Die Zahl der Datenschutzverletzungen im Jahr 2021 hat die Gesamtzahl im Jahr 2020 um 17 % übertroffen. 2021 kann also als ein Rekordjahr für Datenschutzverletzungen angesehen werden. Es ist immer besser, Datenschutzverletzungen durch eine gute Vorbereitung zu verhindern, da einige Folgen dieser Vorfälle irreversibel sind. In diesem Blogbeitrag möchten wir Ihnen die acht jüngsten Datenschutzverletzungen vorstellen, die im Jahr 2021 stattgefunden haben.


BitMart

Der Kryptowährungsumtausch BitMart wurde im Dezember 2021 gehackt und die Hacker zogen Vermögenswerte in Höhe von etwa 150 Millionen US-Dollar ab. Das Blockchain-Sicherheitsunternehmen PeckShield gab jedoch an, dass der Verlust tatsächlich bei etwa 200 Millionen US-Dollar lag, wobei etwa 100 Millionen US-Dollar in verschiedenen Kryptowährungen aus der Ethereum-Blockchain stammten.

In einer offiziellen Erklärung gab BitMart an, dass es eine erste Sicherheitsüberprüfung durchgeführt und die betroffenen Vermögenswerte entdeckt habe. Das Unternehmen gab an, dass die Sicherheitsverletzung im Wesentlichen durch einen gestohlenen privaten Schlüssel verursacht wurde, der zwei seiner „Hot Wallets“ (eine Form des digitalen Speichers) betraf, andere Vermögenswerte jedoch unversehrt blieben. Krypto-Hot Wallets sind im Gegensatz zu Cold Wallets (einem physischen Gerät) mit dem Internet verbunden, was ihre Nutzung bequemer, aber auch weniger sicher macht.

Was die Datenpanne bei BitMart so verheerend macht, ist, dass es sich um den sechstgrössten Kryptowährungsraub aller Zeiten handelt, gemessen an der Höhe der verlorenen Gelder. Hacks von Krypto-Börsen sind an der Tagesordnung. Denn Börsen sind ein gefundenes Fressen für Hacker, da sich ein effektiver Angriff für sie sehr lohnen kann.


Panasonic

Der japanische Technologie- und Fertigungsriese Panasonic bestätigte, dass im November 2021 unrechtmäßig auf sein Netzwerk zugegriffen wurde. Nachdem das Unternehmen den unrechtmäßigen Zugriff festgestellt hatte, meldete es den Vorfall sofort den zuständigen Behörden und ergriff Sicherheitsmaßnahmen. Als Ergebnis einer internen Untersuchung wurde festgestellt, dass während des Eindringens auf einige Daten auf einem Dateiserver zugegriffen worden war.

Obwohl Panasonic keine Details darüber preisgab, welche Informationen erlangt wurden, berichtete der japanische Fernsehsender NHK, dass Informationen über die Technologie des Unternehmens, Geschäftspartner und persönliche Informationen von Mitarbeitern auf dem Server gespeichert waren.


Neiman Marcus

Die Luxuswarenhauskette Neiman Marcus gab im September 2021 eine Datenschutzverletzung bekannt, von der 4,6 Millionen Kunden betroffen waren. Die Ladenkette gab an, die Strafverfolgungsbehörden über die Datenschutzverletzung informiert zu haben, die im Mai 2020 stattgefunden habe. Von der Datenschutzverletzung waren über 3 Millionen Zahlungs- und virtuelle Geschenkkarten betroffen, von denen mehr als 85 % abgelaufen waren.

Die von den Kriminellen gestohlenen Daten variierten von Kunde zu Kunde, das Unternehmen gab jedoch an, dass sie Felder wie Namen, Kontaktinformationen, Kreditkartennummern (ohne CVV-Nummern), Benutzernamen und Passwörter für Online-Konten sowie Fragen und Antworten zur Wiederherstellung von Online-Konten umfassten. Dies ist der zweite große Datenverstoss, den Neiman Marcus erlitten hat, nachdem Hacker bereits 2013 die Kreditkartendaten von über 1 Million Kunden gestohlen hatten.


Poly Network

Die Kryptowährungsplattform Poly Network wurde im August 2021 Opfer eines schweren Angriffs, bei dem der mutmaßliche Hacker über 610 Millionen US-Dollar in Kryptowährung erbeutete. Tatsächlich handelt es sich hierbei um den bisher größten kryptobezogenen Hack. Das Netzwerk gab an, dass es seine Kryptowährungen zurückerhalten habe, die Identität des Hackers jedoch noch nicht ermittelt werden konnte.

Ein in China ansässiges Blockchain-Sicherheitsunternehmen, BlockSec, gab in einem Bericht zur Analyse des Angriffs an, dass der Hack möglicherweise durch das Durchsickern eines privaten Schlüssels verursacht wurde, der zum Signieren der Cross-Chain-Nachricht verwendet wurde. Es wurde auch hinzugefügt, dass ein weiterer möglicher Grund ein wahrscheinlicher Fehler während des Signaturprozesses von Poly sein könnte, der möglicherweise „missbraucht“ wurde, um die Nachricht zu signieren.

Die Sicherheit der Blockchain-Technologie wurde in den letzten Jahren in Frage gestellt, insbesondere aufgrund des anhaltenden Trends, dass Ransomware-Angreifer Organisationen anweisen, in digitaler Währung zu zahlen. Der Vorfall mit dem Poly-Netzwerk zeigt, wie anfällig neu entstehende kettenübergreifende Protokolle für Cyberangriffe sind.


OneMoreLead

Das B2B-Marketingunternehmen OneMoreLead speicherte im April 2021 zig Millionen Datensätze in einer ungesicherten Datenbank und setzte damit mindestens 63 Millionen Menschen dem Risiko von Betrug, Identitätsdiebstahl und Phishing-Kampagnen aus.

