesagt. Anstatt die Zeit zu nutzen, um einen Blog-Beitrag zu verfassen, der sagt, welche oder sogar wie viele Kunden betroffen sind, nutzte Samsung die Wochen vor seiner Offenlegung, um eine neue verbindliche Datenschutzrichtlinie zu entwerfen und zu veröffentlichen noch am selben Tag der Offenlegung des Verstoßesewodurch Samsung die genaue Geolokalisierung der Kunden für Werbung und Marketing nutzen kann.
Denn das war offensichtlich Samsungs Priorität.
Revolution
Das Fintech-Startup Revolut bestätigte im September, dass es von einem „hochgradig gezielten Cyberangriff“ getroffen wurde, und teilte Tech damals mit, dass ein „nicht autorisierter Dritter“ „kurzzeitig“ Zugang zu den Daten eines kleinen Prozentsatzes (0,16 %) der Kunden erhalten habe Zeitspanne.“
Revolut wollte jedoch nicht genau sagen, wie viele Kunden betroffen waren. Laut seiner Website hat das Unternehmen ungefähr 20 Millionen Kunden; 0,16 % würden etwa 32.000 Kunden entsprechen. Laut der Offenlegung des Verstoßes von Revolut gab das Unternehmen jedoch an, dass 50.150 Kunden von dem Verstoß betroffen waren, darunter 20.687 Kunden im Europäischen Wirtschaftsraum und 379 litauische Bürger.
Das Unternehmen lehnte es auch ab zu sagen, auf welche Arten von Daten zugegriffen wurde. In einer Nachricht an betroffene Kunden teilte das Unternehmen mit, dass „keine Kartendaten, PINs oder Passwörter abgerufen wurden“. Revoluts Offenlegung von Datenschutzverletzungen besagt jedoch, dass Hacker wahrscheinlich auf Teilkartenzahlungsdaten sowie auf Namen, Adressen, E-Mail-Adressen und Telefonnummern von Kunden zugegriffen haben.
NHS-Anbieter Advanced
Advanced, ein IT-Dienstleister des britischen NHS, bestätigte im Oktober, dass Angreifer während eines Ransomware-Angriffs im August Daten von seinen Systemen gestohlen haben. Der Vorfall hat eine Reihe von Diensten der Organisation lahmgelegt, darunter das Patientenmanagementsystem Adastra, das nicht für Notfälle zuständige Personen bei der Entsendung von Krankenwagen und Ärzten beim Zugriff auf Patientenakten unterstützt, und Carenotes, das von Stiftungen für psychische Gesundheit für Patienteninformationen verwendet wird.
Während Advanced Tech mitteilte, dass seine Incident Responder – Microsoft und Mandiant – LockBit 3.0 als die bei dem Angriff verwendete Malware identifiziert hatten, lehnte das Unternehmen es ab zu sagen, ob auf Patientendaten zugegriffen worden war. Das Unternehmen gab zu, dass „einige Daten“ von über einem Dutzend NHS-Trusts „kopiert und exfiltriert“ wurden, weigerte sich jedoch zu sagen, wie viele Patienten möglicherweise betroffen waren oder welche Arten von Daten gestohlen wurden.
Advanced sagte, es gebe „keine Beweise“ dafür, dass die fraglichen Daten an anderer Stelle außerhalb unserer Kontrolle existieren und „die Wahrscheinlichkeit eines Schadens für Einzelpersonen gering ist“. Als Tech ihn erreichte, weigerte sich Simon Short, Chief Operating Officer von Advanced, zu sagen, ob Patientendaten betroffen sind oder ob Advanced über die technischen Mittel wie Protokolle verfügt, um zu erkennen, ob Daten exfiltriert wurden.
Twilio
Im Oktober bestätigte der US-Messaging-Riese Twilio, dass er von einem zweiten Angriff betroffen war, bei dem Cyberkriminelle auf Kundenkontaktdaten zugegriffen hatten. Die Nachricht von der Verletzung, die von denselben „0ktapus“-Hackern ausgeführt wurde, die Twilio im August kompromittiert hatten, wurde in einer Aktualisierung eines langen Vorfallberichts begraben und enthielt nur wenige Details über die Art der Verletzung und die Auswirkungen auf die Kunden.
Laurelle Remzi, Sprecherin von Twilio, lehnte es ab, die Anzahl der von der Verletzung im Juni betroffenen Kunden zu bestätigen oder eine Kopie der Mitteilung zu teilen, die das Unternehmen angeblich an die Betroffenen gesendet hat. Remzi lehnte es auch ab zu sagen, warum Twilio vier Monate brauchte, um den Vorfall öffentlich zu machen.
Rackspace
Der Enterprise-Cloud-Computing-Riese Rackspace wurde am 2. Dezember von einem Ransomware-Angriff heimgesucht, wodurch Tausende von Kunden weltweit keinen Zugriff auf ihre Daten, einschließlich archivierter E-Mails, Kontakte und Kalendereinträge, hatten. Rackspace wurde wegen seiner Reaktion weithin kritisiert, weil es wenig über den Vorfall oder seine Bemühungen zur Wiederherstellung der Daten gesagt hatte.
In einem der ersten Updates des Unternehmens, das am 6. Dezember veröffentlicht wurde, sagte Rackspace, dass es noch nicht festgestellt habe, „welche Daten betroffen sind, wenn überhaupt“, und fügte hinzu, dass es „die Kunden gegebenenfalls benachrichtigen würde“, wenn sensible Informationen betroffen seien. Wir haben jetzt Ende Dezember und die Kunden wissen nicht, ob ihre vertraulichen Informationen gestohlen wurden.
LastPass
Und nicht zuletzt: Der angeschlagene Passwort-Manager-Gigant LastPass bestätigte drei Tage vor Weihnachten, dass Hacker die Schlüssel zu seinem Kingdo gestohlen hattenm und wochen zuvor die verschlüsselten Passwort-Tresore von Kunden exfiltriert. Für die 33 Millionen LastPass-Kunden, deren verschlüsselte Passwort-Tresore nur so sicher sind wie die Kunden-Master-Passwörter, mit denen sie gesperrt werden, ist die Sicherheitsverletzung ungefähr so schädlich wie es nur geht.
Aber der Umgang von LastPass mit der Sicherheitsverletzung zog eine schnelle Rüge und heftige Kritik aus der Sicherheitsgemeinschaft nach sich, nicht zuletzt, weil LastPass sagte, dass es keine Maßnahmen für Kunden zu ergreifen gebee. Basierend auf einem geparsten Lesen seiner Datenverletzungsmitteilungewusste LastPass, dass die verschlüsselten Passwort-Tresore von Kunden bereits im November hätten gestohlen werden können, nachdem das Unternehmen bestätigt hatte, dass auf seinen Cloud-Speicher zugegriffen wurde, indem ein Satz von Cloud-Speicherschlüsseln von Mitarbeitern verwendet wurde, die während einer früheren Sicherheitsverletzung im August gestohlen, aber vom Unternehmen nicht widerrufen worden waren.
Die Schuld und Schuld für den Verstoß liegt eindeutig bei LastPass, aber die Handhabung war ungeheuerlich schlecht. Wird das Unternehmen überleben? Vielleicht. Aber durch den grausamen Umgang mit seiner Datenschutzverletzung hat LastPass seinen Ruf besiegelt.