Dieses Jahr, 2023, war ein schreckliches Jahr für Datenschutzverletzungen, ähnlich wie das Jahr davor (und das Jahr davor usw.). In den letzten 12 Monaten haben wir gesehen, wie Hacker ihre Ausnutzung von Fehlern in beliebten Dateiübertragungstools verstärkt haben, um Tausende von Organisationen zu kompromittieren. Ransomware-Banden wenden aggressive neue Taktiken an, um ihre Opfer zu erpressen; Und Angreifer zielen weiterhin auf unterbesetzte Organisationen wie Krankenhäuser ab, um hochsensible Daten wie Gesundheitsinformationen und Versicherungsdaten von Patienten auszuschleusen.
Laut Daten des US-Gesundheitsministeriums (HHS) vom Oktober kommt es tatsächlich zu Verstößen im Gesundheitswesen Betroffen waren mehr als 88 Millionen Menschen, ein Anstieg um 60 % im Vergleich zum Vorjahr. Und dabei sind die letzten beiden Monate des Jahres noch nicht einmal berücksichtigt.
Wir haben die verheerendsten Datenschutzverstöße des Jahres 2023 zusammengestellt. Wir hoffen, dass wir diese Liste nicht vor Jahresende aktualisieren müssen …
Fortra GoAnywhere
Nur wenige Wochen nach Beginn des Jahres 2023 nutzten Hacker eine Zero-Day-Schwachstelle in der verwalteten Dateiübertragungssoftware GoAnywhere von Fortra aus und ermöglichten so Massen-Hackerangriffe auf mehr als 130 Unternehmen. Diese Verletzlichkeit, verfolgt als CVE-2023-0669wurde als Zero-Day bekannt, da es aktiv ausgenutzt wurde, bevor Fortra Zeit hatte, einen Patch zu veröffentlichen.
Die Massen-Hacks, die diesen kritischen Remote-Injection-Fehler ausnutzten, wurden schnell von der berüchtigten Ransomware- und Erpresserbande Clop für sich beansprucht, die Daten von mehr als 130 Opferorganisationen stahl. Zu den Betroffenen gehörten NationBenefits, ein in Florida ansässiges Technologieunternehmen, das seinen über 20 Millionen Mitgliedern in den Vereinigten Staaten Zusatzleistungen bietet; Brightline, ein virtueller Coaching- und Therapieanbieter für Kinder; Kanadischer Finanzierungsriese Investissement Québec; Hitachi Energy mit Sitz in der Schweiz; und die Stadt Toronto, um nur einige zu nennen.
Wie Tech im März enthüllte, erfuhren einige Opferorganisationen, zwei Monate nachdem die Nachricht von den Massen-Hacks zum ersten Mal bekannt wurde, erst, dass Daten aus ihren GoAnywhere-Systemen exfiltriert worden waren, nachdem sie jeweils eine Lösegeldforderung erhalten hatten. Fortra, das Unternehmen, das das GoAnywhere-Tool entwickelt hat, teilte diesen Organisationen zuvor mit, dass ihre Daten von dem Vorfall nicht betroffen seien.
Royal Mail
Der Januar war ein arbeitsreicher Monat für Cyberangriffe, da auch der britische Postriese Royal Mail bestätigte, dass er Opfer eines Ransomware-Angriffs geworden war.
Dieser Cyberangriff, der erstmals am 17. Januar von Royal Mail bestätigt wurde, verursachte monatelange Störungen und führte dazu, dass der britische Postgigant keine Briefe oder Pakete an Ziele außerhalb des Vereinigten Königreichs bearbeiten oder versenden konnte. Bei dem Vorfall, der von der mit Russland verbundenen LockBit-Ransomware-Bande behauptet wurde, kam es auch zum Diebstahl sensibler Daten, die die Hackergruppe auf ihrer Dark-Web-Leak-Site veröffentlichte. Zu diesen Daten gehörten technische Informationen, Personal- und Disziplinarunterlagen des Personals, Einzelheiten zu Gehältern und Überstundenzahlungen und sogar die Covid-19-Impfunterlagen eines Mitarbeiters.
