Gehackte Konten, verlorene Daten Die 15 dicksten Datenschutzverletzungen unseres Jahrhunderts

Foto: Andrey_Popov – shutterstock.com

In unserer heutigen, datengesteuerten Welt können Datenschutzverletzungen Hunderte von Millionen oder sogar Milliarden Menschen gleichzeitig betreffen, da die digitale Transformation die Datenmengen erhöht hat. Allerdings haben mit ihr auch Verstöße gegen den Datenschutz zugenommen, da Kriminelle die Abhängigkeit der Unternehmen von ihren Daten ausnutzen. Welch enorme Ausmaße Cyberangriffe erreichen können, zeigt diese Liste mit den größten Datenschutzverletzungen des 21. Jahrhunderts.*

1. Yahoo

Datum: August 2013

Auswirkung auf: 3 Milliarden Nutzerkonten

Den ersten Platz belegt Yahoo mit einem Datenschutzverstoß, der sich zwar im Jahr 2013 ereignete, aber erst 2016 öffentlich bekannt wurde. Die Angreifer hatten bei dem Hack Kontoinformationen von mehr als drei Milliarden Kunden gestohlen. Damals befand sich das Unternehmen gerade in Verhandlungen mit dem Telekommunikations-Konzern Verizon, der die Online-Plattform letztendlich 2017 übernahm – trotz des gigantischen Datenabflusses.

Chandra McMahon, CISO von Verizon, sagte damals: “Verizon verpflichtet sich zu den höchsten Standards für Rechenschaftspflicht und Transparenz, und wir arbeiten proaktiv daran, die Sicherheit unserer Benutzer und Netzwerke in einer sich entwickelnden Landschaft von Online-Bedrohungen zu gewährleisten. Unsere Investition in Yahoo ermöglicht es diesem Team, weiterhin bedeutende Schritte zur Verbesserung seiner Sicherheit zu unternehmen und von der Erfahrung und den Ressourcen von Verizon zu profitieren.” Nach einer umfassenden Analyse des Vorfalls wurde klar, dass die Angreifer zwar auf Kontoinformationen wie Sicherheitsfragen und -antworten zugreifen konnten. Klartextpasswörter, Zahlungskarten- und Bankdaten wurden jedoch nicht gestohlen.

Lesetipp: Denken wie ein Hacker kann die Cybersicherheitsstrategie verbessern

2. Aadhaar

Datum: Januar 2018

Auswirkung auf: 1,1 Milliarden Identitäts- beziehungsweise biometrische Informationen

Anfang 2018 wurde bekannt, dass böswillige Akteure die weltweit größte ID-Datenbank Aadhaar, die 2009 von der Unique Identification Authority of India (UIDAI) eingerichtet wurde, infiltriert haben. Dabei wurden Informationen über mehr als 1,1 Milliarden indische Bürger offengelegt, darunter Namen, Adressen, Fotos, Telefonnummern, E-Mails, biometrische Daten wie Fingerabdrücke und Iris-Scans. Die Hacker griffen die Aadhaar-Datenbank über die Webseite von Indane an, einem staatlichen Versorgungsunternehmen, das über eine API mit der Regierungsdatenbank verbunden war. Über die Schnittstelle waren die Angreifer in der Lage, Daten abzurufen, die von anderen Anwendungen oder Software gespeichert wurden. Den Zugang zu den Daten verkauften sie für nur sieben Dollar in einer WhatsApp-Gruppe. Trotz Warnungen dauerte es bis März 2018, bis die indischen Behörden den anfälligen Zugangspunkt offline nahmen.

Lesetipp: Halbe Milliarde WhatsApp-Nummern im Darknet

3. Alibaba

Datum: November 2019

Auswirkung auf: 1,1 Milliarden Nutzerdaten

Über einen Zeitraum von acht Monaten sammelte ein Entwickler, der für einen Affiliate-Vermarkter arbeitete, Kundendaten, einschließlich Benutzernamen und Handynummern, von der chinesischen Alibaba-Shopping-Website Taobao mit einer von ihm erstellten Crawler-Software. Obwohl der Entwickler und sein Arbeitgeber die Informationen für ihren eigenen Gebrauch gesammelt und nicht im Darknet verkauft hatten, wurden beide zu drei Jahren Gefängnis verurteilt.