Die Datenbank umfasste 126 Millionen Datensätze (34 GB gross) und enthielt Namen, Berufsbezeichnungen, E-Mail-Adressen, physische Adressen, Telefonnummern, IP-Adressen und Namen von Arbeitgebern. Glücklicherweise scheint es nicht so, als hätten Hacker oder Kriminelle die ungesicherte Datenbank tatsächlich gefunden, aber wenn sie es getan hätten, hätte dies für Millionen von Benutzern ein grosses Problem darstellen können.

Die Datenbank enthielt auch zahlreiche E-Mail-Adressen von Regierungsstellen und der New Yorker Polizei. Angesichts der vollständigen Liste von 63 Millionen Personen gab es potenziell noch viel mehr sensible E-Mail-Adressen. Dies ist ein massives Problem, da die privaten Daten von Regierungsmitgliedern eine Goldgrube für kriminelle Hacker sind, insbesondere wenn sie von einer ausländischen Regierung unterstützt werden.


Cognyte

Das Cybersicherheitsunternehmen Cognyte hat es versäumt, seine Datenbank zu sichern, wodurch im Mai 2021 über 5 Milliarden Datensätze aus früheren Datenschutzverletzungen offengelegt wurden. Eine ungeschützte Datenbank ohne Passwortschutz, wie die von Cognyte, ermöglicht jedem, der online ist, uneingeschränkten Zugriff. Die Ironie dabei ist, dass die Datenbank, die dazu diente, diese persönlichen Informationen mit bekannten Datenschutzverletzungen abzugleichen, selbst offengelegt wurde. Zu den Informationen gehörten Namen, Passwörter, E-Mail-Adressen und die ursprüngliche Quelle des Lecks.

Die Forscher informierten Cognyte sofort und das Unternehmen sicherte seine Datenbank im Juni. Es ist nicht bekannt, ob Hacker die geleakten Daten in der kurzen Zeit, in der sie in Suchmaschinen auftauchten, genutzt haben. Das Unternehmen gab jedoch an, dass nicht alle seine geleakten Daten Passwörter enthielten, konnte aber den Prozentsatz der betroffenen Daten nicht berechnen.


Cox Media Group

Die Cox Media Group, ein US-amerikanisches Unternehmen für Rundfunk, Verlagswesen und digitale Mediendienste, gab bekannt, dass es im Juni 2021 Opfer eines Ransomware-Angriffs geworden ist, der die Live-Übertragung von Fernseh- und Radiosendungen lahmlegte. Das Unternehmen schaltete die Systeme sofort offline, nachdem der Angriff entdeckt wurde, und meldete den Vorfall dem FBI.

Die Cox Media Group fand Beweise dafür, dass die Eindringlinge persönliche Informationen, die auf den gehackten Systemen gespeichert waren, erbeutet hatten. Sie versuchten zwar auch, diese Daten aus dem Netzwerk des Unternehmens zu entfernen, es gibt jedoch keine Hinweise darauf, dass sie dabei erfolgreich waren. Ausserdem entdeckte das Unternehmen keine Anzeichen für Identitätsdiebstahl, Betrug oder finanzielle Verluste, die möglicherweise betroffene Personen betreffen.

Das Medienunternehmen hat dem Angreifer aufgrund dieses Vorfalls weder ein Lösegeld gezahlt noch ihm Geld zur Verfügung gestellt. Die Taktik, Ransomware in den Netzwerken grosser Unternehmen einzusetzen, wurde erstmals 2016 von iranischen Hackern beobachtet. Ihre Methode, grosse Unternehmen ins Visier zu nehmen, ist heute als „Grosswildjagd“ bekannt.


ParkMobile

Im März 2021 wurden die privaten Daten von mehr als 21 Millionen ParkMobile-Kunden in einem Hacking-Forum gefunden. ParkMobile ist eine beliebte App für bargeldloses Parken in Nordamerika, die den Benutzern bei der Parkplatzsuche und der Bezahlung der Gebühren hilft.

Das Unternehmen gab an, dass keine Kreditkarteninformationen abgerufen wurden und dass auch keine Daten im Zusammenhang mit dem Parktransaktionsverlauf eines Benutzers abgerufen wurden. Es wurde hinzugefügt, dass verschlüsselte Passwörter erhalten wurden, jedoch nicht die zum Lesen dieser Passwörter erforderlichen Verschlüsselungscodes. Das Unternehmen gab an, dass es die Passwörter der Benutzer durch Verschlüsselung mit fortschrittlichen Hashing- und Salting-Technologien schützt.

ParkMobile erfasst keine Führerscheinnummern, Sozialversicherungsnummern oder Geburtstage, und die Angreifer haben keine Kreditkarteninformationen oder Parkhistorie gestohlen.


Werden Sie ein besserer Experte für Cybersicherheit

Datenlecks und Hacking waren in letzter Zeit häufig in den Nachrichten zu sehen, und dieser Trend nimmt zu, wobei Cybervorfälle im Mittelpunkt stehen. Viele Organisationen erkennen nun, dass der reaktive Ansatz nicht effektiv ist, und wechseln zu einem proaktiveren Ansatz, wie z. B. der Bereitstellung von Cybersicherheitstrainings für Mitarbeiter.

Wenn Sie sich ein umfassendes Verständnis dafür aneignen möchten, wie Sie Systeme, Anwendungen und Daten vor Cyberangriffen schützen und Schäden an Vermögenswerten und Personen minimieren können, dann sollten Sie sich unseren Lehrgang zum Cyber Security Specialist mit eidgenössischem Diplom ansehen. Alle unsere Lehrgänge anzeigen hier.