Das volle Ausmaß des Datenschutzverstoßes ist weiterhin unbekannt.
3CX
Der softwarebasierte Telefonsystemhersteller 3CX wird von mehr als 600.000 Organisationen weltweit mit mehr als 12 Millionen aktiven täglichen Benutzern verwendet. Doch im März wurde das Unternehmen von Hackern kompromittiert, die es auf seine nachgelagerten Kunden abgesehen hatten, indem sie Malware in die 3CX-Client-Software schleusten, während diese sich noch in der Entwicklung befand. Dieses Eindringen wurde Labyrinth Chollima zugeschrieben, einer Untereinheit der berüchtigten Lazarus Group, der Hacking-Einheit der nordkoreanischen Regierung, die für heimliche Hacks gegen Kryptowährungsbörsen bekannt ist.
Bis heute ist nicht bekannt, wie viele 3CX-Kunden Ziel dieses dreisten Supply-Chain-Angriffs waren. Wir wissen jedoch, dass der Verstoß durch einen weiteren Angriff auf die Lieferkette verursacht wurde. Nach Angaben von Mandiant, einem Unternehmen von Google Cloud, haben Angreifer 3CX über eine mit Malware infizierte Version der Finanzsoftware X_Trader kompromittiert, die auf dem Laptop eines 3CX-Mitarbeiters gefunden wurde.
Kopf
Im April griffen Hacker den britischen Outsourcing-Riesen Capita an, zu dessen Kunden der National Health Service und das britische Ministerium für Arbeit und Renten gehören. Die Folgen dieses Hacks erstreckten sich über Monate, da immer mehr Capita-Kunden erfuhren, dass sensible Daten gestohlen worden waren, viele Wochen nachdem die Kompromittierung zum ersten Mal stattgefunden hatte. Zu den Betroffenen gehörte auch das Universities Superannuation Scheme, Großbritanniens größter privater Rentenanbieter, der im Mai bestätigte, dass wahrscheinlich auf die persönlichen Daten von 470.000 Mitgliedern zugegriffen wurde.
Dies war nur der erste Cybersicherheitsvorfall, der Capita in diesem Jahr traf. Nicht lange nach dem großen Datenverstoß bei Capita erfuhr Tech, dass der Outsourcing-Riese seit 2016 Tausende von Dateien mit einer Gesamtgröße von 655 Gigabyte im Internet offengelegt hatte.
MOVEit-Übertragung
Die Massenausnutzung von MOVEit Transfer, einem weiteren beliebten Dateiübertragungstool, das von Unternehmen zum sicheren Austausch von Dateien verwendet wird, bleibt der größte und schädlichste Verstoß im Jahr 2023. Die Folgen dieses Vorfalls – der immer wieder auftritt – begannen im Mai, als Progress Software dies bekannt gab eine als kritisch eingestufte Zero-Day-Schwachstelle in MOVEit Transfer. Dieser Fehler ermöglichte es der Clop-Bande, in diesem Jahr eine zweite Runde von Massen-Hacks durchzuführen, um die sensiblen Daten Tausender MOVEit Transfer-Kunden zu stehlen.
Den aktuellsten Statistiken zufolge hat der MOVEit Transfer-Verstoß bisher mehr als 2.600 Opferorganisationen gefordert, wobei Hacker auf die persönlichen Daten von fast 84 Millionen Personen zugegriffen haben. Dazu gehören das Oregon Department of Transportation (3,5 Millionen gestohlene Datensätze), das Colorado Department of Health Care Policy and Financing (vier Millionen) und der US-Regierungsdienstleister Maximus (11 Millionen).
