JensDiemer

Hier eine kleine Liste von größeren Sicherheitslücken von großen Firmen...

Soll aufzeigen, das das Internet generell kein guter Ort für Schützenswerte Daten sind. Vor allem Cloud-Lösungen, sollte man hinterfragen. Will man wirklich seine Fotos dort lagern? Auch wenn sie ja "geschützt" sind und nur von einem selber eingesehen werden können...

Auflisten möchte insbesondere Einbrüche, bei denen Kundendaten entwendet wurden.

15.10.2016 - 58 Millionen Einträge aus der Automobilbranche und Personalvermittlung geleakt

Mehrere Hacker entwendeten 58 Millionen Datensätze über eine ungeschützte MongoDB-Datenbank des US-amerikanischen Dienstleisters Modern Business Solutions. Die Daten umfassen unter anderem Namen, IP-Adressen, Geburtsdaten, E-Mail-Adressen, Fahrzeugdaten und Angaben zur Berufstätigkeit. Die Daten würden auch Filesharing Diensten veröffentlicht.

26.08.2016 - Spionage-Software Pegasus für Apple iPhones entdeckt

Die Citizen Labs und Lookout haben eine neuartige, mächtige Spyware in freier Wildbahn entdeckt, die auf iPhones zugeschnitten ist. Die Spionage-Software hat insbesondere Zugang zu GPS-Positionsdaten, kann Telefongespräche mitschneiden, Mails lesen oder auch schreiben, bietet Zugriff auf WhatsApp, iMessages, Kontaktdaten und vieles mehr.

27.08.2016 - Opera meldet Einbruch in Sync-Server

Laut Opera hat es vor wenigen Tagen einen Einbruch in den Browser-Synchronisationsdienst Sync gegeben. Anwender von Opera Sync lassen dort ihre Passwörter sammeln und können sie geräteübergreifend abrufen.

16.08.2016 - Mit "Chef-Masche" 40 Millionen Euro von Autozulieferer Leoni entwendet

Der Autozulieferer Leoni, ein im MDax notiertes Unternehmen, ist nach eigenen Angaben Opfer eines millionenschweren Betrugs geworden. Unter Verwendung gefälschter Dokumente und Identitäten sowie unter Nutzung elektronischer Kommunikationswege seien Gelder des Unternehmens auf Zielkonten im Ausland transferiert worden. Der Schaden belaufe sich auf einen Abfluss an liquiden Mitteln von insgesamt rund 40 Millionen Euro.

 

29.07.2016 - Elektronikversand Pollin bestätigt schwerwiegenden Hacker-Angriff

Der Elektronikversand Pollin wurde Opfer eines Hacker-Angriffs. Die Täter haben auf die Kundendatenbank zugegriffen und missbrauchen diese Informationen derzeit für personalisierte Phishing-Mails. Das Unternehmen informierte seine Kunden am Freitagmorgen per Mail darüber, dass von dem Vorfall "beispielsweise Namen, Geburtsdaten, E-Mail Adressen, SEPA-Daten, Zugangsdaten, Telefonnummern oder postalische Adressen" der Pollin-Kunden betroffen sein können.

27.07.2016 - Millionen kabellose Tastaturen senden Daten im Klartext

Marc Newlin Mitarbeiter der IT-Sicherheitsfirma Bastille Networks und sein Team haben nach eigenen Angaben herausgefunden, dass preisgünstige kabellose Keyboards von mindestens acht großen Herstellern sämtliche auf ihnen getippten Informationen unverschlüsselt an ihren USB-Dongle senden.

http://www.golem.de/news/keysniffer-millionen-kabellose-tastaturen-senden-daten-im-klartext-1607-122388.html

06.2016 - Server Einbruch bei Citrix

Aufgrund unbefugter Zugriffe auf Nutzer-Konten, hat Citrix Passwörter von allen Anwendern der Fernwartungs-Software GoToMyPC zurückgesetzt.

06.2016 - Server Einbruch beim Online-Shop von Acer

Derzeit informiert Acer 34.500 Kunden seines Online-Shops in Nordamerika über einen Einbruch in die Firmen-Server. Dabei sollen Unbekannte persönliche Nutzer-Daten kopiert haben.