Ein Taobao-Sprecher sagte damals in einer Erklärung: “Taobao wendet erhebliche Ressourcen auf, um unbefugtes Scraping auf unserer Plattform zu bekämpfen, da Datenschutz und Sicherheit von größter Bedeutung sind. Wir haben dieses nicht autorisierte Scraping proaktiv entdeckt und behoben. Wir werden weiterhin mit den Strafverfolgungsbehörden zusammenarbeiten, um die Interessen unserer Nutzer und Partner zu verteidigen und zu schützen.”

Lesetipp: Hacker setzen zunehmend auf Stealer-as-a-Service-Modelle

4. LinkedIn

Datum: Juni 2021

Auswirkung auf: 700 Millionen Nutzer

Die Networking-Plattform LinkedIn entdeckte im Juni 2021 im Darknet Daten, die zu 700 Millionen ihrer Nutzer in Verbindung gebracht wurden. Dies entspricht rund 90 Prozent der Gesamtnutzer. Ein Hacker mit dem Namen “God User” setzte Data-Scraping-Techniken ein, indem er die API der Website ausnutzte und somit an die großen Datenmengen gelangte. Dann drohten sie damit, die Datenpakete zu verkaufen. LinkedIn jedoch argumentierte, da es sich bei den Daten nicht um sensible persönliche Daten handle, gelte der Vorfall eher als Verletzung der Nutzungsbedingungen als Datenschutzverletzung. Allerdings enthielt eine Datenprobe, die God User veröffentlichte, Informationen wie E-Mai-Adressen, Telefonnummern, Geolokalisierungsaufzeichnungen, Geschlecht und andere Details von Nutzern. Nach diesem Datenleck warnten Sicherheitsexperten vor Social-Engineering– und Phishing-Attacken.

Lesetipp: 8 Wege, (unabsichtlich) Daten zu leaken

5. Sina Weibo

Datum: März 2020

Auswirkung auf: 538 Millionen Konten

Mit über 600 Millionen Nutzern ist Sina Weibo eine der größten Social-Media-Plattformen Chinas. Im März 2020 gab das Unternehmen bekannt, dass ein Angreifer einen Teil der Datenbank gestohlen hat, was sich auf insgesamt 538 Millionen Weibo-Nutzer und ihre persönlichen Daten ausgewirkt hat. Dazu gehörten die echten Namen, Website-Nutzernamen, Geschlecht, Standort sowie Telefonnummern. Später soll der Angreifer die Datenbank für 250 Dollar im Darkweb verkauft haben.

Lesetipp: Die 6 besten Vulnerability-Management-Tools

6. Facebook

Datum: April 2019

Auswirkung auf: 533 Millionen Nutzer

Im April 2019 wurde bekannt, dass zwei Datensätze aus Facebook-Apps im Darknet veröffentlicht wurden. Die Daten beinhalteten Informationen von mehr als 530 Millionen Nutzern und umfassten Telefonnummern, Kontonamen und Facebook-IDs. Zwar hatte Facebook das Datenleck gestopft, dennoch erschienen die Daten zwei Jahre später erneut in einem Online-Hacking-Forum. Der Sicherheitsforscher Troy Hunt entwickelte als Reaktion auf diesen riesigen Data Breach die Webseite haveibeenpwned.com, auf der Nutzer überprüfen können, ob ihre Telefonnummer oder E-Mail-Adresse in einem exponierten Datensatz enthalten sind.

Lesetipp: Hackerbande zielt erneut auf Facebook-Business-Accounts

7. Marriott International

Datum: September 2018

Auswirkungen auf: 500 Millionen Kunden

Die Hotelkette Marriott International gab im September 2018 bekannt, dass nach einem Cyberangriff auf ihre IT-Systeme sensible Daten von einer halben Million Gästen offengelegt wurden. In einer Erklärung, die im November desselben Jahres veröffentlicht wurde, hieß es in einem Statement: „Am 8. September 2018 erhielt Marriott eine Warnung von einem internen Sicherheits-Tool über einen nicht legitimen Versuch, auf die Starwood-Gästereservierungsdatenbank zuzugreifen. Marriott engagierte schnell führende Sicherheitsexperten, um herauszufinden, was passiert ist.” Wie sich während der Analyse des Vorfalls herausstellte, hatte es seit 2014 immer wieder unbefugte Zugriffe auf das Starwood-Netzwerk gegeben. Der „nicht autorisierten Partei“ sei es gelungen, Daten zu kopieren und zu verschlüsseln. Am 19. November 2018 konnte Marriott die Daten entschlüsseln.

