Überwachungsorgan

Offensichtlich hat die Telekom bis in den August 2007 ihre Kundendaten zwar mit Login/Passwort geschützt, die Daten waren aber nicht etwa nur im Intranet sondern ohne weitere Sicherung aus dem Internet abrufbar. Laut dem Stern wurden die Zugangsdaten damals auch schon auf einschlägigen Seiten verkauft. Aufgefallen ist das Ganze erst, als man einem Datendiebstahl aus einem Callcenter in Bremerhaven auf die Schliche kam. Die Sicherheitslücke sei dann am 21. August 2007 geschlossen worden.
Eine Notwendigkeit, die Öffentlichkeit zu informieren sah man offenbar nicht, so dass die Sache erst jetzt publik wird. Es geht dabei ja laut Stern "nur" um 30 Millionen Festnetz und 38 Millionen Mobilfunkkunden.

Via datenschutz-ist-bürgerrecht.de/stern.de.

Update: Gegenüber golem.de sagte ein Telekom-Sprecher:

Dass Kundendaten der Deutschen Telekom vor allem mit Blick auf Kontonummern für Trickbetrügereien missbraucht worden sind, ist bisher nicht bekannt

Golem.de und heise.de melden neue Details zum Datendiebstahl bei PricewaterhouseCoopers (PwC).

Offensichtlich sind unter den vermutlich 56.000 gestohlenen Datensätzen 12000 gmx.de-Mailadressen, 12.000 web.de-Adressen und jeweils zwischen 2200 bis 3300 Mailadressen von hotmail.de, t-online.de und yahoo.de. Laut golem.de kann PwC aber noch nicht abschließend sagen, wie viele Datensätze genau gestohlen wurden.

Die große Anzahl an Adressen beruht wohl darauf, dass PwC die Bewerberdaten (unrechtmäßig) auch aus den vergangenen Jahren gespeichert wurden. Pikanterweise wurden dabei die Passwörter nicht als Hash, sondern im Klartext gespeichert.

Mit den Mailadressen und Passwörtern wurde dann versucht. sich z.B. bei Click&Buy und Moneybookers anzumelden.

Um dem ganzen die Krone aufzusetzen hatten rund 2000 der Teilnehmer an einer Web-Umfrage teilgenommen, ob sie die gleichen Passwörter an mehreren Stellen im Internet einsetzen. Rund 80% der Befragten sollen angegeben haben, dass sie ihr Passwort an mehreren Stellen verwenden. Rund 50% hätten das gleiche Passwort wie bei ihrem Mailaccount verwendet.

Na dann Prost Mahlzeit!

Die Redaktion des ZDF-Magazins WISO hat 56.000 Emails verschickt, in die Empfänger davor gewarnt werden, dass man bei Recherchen zu einem Beitrag auf Email-Adresse und Passwort gestoßen sei. Die Email gibt die Mailadresse und das (gekürzte) Passwort an und fordert dazu auf, das Passwort überall dort zu ändern, wo es verwendet worden ist (im Datenschutz-Blog findet sich ein Screenshot der Email).

Zur Herkunft der Daten auf ZDF.de:

Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen, E-Mail-Accounts oder Online-Shops zu tun hat und bei der sich die Betroffenen in der Vergangenheit einmal angemeldet haben.

Es sei versucht worden, sich mit diesen Daten bei Online-Bezahlsystemen anzumelden.

Gefunden waren worden die Daten offensichtlich auf einem frei zugänglichen chinesischem Server. Wie sie dorthin gelangt waren, ist anscheinend noch unklar.

Golem.de konkretisiert die Herkunft der Daten: Laut Hinweisen würden die Daten von einem Server der Wirtschaftsprüfungs- und Beratungsgesellschaft PricewaterhouseCoopers stammen. Alle Betroffenen hätten sich in der Vergangenheit dort registriert. Ein Sprecher des Unternehmens hat dies laut golem.de auch bestätigt. Es handele sich um Bewerberdaten des Unternehmens.

Bis zur Bestätigung durch die WISO-Redaktion hatten die Emails für viel Verwirrung gesorgt.

Allen Betroffenen kann nur geraten werden, die Warnung ernst zu nehmen und das Passwort (und gegebenenfalls vorhandene Variationen) zu ändern. Wer tatsächlich die gleichen Zugangsdaten für Onlineshops, Finanzdienstleister wie Paypal, ClickandBuy oder gar Online-Banking benutzt, sollte die Abrechnungen/Kontoauszüge in nächster Zeit genau prüfen.

WISO will in der Sendung am 8. September 2008 Details bekannt geben.

Anmerk.: Trotz der guten Absicht von WISO für die 56.000 Betroffenen (neben dem Eigennutz noch Stellungnahmen der Betroffenen zu erhalten) birgt das Vorgehen für andere Nutzer auch Risiken. Im Normalfall würden Unternehmen über eine solche Lücke nicht per Email informieren. Bei vielen eher unerfahrenen Fernsehzuschauern wird wohl hängen bleiben, dass WISO per Email vor Datendiebstahl gewarnt hat - warum sollten dies z.B. andere Fernsehmagazine oder Unternehmen nicht auch tun?
Spammer könnten versucht sein, ihre Mails ähnlich zu verfassen und z.B. zur Öffnung eines Programmes "zur Löschung der Daten" zu verleiten. So könnte dann z.B. ein Trojaner installiert werden. Besser wäre wohl gewesen, wenn das betroffene Unternehmen versucht hätte die Betroffenen vor Ausstrahlung der Sendung postalisch zu informieren - bei Bewerberdaten hätten die Anschriften ja in vielen Fällen vorgelegen.

Update: Mittlerweile hat PricewaterhouseCoopers (PwC) eine Pressemeldung herausgegeben, in der auch davon gesprochen wird, dass das Unternehmen die Betroffenen direkt informiert hat:

PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben.

Die Verantwortung für den Vorfall liege bei einem externen Dienstleister, die eigenen Server seien nicht betroffen.