06.2016 - 171 Millionen VK.com (früher VKontakte) Passwörter im Netz

Im Gegensatz zu den Datenlecks bei LinkedIn (117 Millionen Passwort-Hashes) und MySpace (360 Millionen Passwort-Hashes) handelt es sich bei den VK.com-Daten wohl um Klartext-Passwörter. Das berichtet die US-amerikanische Nachrichtenseite ZDNet, die eine Kopie des Datensatzes untersucht hat. Neben den Passwörtern enthält die Datenbank für viele Konten demnach auch Telefonnummern und Ortsangaben.

06.2016 - Millionen Passwort-Hashes von LinkedIn, MySpace und Tumblr zum Download aufgetaucht

Hashwerte der Kennwörter von 117 Millionen LinkedIn Nutzern aus dem Hack im Jahr 2012 sind frei zugänglich zum Download.
Daten von 360 Millionen MySpace-Konten sowie 65 Millionen Tumblr-Passwörter werden gegen Bitcoins angeboten.

04.2016 - Hunderte Premium-Spotify-Zugänge veröffentlicht

Der Musik-Streaming-Dienst Spotify hat offenbar eine Sicherheitslücke: Mehrere Hundert Accountinformationen inklusive Nutzername, Passwort, Accounttyp und Land sind im Netz aufgetaucht

04.2016 - Zentralbank in Bangladesch (Bangladesh Bank) wurden 81 Millionen Dollar entwenden

Bei einem digitalen Bankraub im Februar haben Hacker versucht, 951 Millionen US-Dollar bei der Zentralbank in Bangladesch zu klauen. Sie drangen in die Systeme der Bank ein und konnten letztendlich 81 Millionen Dollar entwenden.

01.2016 - Standard-Passwort von TP-Link, Unitymedia UPC-Routern leicht knackbar

Angreifer können das werkseitige WLAN-Passwort von Routern der Herstellen wie TP-Link, Unitymedia, UPC vergleichsweise einfach herausfinden und sich so Zugang zum Netzwerk verschaffen.

01.2016 - Fest eingestelltes SSH-Admin-Passwort in Firewalls von Fortinet

Firewalls der Sicherheitsfirma Fortinet hatten jahrelang ein fest eingestelltes Passwort, dass Admin-Zugriff auf die Geräte über SSH ermöglicht.

12.2015 - 2,8 Millionen Kunden von Kabel Deutschland/Vodafone durch schlecht abgesichertes Wartungsnetz gefährdet

Durch kritische Schwachstellen in der Infrastruktur von Kabel Deutschland konnte man fremde VoIP-Anschlüsse übernehmen und Modems kapern – das Worst-Case-Szenario für den inzwischen zu Vodafone gehörenden Provider. Entdeckt hat die Lücken der Linux-Entwickler Alexander Graf.

12.2015 - Sicherheitslücken in Kommunikation von EC-Karten-Bezahl-Terminals

Bezahl-Terminals sprechen übers Netz mit ihrer Kasse und dem Bezahldienstleister. Beide Kommunikationskanäle weisen Schwächen auf, die ein Angreifer nutzen kann, um Kunden oder Ladeninhaber auszuplündern.

12.2015 - SSH-Backdoor in Juniper-Netzgeräten

Juniper hat Schadcode im eigenen Betriebssystem gefunden, der die Geräte und darüber laufenden verschlüsselten Datenverkehr angreifbar macht. Die SSH-Backdoor kann dank des veröffentlichten Passworts jeder ausnutzen; die komplexere VPN-Lücke beruht wohl auf einer bekannten NSA-Backdoor.

12.2015 - Hello-Kitty-Community-Website SanrioTown.com gehackt

Einem Bericht des Sicherheitsexperten Chris Vickery zufolge kursieren im Netz die Daten von 3,3 Millionen registrierten Nutzern der offiziellen Hello-Kitty-Community-Website SanrioTown.com. Die Daten enthalten neben den Namen der Nutzer auch deren Geburtsdatum, das Geschlecht, das Heimatland, E-Mail-Adressen, leicht entschlüsselbare Passwörter sowie die Fragen zur Passwortwiederherstellung samt der passenden Antworten.

12.2015 - Drei Jahre alte Lücke bedroht Smartphones und Smart TVs

Sicherheitsforschern zufolge sind rund 6 Millionen Geräte aufgrund einer Schwachstelle in einer UPnP-Bibliothek aus dem Jahr 2012 einem Risiko ausgesetzt. Trend Micro hat 547 gefährdete Apps entdeckt, die noch die verwundbare UPnP-Bibliothek libupnp einsetzen. Die Lücke in der Bibliothek wurde im Dezember 2012 geschlossen; viele Hersteller setzen aber anscheinend noch angreifbare Versionen ein.