Microsoft
Im September erlangten von China unterstützte Hacker einen hochsensiblen Microsoft-E-Mail-Signaturschlüssel, der es den Hackern ermöglichte, heimlich in Dutzende E-Mail-Postfächer einzudringen, darunter auch in die Postfächer mehrerer Bundesbehörden. Nach Angaben der US-amerikanischen Cybersicherheitsbehörde CISA haben diese Hacker, von denen Microsoft behauptet, dass sie zu einer neu entdeckten Spionagegruppe gehörten, die Storm-0558 verfolgte, nicht klassifizierte E-Mail-Daten aus diesen E-Mail-Konten herausgefiltert.
In einer Obduktion sagte Microsoft, dass es immer noch keine konkreten Beweise dafür habe (oder mitteilen möchte), wie diese Angreifer ursprünglich eingebrochen sind und es den Hackern ermöglicht haben, den Skelettschlüssel für den Zugriff auf E-Mail-Konten zu stehlen. Der Technologieriese wurde seitdem wegen seines Umgangs mit dem Vorfall, der als größter Verstoß gegen nicht klassifizierte Regierungsdaten seit der russischen Spionagekampagne, bei der SolarWinds im Jahr 2020 gehackt wurde, erheblich unter die Lupe genommen.
CitrixBleed
Und dann war es Oktober und der Startschuss für eine weitere Welle von Massen-Hacks, die dieses Mal eine als kritisch eingestufte Schwachstelle in Citrix NetScaler-Systemen ausnutzten. Sicherheitsforscher sagten, sie hätten Angreifer beobachtet, die diese Schwachstelle, die heute als „CitrixBleed“ bekannt ist, ausnutzten, um in Unternehmen auf der ganzen Welt einzubrechen, vom Einzelhandel über das Gesundheitswesen bis hin zur Fertigung.
Die volle Wirkung dieser Massen-Hacks entwickelt sich weiter. Doch LockBit, die für die Angriffe verantwortliche Ransomware-Bande, behauptet, durch die Ausnutzung der Schwachstelle namhafte Firmen kompromittiert zu haben. Der CitrixBleed-Fehler ermöglichte es der mit Russland verbundenen Bande, vertrauliche Informationen wie Sitzungscookies, Benutzernamen und Passwörter aus betroffenen Citrix NetScaler-Systemen zu extrahieren und den Hackern so tieferen Zugriff auf anfällige Netzwerke zu ermöglichen. Dazu gehören bekannte Opfer wie der Luft- und Raumfahrtriese Boeing; Anwaltskanzlei Allen & Overy; und die Industrial and Commercial Bank of China.
23andMe
Im Dezember bestätigte das DNA-Testunternehmen 23andMe, dass Hacker die Abstammungsdaten der Hälfte seiner Kunden, etwa sieben Millionen Menschen, gestohlen hatten. Dieses Eingeständnis erfolgte jedoch Wochen, nachdem im Oktober erstmals bekannt wurde, dass Benutzer- und genetische Daten gestohlen wurden, nachdem ein Hacker einen Teil der gestohlenen Profil- und DNA-Informationen von 23andMe-Benutzern in einem bekannten Hackerforum veröffentlicht hatte.
23andMe gab zunächst an, dass Hacker mit gestohlenen Benutzerpasswörtern, die bereits durch andere Datenschutzverletzungen bekannt geworden waren, auf Benutzerkonten zugegriffen hätten, räumte jedoch später ein, dass die Verletzung auch diejenigen betroffen habe, die sich für die DNA-Verwandtschaftsfunktion entschieden hätten, die Benutzer ihren genetischen Verwandten zuordnet.
Nachdem 23andMe das volle Ausmaß des Datenverstoßes aufgedeckt hatte, änderte es seine Nutzungsbedingungen, um es Opfern des Verstoßes zu erschweren, rechtliche Ansprüche gegen das Unternehmen geltend zu machen. Anwälte bezeichneten einige dieser Änderungen als „zynisch“ und „eigennützig“. Wenn der Verstoß etwas Gutes bewirkt hat, dann ist es, dass er andere DNA- und Gentestunternehmen dazu veranlasst hat, die Sicherheit ihrer Benutzerkonten angesichts des 23andMe-Datenverstoßes zu erhöhen.