Zu den gestohlenen Daten gehörten die Namen der Gäste, Postanschriften, Telefonnummern, E-Mail-Adressen, Passnummern, Online-Kontoinformationen, Reservierungsdaten sowie in einigen Fällen Kreditkartennummern. Als Reaktion auf den Breach kündigte die Hotelkette an, das Starwood-System auslaufen zu lassen und die Sicherheitsmaßnahmen zu erhöhen. Nichtsdestotrotz erhielt das Unternehmen 2020 von der britischen Datenaufsichtsbehörde eine Geldstrafe von 18,4 Millionen Pfund, mit der Begründung, die Kundendaten nicht sicher genug aufbewahrt zu haben.

Lesetipp: Hotelkette Marriott erneut gehackt

8. Yahoo

Datum: Ende 2014

Auswirkungen auf: 500 Millionen Nutzer

Schon zum zweiten Mal taucht in dieser Liste Yahoo auf. 2014 stahlen staatlich geförderte Cyberkriminelle Daten von 500 Millionen Konten, darunter Namen, E-Mail-Adressen, Telefonnummern, gehashte Passwörter und Geburtsdaten. Im selben Jahr noch unternahm Yahoo erste Abhilfemaßnahmen, ging aber erst 2016 mit Details über den Vorfall an die Öffentlichkeit, nachdem eine gestohlene Datenbank im Darkweb verkauft wurde.

Lesetipp: 5 Stunden reichen, um Sie zu hacken

9. FriendFinder Networks

Datum: Oktober 2016

Auswirkungen auf: 421,2 Millionen Konten

Die sechs Datenbanken der Social-Plattform „Adult Friend Finder” wurden im Jahr 2016 gestohlen. Angesichts der sensiblen Natur der vom Unternehmen angebotenen Dienste, zu denen Websites mit Erwachseneninhalten gehören, war der Leak der personenbezogenen Daten der Nutzer besonders brisant. Dazu gehörten Namen, E-Mail-Adressen sowie Passwörter. Darüber hinaus wurde die überwiegende Mehrheit der exponierten Passwörter über den schwachen Algorithmus SHA-1 gehasht. Schätzungsweise 99 Prozent der Passwörter waren bereits geknackt, als leakedsource.com, eine Webseite, die Informationen über möglicherweise geleakte Passwörter verkaufte, im November 2016 seine Analyse des Datensatzes veröffentlichte.

Lesetipp: Diese Unternehmen hat’s schon erwischt

10. MySpace

Datum: Juni 2013

Auswirkungen auf: 360 Millionen Benutzerkonten

Obwohl das Social Network MySpace schon lange nicht mehr so beliebt ist, wie es einmal war, geriet es 2016 in die Schlagzeilen, nachdem Informationen über 360 Millionen Nutzerkonten auf leakedsource.com und im Darknet-Portal „The Real Deal“ geleakt wurden. Auf dem illegalen Marktplatz gab es die Datenpakete für sechs Bitcoin zu kaufen, was damals rund 3.000 Dollar waren.

Nach Angaben von MySpace umfassten die verloren gegangenen Daten E-Mail-Adressen, Passwörter und Benutzernamen für einen Teil der Konten, die vor dem 11. Juni 2013 auf der alten MySpace-Plattform erstellt wurden. „Zum Schutz unserer Nutzer haben wir alle Benutzerpasswörter für die betroffenen Konten für ungültig erklärt“, hieß es von dem Unternehmen. Die betroffenen Benutzer wurden aufgefordert, ihr Konto zu verifizieren und ihr Passwort zurückzusetzen.

Lesetipp: Passwörter richtig schützen

11. NetEase

Datum: Oktober 2015

Auswirkungen auf: 235 Millionen Benutzerkonten

NetEase, ein chinesischer Anbieter von Mailbox-Diensten wie 163.com und 126.com, erlitt im Oktober 2015 einen Sicherheitsvorfall, als E-Mail-Adressen und Klartextpasswörter von 235 Millionen Konten im Darbweb-Marktplatz DoubleFlag verkauft wurden. NetEase stritt ab, dass es eine Datenschutzverletzung gegeben hätte. Doch die Betreiber der Webseite haveibeenpwned.com berichten von Abonnenten, die bestätigen, dass von ihnen verwendete Passwörter in den gestohlenen Daten enthalten sind. Dies reichte jedoch nicht aus, um den Datendiebstahl zu verifizieren.