12.2015 - Hacker hat 900 Gigabyte Kundendaten von Servern einer Bank in den Vereinigten Arabischen Emiraten kopiert

Ein Hacker aus den Vereinigten Arabischen Emiraten hat die dort ansässige Invest Bank erpresst und Daten von mehr als 50.000 Kunden im Internet veröffentlicht. Er hatte die Bank aufgefordert, ihm drei Millionen US-Dollar in Bitcoin auszuzahlen. Die Bank weigerte sich, der Forderung nachzukommen. Insgesamt sollen mehr als 900 Gigabyte an Kundendaten kompromittiert sein.

11.2015 - VTech-Hack: rund 5 Millionen Eltern-Accounts und über 6 Millionen Datensätze von Kindern erbeutet

Bei einem Hack des Spielzeug- und Lernsoftware-Herstellers VTech, der auch auf dem deutschen Markt vertreten ist, haben Unbekannte 4.854.209 Eltern-Accounts und 6.368.509 Datensätze von Kindern. In Deutschland sollen rund 500.000 Profile von Kindern betroffen sein. Enthalten sind darin unter anderem Wohnadressen, Vornamen, Geburtstage, Geschlecht sowie Porträtfotos von Kindern und Eltern, außerdem Chatprotokolle und auch Audioaufzeichnungen von Gesprächen zwischen Kindern und Eltern. Mehrere Gigabyte der erbeuteten Daten sind bereits im Internet verfügbar.

11.2015 - Millionen von Geräten mit kompromittierten Krypto-Schlüsseln im Netz

Die Sicherheitsfirma SEC Consult schätzt, dass für 9 Prozent aller SSL-Endpunkte im Netz die privaten Schlüssel bekannt sind. Damit könnten Angreifer sich als diese Server ausgeben und Kabel- und DSL-Router, Modems, Internet Gateways, VoIP-Telefone und mit dem Internet verbundene Kameras im selben Netz ausspionieren.

11.2015 - Nach Lenovo-Laptops, nun auch Dell-Laptops mit schwerer Sicherheitslücke

Aus dem Superfish-Skandal haben einige Hersteller offenbar nichts gelernt: Auf Laptops der Firma Dell ist ein Root-Zertifikat vorinstalliert, das von Browsern als gültig akzeptiert wird, die den systemweiten Zertifikatsspeicher nutzen. Besonders drastisch: Auch der private Key befindet sich auf dem System und ist inzwischen öffentlich. Damit ist es jedem Angreifer möglich, Nutzern von Dell-Laptops mittels Man-in-the-Middle-Angriffen falsche HTTPS-Webseiten unterzuschieben oder verschlüsselte Daten mitzulesen.

10.2015 - Sicherheitslücke in Router von Vodafone

Bis zu 1,3 Millionen Router im Kabel-Netz von Vodafone sind über WLAN angreifbar. Der Provider verspricht, die Lücken mit Firmware-Updates zu schließen. Das kann sich jedoch noch bis Jahresende hinziehen.

10.2015 - Online-Banking-Apps der Sparkasse sind geknackt.

"Komfortabel, aber leider unsicher" – so lässt sich das Ergebnis eines Forschungsprojekts zu den von immer mehr Banken angebotetenen App-basierten TAN-Verfahren zusammenfassen.
Zwei Forscher der Uni Erlangen demonstrierten, dass sie mit speziell entwickeltem Schadcode Überweisungen auf Android-Handys umleiten konnten, die über das pushTAN-Verfahren der Sparkassen abgewickelt wurden.

10.2015 - Hacker-Angriff auf britischen Internetprovider TalkTalk

Hackerangriff auf Internetprovider: Unter anderem sollen Namen, Adressen, Telefonnummern und Kredit- sowie Zahlungsdaten im Klartext kopiert worden sein. TalkTalk hat über vier Millionen Kunden im Vereinigten Königreich.

08.2015 - Webhoster 1blu gehackt und erpresst

Die Webhosting-Firma 1blu ist Opfer eines Cyber-Erpressers geworden. Ein bislang unbekannter Täter ist in die Infrastruktur des Unternehmens eingedrungen und konnte dabei unter anderem auf die Daten sämtlicher Kunden zugreifen.
Betroffen sind unter anderem die bei 1blu gespeicherten Passwörter, persönliche Daten, Bankverbindungen und Interna. Anschließend versuchte er das Unternehmen zur Zahlung von umgerechnet 250.000 Euro in Bitcoins zu erpressen

08.2015 - Bis zu 2,4 Millionen Kundendaten von Carphone Warehouse geklaut

Gangster haben nun auf den Portalen der Firma sowie von OneStopPhoneShop.com, e2save.com und Mobiles.co.uk bis zu 2,4 Millionen Kundendaten abgegraben, darunter vermutlich bis zu 90.000 Kreditkartendaten

07.2015 - Nach Fernsteuerungs-Hack ruft Fiat Chrysler 1,4 Millionen Autos zurück

Fiat Chrysler ruft diverse Fahrzeuge der Marken Jeep, Chrysler und Dodge zum Software-Update zurück. Zuvor war ein Jeep Cherokee gehackt und ferngesteuert worden. Durch eine Schwachstelle im Infotainmentsystem konnten Sicherheitsforscher die Kontrolle über einen Jeep übernehmen.

06.2015 - "Parlakom"-Netzwerk des Deutschen Bundestags wochenlang mit Trojaner ausspioniert.

Eine Spähsoftware hat Wochelang Bundestagsdaten aus dem "Parlakom"-Netz in unbekannte Richtung abfließen lassen.
Womöglich müsse nicht nur die Software der Rechner neu installiert, sondern auch die komplette Hardware ausgetauscht werden. Insgesamt sind in dem Netzwerk wohl über 20.000 Rechner angeschlossen.

10.06.2015 - Spionage-Trojaner im Netzwerk von IT-Sicherheitsfirma Kaspersky entdeckt

Die Sicherheitsforscher von Kaspersky sind selbst Opfer eines Hacker-Angriffs geworden und haben einen Spionage-Trojaner entdeckt, der seit Monaten unentdeckt im eigenen Netzwerk sein Unwesen trieb. Das Unternehmen gibt in einem Statement an, dass ein Mitarbeiter im asiatisch-pazifischen Raum auf eine Trojaner-Mail reingefallen ist und die Schadsoftware im Anhang ausgeführt hat. Folglich war das System der Virenjäger infiziert. Der Vorfall wurde eigenen Angaben zufolge erst im Frühjahr dieses Jahres entdeckt.

06.06.2015 - In Großbritannien sind 700.000 Datensätze vertrauliche Patientendaten des National Health Service veröffentlicht

Bis zu 700.000 Briten wurden hintergangen. Sie hatten explizit angegeben, dass die von ihren Hausärzten gespeicherten Gesundheitsdaten nicht an Dritte weitergegen werden dürfen.
Im Januar stellte sich heraus, dass der NHS Zehntausende Anfragen von Patienten missachtet hatte.

05.06.2015 - Hacker in Personalbüro der US-Regierung eingedrungen

Hacker aus China drangen laut US-Medienberichten in Computer des Office of Personal Management (OPM) ein. Die Behörde unterrichtet nach eigenen Angaben etwa vier Millionen US-Amerikaner über einen möglichen Datenklau. Es handele sich um sensible Daten, die zu finanziellen Betrügereien missbraucht werden könnten, teilte das OPM am Donnerstag mit.

05.06.2015 - Offene Intranets verraten Telefonnummern, e-Mail-Adressen und weitere persönliche Daten

Viele Firmen und Organisationen nehmen es mit dem Abschotten ihres Intranets nicht so genau. Die Folge ist, dass mitunter vertrauliche Daten versehentlich ins Internet gelangen und dort für jeden abrufbar sind.

05.06.2015 - WLAN-Trick soll Apple-Pay-Nutzern Kreditkartendaten entlocken

Angreifer können die automatische WLAN-Verbindungsaufnahme von iOS dazu nutzen, um mit einem manipulierten Apple-Pay-Dialog auf Kreditkartenfang zu gehen

02.2014 - Zentausende Firmen Datenbanken ungeschützt im Internet

Drei Studenten stolperten quasi zufällig in einer Suchmaschine über Tausende offenbar ungesicherte Datenbanken. Sie hatten plötzlich völlig ungehinderten Zugriff auf Namen, Adressen, E-Mail- und sogar Kreditkartendaten – einschließlich der Möglichkeit diese zu überschreiben. Es zeigte sich, dass dieser gefährliche Zustand in den meisten Fällen keineswegs beabsichtigt war, sondern dass da echte Kundendaten ungeschützt im Internet standen.