Lesetipp: Wie Sie Sicherheitsanbieter richtig evaluieren

12. Court Ventures

Datum: Oktober 2013

Auswirkungen auf: 200 Millionen Datensätze

Ein 25-Jähriger Vietnamese brachte die Experian-Tochter Court Ventures im Jahr 2013 dazu, ihm Zugang zu einer Datenbank zu gewähren, die 200 Millionen Datensätze mit persönlichen Informationen über Kunden enthielt. Der Kriminelle hatte sich als Privatermittler aus Singapur ausgegeben. Die Taten von Hieu Minh Ngo kamen erst ans Licht aufgrund bereits laufender Ermittlungen gegen ihn. Er hatte persönliche Daten von US-Bürgern wie Kreditkartennummern und Sozialversicherungsnummern an Cyberkriminelle auf der ganzen Welt verkauft. Im März 2014 bekannte er sich in mehreren Anklagepunkten schuldig. Das Gericht erklärte damals, Ngo habe mit dem Verkauf personenbezogener Daten insgesamt zwei Millionen Dollar verdient.

Lesetipp: Ist Ihre IT-Security reif genug?

13. LinkedIn

Datum: Juni 2012

Auswirkungen auf: 165 Millionen Nutzer

Auch LinkedIn hat es leider ein zweites Mal in diese Liste geschafft. Im Juni 2012 verbuchte das Unternehmen einen Sicherheitsvorfall, bei dem 6,5 Millionen Passwörter von Cyberkriminellen gestohlen und in einem russischen Hacker-Forum veröffentlicht wurden. Das volle Ausmaß des Vorfalls wurde erst 2016 bekannt, als festgestellt wurde, dass der Angreifer derselbe ist, der ein Jahr später die MySpace-Daten verkauft hatte. Für nur fünf Bitcoin, was 2012 rund 2.000 Dollar entsprach, bot der Hacker die E-Mail-Adressen und Passwörter von 165 Millionen LinkedIn-Nutzern im Darkweb an. LinkedIn bestätigte den Datenschutzverstoß und sagte, dass alle Passwörter der betroffenen Kunden zurückgesetzt worden seien.

Lesetipp: So trainieren Sie effektiv den Ernstfall

14. Dubsmash

Datum: Dezember 2018

Auswirkungen auf: 162 Millionen Nutzerkonten

Im Dezember 2018 wurden 162 Millionen Nutzerdaten des Video-Messaging-Dienstes Dubsmash gestohlen, darunter E-Mail-Adressen, Benutzernamen, Passwort-Hashes und Geburtsdaten. Die Informationen wurden als Teil eines Dumps im Darknet zum Verkauf angeboten, welcher auch Daten von MyFitnessPal, MyHeritage, ShareThis, Armor Games und CoffeeMeetsBagel umfasste. Dubsmash bestätigte den Sicherheitsvorfall, gab aber keine Details preis, wie die Angreifer an die Daten gelangen konnten und wie viele Benutzer betroffen waren.

Lesetipp: So kommunizieren Sie richtig in der Krise

15. Adobe

Datum: Oktober 2013

Auswirkungen auf: 153 Millionen Benutzerdatensätze

Im Oktober 2013 berichtete Adobe, dass ein Hacker fast drei Millionen verschlüsselte Kreditkartendatensätze und Anmeldedaten von Kunden einer unbestimmten Anzahl von Nutzerkonten gestohlen hatte. Einige Tage später verschlüsselte der Anbieter die Passwörter von 38 Millionen aktiven Benutzern. Der Sicherheitsforscher Brian Krebs berichtete, dass er eine Datei entdeckt hatte, die „mehr als 150 Millionen Benutzernamen und Hash-Passwörter von Adobe zu enthalten scheint“. Seine Recherche ergab, dass der Hacker auch Namen, Passwörter, Debit- und Kreditkarteninformationen der Adobe-Kunden offengelegt hat. Im August erklärte sich Adobe bereit, 1,1 Millionen Dollar an Anwaltskosten sowie insgesamt eine Millionen Dollar an die Kunden zu zahlen, um Ansprüchen wegen Verstoßes gegen den Customer Records Act und unlautere Geschäftspraktiken beizulegen.

*Diese Liste wurde erstellt anhand der Anzahl der betroffenen Benutzer, der offengelegten Datensätze und der betroffenen Konten. Auch wurde unterschieden zwischen Vorfällen, bei denen Daten aktiv gestohlen oder böswillig erneut veröffentlicht wurden, und solchen, bei denen eine Organisation versehentlich Daten ungeschützt offengelegt gelassen hat, es jedoch keine signifikanten Beweise für einen Missbrauch gab. Letztere wurden nicht mit in die Liste aufgenommen. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Jetzt kostenlos für den CSO-Newsletter anmelden