12.2014 - US-Büroausrüster Staples

Beim US-Büroausrüster Staples haben Kriminelle Informationen über bis zu 1,16 Millionen Kreditkarten bei einer mehrwöchigen Cyberattacke gestohlen. Auf Kassensystemen in 115 von 1400 US-Filialen sei Schadsoftware gefunden worden.

11.2014 - Sony Pictures Entertainment

Unbekannte haben am Montag den Firmenbetrieb bei Sony Pictures zum Erliegen gebracht. Sie sollen sämtliche Computer im Firmennetz der Sony-Tochter gekapert haben. Auch das Play-Store-Konto von Sony soll betroffen sein.

10.2014 - Sony

Eine SQL-Injection-Lücke erlaubt den Zugriff auf Kundendaten des Playstation Networks. Sony wurde bereits vor zwei Wochen über die Sicherheitslücke informiert, sie wurde jedoch bisher nicht geschlossen. Es ist nicht der erste Vorfall im Playstation-Network.

10.2014 - Dropbox

Unbekannte haben über Pastebin Nutzernamen samt Passwörtern für den Cloud-Speicher Dropbox veröffentlicht, weitere sollen folgen. Die Daten sollen von Drittanbietern stammen.

09.2014 - Apple

Ein Sicherheitsforscher hat Apple im März über eine Lücke informiert, die es ermöglichte, Passwörter für iCloud-Benutzerkonten ungehindert auszuprobieren. Die Methode wurde möglicherweise beim Diebstahl von Nacktbildern angewendet.

08.2014 - US-Logistikkonzern UPS

Der US-Paketdienst United Parcel Service (UPS) ist Opfer einer großangelegten Hackerattacke geworden. Wie der Konzern am Mittwoch mitteilte, seien dabei möglicherweise Kreditkartendaten von Kunden aus 51 Filialen gestohlen worden.

05.2014 - eBay

Unbekannte haben einen großen Teil der Kundendatenbank der Online-Handelsplattform kopiert. Während der Druck auf eBay steigt, gibt es erste Hinweise, dass die gestohlenen Daten schon missbraucht werden.

04.2014 - LaCie

Angreifer hatten ein Jahr lang Zugriff auf LaCie-Kundendaten
Betroffen sind Adressen, Bank- und Kreditkartendaten sowie E-Mailadressen und Passwörter. Die unbekannten Angreifer hatten die Firma mit Malware infiziert, um die Daten abzugreifen.

03.2014 - Amazon

Auf dem Hosting-Dienst Github sind offenbar Tausende geheimer Schlüssel zu Amazons Web Services gefunden worden. Damit erhalten Angreifer Root-Zugänge zu den jeweiligen Konten.

02.2014 - Kickstarter

Die Crowdfunding-Plattform Kickstarter wurde Opfer eines Hackerangriffs. Jenseits von Benutzernamen und Mail-Adressen griffen die Hacker auch auf verschlüsselte Passwörter zu.

12.2013 - US-Einzelhandelskette Target

Unbekannte haben sich 40 Millionen Kreditkartendaten von Kunden der US-Einzelhandelskette Target verschafft. Die Tat fiel auf, weil Zahlungsdienstleister ungewöhnliche Kontobewegungen feststellten. Target ist die drittgrößte Einzelhandelskette in den USA.

10.2013 - Adobe

Bei Adobe wurde eingebrochen. Wie das Unternehmen jetzt in einer Stellungnahme zugab, sollen Angreifer in das Adobe-Netzwerk eingedrungen sein und sich den Sourcecode von ColdFusion, Adobe Acrobat und möglicherweise anderen Programmen beschafft haben. Darüber hinaus hatten die Angreifer Zugriff auf Userdaten wie User-IDs und verschlüsselte Passwörter. Betroffen sein sollen auch rund 2,9 Millionen verschlüsselte Kreditkartendaten von Kunden.

06.2012 - LinkedIn

117 Millionen LinkedIn-Passwörter wurden im Internet zum Kauf angeboten. Diese sind nur als einfacher Hash ohne Salt gesichert.

04.2011 - Sony

Sony Computer Entertainment hat endlich bekanntgegeben, was der oder die Hacker im Playstation Network (PSN) und in Qriocity angerichtet haben. Auch für die Kunden ist der Einbruch in die Server ein Desaster - es wurden alle angegebenen persönlichen Daten kopiert, wahrscheinlich auch die für Kreditkarten.

(Sortiert nach Datum)

Dashier sind nur einige der größten Sicherheitslücken/Einbrüche!

Links: