Datenschleuder des tages

Die schweizer steuer-äpp fürs wischofon „steuern59.ch“ hat sämtliche daten aller nutzer ohne zugriffsschutz in eine „cloud“ von amazon gestellt und somit im internetz veröffentlicht. Alle diese auch für kriminelle banden sehr leckeren daten waren auch für technisch eher weniger interessierte zeitgenossen mit frei verfügbarer softwäjhr automatisiert aufzufinden.

Nach Informationen, die heise online exklusiv vorliegen, speicherten die Android- und iOS-Apps dieser Firma alle in der App erhobenen Daten sowie abfotografierte Dokumente beim Cloud-Anbieter Amazon Web Services (AWS). Die Daten in diesem sogenannten AWS Bucket waren für jeden, der ein kostenloses AWS-Konto besitzt, frei einsehbar. Darunter unter anderem die Steuererklärungen und Steuerbescheide, sowie alle abfotografierten Belege wie Lohnabrechnungen, Versicherungsnachweise und Geburts- und Heiratsurkunden hunderter App-Nutzer […] Des Weiteren enthielt der AWS Bucket die Chat-Verläufe der Kunden, in denen diese zum Teil ihre Steuererklärung mit dem Dienstleister besprechen – diese Protokolle waren ebenfalls im Klartext gespeichert

Natürlich waren auch die passwörter der nutzer im klartext gespeichert, dieses gesalzene häsching aus den siebziger jahren kann ja niemand implementieren, wenn er nur ein geschäft mit einer schnell gehäckselten äpp machen will…

Aber sage niemand, dass er nicht vorher gewarnt war! Da steht zwar in den „datenschutzbestimmungen“ für die nutzung dieser scheißäpp…

Die Sicherheit der Nutzer steht an erster Stelle

*kicher!* …dass die sicherheit an erster stelle steht, vermutlich, weil der lügenwerber diese 08/15-formulierung so empfohlen hat, aber da steht auch…

Die Übermittlung von Daten über das Internet ist leider nicht absolut sicher. Die App Steuern59.ch arbeitet mit Dienstleistern und Internetanbietern zusammen, welche angemessene technische und organisatorische Sicherheitsvorkehrungen treffen, um die personenbezogenen Daten der Nutzer zu schützen. Die App Steuern59.ch kann jedoch keine Garantie für die Sicherheit der vom Nutzer übermittelten Daten übernehmen. Jede Datenübertragung erfolgt daher auf eigenes Risiko

…dass die offenbar völlig unseriöse und offen kundenverachtende klitsche, die diese äpp „steuern59.ch“ anbietet, mit allen möglichen, selbstverständlich gegenüber den nutzern ungenannten subunternehmern und subsubunternehmern zusammenarbeitet, jegliche verantwortung für deren datenverarbeitung ablehnt. Was bleibt, ist das „eigene risiko“. Wisst schon, eure sicherheit steht an erster stelle. :mrgreen:

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an den überall so leicht und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Schutz von gesundheitsdaten des tages

Benutzt hier jemand dieses vivy, das euch einige krankenkassen für euer händi andrehen wollen? Hl. scheiße! Ich würde einer krankenkasse, die mir so eine wanze andrehen will, wegen unheilbaren vertrauensverlustes fristlos kündigen und ihr meinen arbeitsaufwand (kündigen, neue kasse suchen, lauferei) in rechnung stellen. Die PResseerklärung klang da noch ganz anders und ist als vorsätzliche lüge zu betrachten

Die Daten der Nutzer seien sicher […] Bei jeder Datenübertragung gebe es mehrstufige Sicherheitsprozesse und eine Verschlüsselung, für die nur der Versicherte den Schlüssel habe

Außer natürlich bei den daten, die verschlüsselt an guhgell gefunkt werden und von denen das opfer der lügen-PR gar nix mitkriegt:

Auch der Google-Tracker »app-measurement.com« fehlt nicht […] Leider können wir die Daten nicht einsehen, da Google eine zusätzliche Verschlüsselung darüber legt

Gruß auch an Jens Spahn von der scheiß-CDU! Man könnte ihn ja mal fragen, was aus den feuchten träumen von der eGK geworden ist — wenn man von kosten und aufwand einmal absieht.

Nachtrag: bei Mike Kuketz gibt es jetzt auch ein paar weitere erläuterungen.

Datenschleuder des tages

Amazon:
Mitarbeiter sollen Kundendaten verkauft haben

Es besteht der Verdacht, dass Amazon-Mitarbeiter vertrauliche Kundendaten vor allem an chinesische Händler weitergegeben hätten […] Dazu sollen Vermittler eingeschaltet worden sein, die die Daten zwischen 80 und 2000 US-Dollar angeboten haben

Tja, auch so ein unterbezahlter, geknuteter und entrechteter mitarbeiter des menschenrechtsverachtenden ausbeuterkonzerns „amazon“ muss ja von irgendwas leben. Das ist halt die kehrseite vom billig.

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig und weitgehend konsekwenzenlos versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Knuddels.de, ein tschättanbieter aus der BRD, hat mal eben seine benutzerdatenbank veröffentlicht — und natürlich waren die passwörter im klartext gespeichert. So eine sicherheitstechnik aus den späten siebziger jahren wie das gesaltete häsching von gespeicherten passwörtern, für die es natürlich fertigen, guten und erprobten kohd gibt, war den betreibern dieser tschättenden webkommune wohl irgendwie zu hirnend.

So leute, jetzt könnt ihr mal sehen, ob diese scheiß-DSGVO nur zum fertigmachen und einschüchtern privater webseit-betreiber in der EU konzipiert wurde, oder ob in fällen derart grober fahrlässigkeit auch wirklich die möglichen empfindlichen bußgelder aufgebrummt werden. Ich habe da ja einen verdacht, was passieren wird: nix.

Aber völlig unabhängig von der weiter voranschreitenden, p’litisch gewollten entdemokratisierung des internet: auch weiterhin viel spaß und orwellness beim festen glauben an den überall konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

British airways hat 380.000 kundendatensätze „veröffentlicht“, schön zusammen mit daten zur bankverbindung und/oder kreditkarte.

Auch weiterhin ganz viel spaß und orwellness beim festen glauben an den überall und ohne jegliche konsekwenzen versprochenen datenschutz und würzhafte reklamelügenfrasen wie „wir nehmen den schutz der daten unserer kunden sehr ernst“ und dergleichen! Die liste wäxt und wäxt und wäxt.

Nein, herr staatssekretär!

Werter herr staatssekretär Gerd Billen,

sie haben einen brief an guhgell geschrieben, in dem sie folgenden witz zum besten geben:

„die Erfassung und Speicherung von Standortdaten trotz deaktivierten Standortverlauf“ wäre geeignet, „das Vertrauen der Verbraucher in die Nutzung von Angeboten und Diensten der digitalen Welt ganz gravierend und nachhaltig zu beeinträchtigen“

Nein, herr Billen, das stimmt nicht, und das wissen sie genau. Es gibt keine nachhaltige und gravierende beeinträchtigung irgendeines vertrauens. Tatsächlich ist es den meisten menschen zurzeit völlig egal, wie sehr sie von unternehmen überwacht, verdatet und als „rohstoff des 21. jahrhunderts“ (A. Merkel) an reklameheinis verkauft werden. Gefällt mir auch nicht. Ist aber so.

Aber dafür stimmte etwas anderes, was sie leider nicht schreiben: eine solche datenspeicherung ohne explizite einwilligung des davon betroffenen menschen ist illegal und würde in einem staat, der nicht so eine erbärmliche bananenrepublik wie die BRD ist, zu einer ganz normalen strafverfolgung führen.

Oder ist diese DSGVO etwa gar nicht dazu gedacht, gegen große unternehmen eingesetzt zu werden und soll nur dazu dienen, die ganz normale aktive internetzteilhabe ganz normaler menschen zu einer kwal und zu einem unkalkulierbaren juristischen risiko zu machen, um menschen von aktiver internetzteilhabe abzuschrecken?

Dann sagen sie das doch direkt so, sie stinkender scheißlügner!

Aber in jedem fall: ersparen sie mir und den rest der menschen in der BRD ihre widerwärtige heuchelei!

Ohne gruß.
Nach diktat verreist.

Datenschleuder des tages

LifeLock, eine zu symantec gehörende klitsche, die ihren kunden schutz vor identitätsdiebstahl verspricht, hat sämtliche mäjhladressen sämtlicher kunden offen ins web gestellt. Ein „häck“ war nicht erforderlich.

Auch weiterhin viel spaß beim festen glauben an die überall gegebenen datenschutzversprechungen und beim abnicken der ungelesen bestätigten DSGVO-einwilligungen! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Der trend geht klar zum „outsourcing“ des datenschleuderns, egal, ob den datenschutzversprechern der „cloud“-anbieter oder den datenschutzversprechern irgendwelcher geschäftspartner vertraut wird: VW, toyota, general motors, ford, fiat chrysler und tesla haben mal eben einen satz interner dokumente, zum teil mit persönlichen daten und zum teil auch mit geschäftsgeheimnissen, bei einer kleinen kanadischen klitsche offen ins internet stellen lassen:

Bei den Daten handele es sich etwa um technische Informationen zu Produktionsabläufen – mitunter streng gehütete Geschäftsgeheimnisse. Verträge, Arbeitspläne und sogar Verschwiegenheitsverpflichtungen […] fast 47.000 Dateien von mehr als 100 Unternehmen, die mit dem kleinen kanadischen Roboterhersteller Level One Robotics and Controls zu tun gehabt hätten […] auch persönliche Daten wie gescannte Führerscheine und Pässe […] auf einem Backup-Server entdeckt

Hej, wer sich schon mit robotik auskennt, kann sich ja nicht auch noch mit kompjutersicherheit auskennen! Gruß auch an die pösen russischen häcker!

Die daten sind doch anonymisiert…

Die einzigen wirklich anonymen daten sind die, die niemals erhoben werden, alles andere lässt sich mehr oder weniger weitgehend deanonymisieren. Jeder und jede, der oder die etwas anderes behauptet, ist entweder völlig ahnungslos oder eine angesprochen unappetitliche leibespforte, die euch vorsätzlich anlügt, um euch zu verdummen und in sorglosigkeit einzulullen.

Datenschleuder des tages

„Ticketmaster“ hat einige seiner kunden am 27. juni 2018 mit folgender mäjhl¹ angeschrieben [bildschirmfoto der mäjhl in ihrem originalen HTML-layout]:

Sicherheitsvorfall bei einem Drittanbieter

Am Samstag, den 23. Juni 2018, hat das Team von Ticketmaster Groß­britannien eine bös­artige Software in einem Kunden­dienst-Tool identi­fiziert, welches von Inbenta Technologies, einem externen Dritt­anbieter, mit dem Ticketmaster zusammen­arbeitet, zur Verfügung gestellt wird.

Sobald wir die Schad­software entdeckt hatten, haben wir das Inbenta-Produkt auf allen Websites abgeschaltet.

Aufgrund des Produkts von Inbenta, das auf den Websites von Ticketmaster International ein­ge­bunden war, wurde möglicher­weise auf einige persön­liche Informationen sowie auf Zahlungs-Informationen unserer Kunden von unbekannten Dritten zuge­griffen.

Wir kontaktieren Sie, weil Sie zwischen September 2017 und dem 23. Juni 2018 Tickets gekauft haben oder versucht haben, Tickets zu kaufen. Auch wenn es keine Hinweise darauf gibt, dass Ihre Daten kompro­mittiert wurden, benach­richtigen wir Sie sicherheits­halber.

Forensische Teams und Sicherheits­experten arbeiten rund um die Uhr daran, herauszufinden, wie die Daten kompro­mittiert wurden.

Wir arbeiten mit den zuständigen Behörden sowie mit den Kredit­karten­unternehmen und Banken zusammen.

Was wir tun:

  • Ticketmaster International hat die spezielle Website sicherheit.ticketmaster.de ein­ge­richtet, um Ihre Fragen zum Vorfall von Inbenta zu beantworten. Sie können uns zusätzlich hier kontaktieren: fan (punkt) help (at) ticketmaster (punkt) de
  • Als Vorsichts­maßnahme müssen alle von uns informierten Kunden ihr Passwort für unsere Website ändern, sobald sie sich das nächste Mal in ihr Konto einloggen.
  • Betroffenen Kunden bieten wir einen kostenfreien Identitäts­überwachungsservice eines führenden Anbieters an. Wenn Sie daran interessiert sind, klicken Sie bitte hier.

Wir empfehlen Ihnen, Ihre Konto­auszüge auf Hinweise von Betrug oder Identitätsdiebstahl zu überprüfen. Wenn Sie Bedenken haben oder verdächtige Aktivitäten in Ihrem Konto bemerken, wenden Sie sich bitte an Ihre Bank(en) und Kredit­karten­unternehmen.

Ticketmaster versteht die Bedeutsamkeit Ihrer persönlichen Daten. Die Gewährleistung der Sicherheit der persön­lichen Daten unser Kunden ist uns sehr wichtig und es tut uns leid, Sie aufgrund dieses Vorfalls kontaktieren zu müssen.

Mit freundlichen Grüßen
Das Ticketmaster Team

Darunter der ganze text noch einmal in englischer sprache, gefolgt von einem hinweis, dass die mäjhl träcking-kohd enthält, mit denen die mäjhls verbessert und noch bessere reklame geschaltet wird. Aber hej, wo ist denn das problem. Diese klitsche namens „ticketmaster“ hat ja schon vortrefflich bewiesen, dass die gesammelten daten bei ihr in den allerbesten händen sind und sagt ja selbst, dass sie die bedeutsamkeit persönlicher daten versteht. :mrgreen:

Auch weiterhin viel spaß beim festen glauben an den überall mit leichtem herzen und völlig konsekwenzenlos versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt. 😦

¹Die mäjhl wurde mir von einem leser gesteckt, dessen identität ich hier nicht preisgeben werde. Sonst bekommt der noch eine abmahnung oder gar eine richtige strafe wegen seines datenschutzverstoßes oder wegen seines verstoßes gegen das fernmeldegeheimnis! Ja, so absurd kann das recht in der BRD sein…

Datenschleuder des tages

Die Host-Europe-Tochter Domainfactory, einer der größten Webhoster auf dem deutschen Markt, hat mit einem Einbruch in ihre Systeme zu kämpfen. Ein Unbekannter hatte am Dienstag im Support-Forum der Firma behauptet, in deren Kundendatenbank eingebrochen zu sein. Als Beweis dafür gab er interne Daten mehrerer Kunden preis, die dann prompt die Korrektheit der Informationen bestätigten

Wisst schon, auch weiterhin viel spaß beim festen glauben und die liste wäxt und wäxt und wäxt. Und bitte gar nicht erst die Frage stellen, wozu um alles in der welt…

Sollte der uns vorliegende Auszug sich mit dem decken, was der Angreifer über andere Kunden erbeutet hat, so hat er Kenntnis der Klarnamen, Adressen, Telefonnummern, Mailadressen, Telefon-Passwörter, Bankdaten und einiger anderer persönlicher Informationen wie etwa Teile des Schufa-Scorings der Kunden

…bei einem 08/15-webhosting die speicherung der schufa-bewertung in der datenbank erforderlich sein sollte! Daten werden halt angesammelt. Und nicht wieder gelöscht. Niemals. Das wäre ja widernatürlich. Das ist schließlich der rohstoff des 21. jahrhunderts, die datensammlungen können ja irgendwann mal richtig etwas wert sein. Und ansonsten gilt, na, was gilt wohl:

Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr

Digital first, bedauern second. :mrgreen:

Nachtrag: Dann frage ich mal die aufsichtsbehörde

Datenschleuder des tages

Typeform, eine klitsche, die in andere webseits einbettbare umfragen und fiehdbäck-formulare anbietet, hat mal eben ein bäckup mit jeder menge persönlicher daten von nutzern veröffentlicht — und in tasmanjen wurden über dieses „typeform“ sogar regjonalwahlen durchgeführt.

Auch weiterhin viel spaß beim festen glauben an den überall versprochenen schutz eurer persönlichen daten. Die liste wäxt und wäxt und wäxt.

via @benediktg5@twitter.com

Datenschleuder des tages

Exactis, eine bigdäjhta- und reklameklitsche aus dem sonnigen florida, hat die daten von mehr als 218 milljonen menschen ohne zugriffsschutz ins internetz gestellt. So viel datenreichtum!

Ich wünsche auch weiterhin viel spaß beim festen glauben an den überall leichten herzens und völlig konsekwenzenlos versprochenen schutz der persönlichen daten! Die liste wäxt und wäxt und wäxt

Datenschleuder des tages

Der italienische Sammelalbenhersteller Panini hat nach Angaben des Nachrichtenmagazins Der Spiegel gravierende Probleme mit der Sicherheit einer Kundendatenbank. Unbefugte hätten persönliche Daten anderer Kunden einsehen können, darunter Bilder von Minderjährigen. Datenschützer bewerten den Fall deshalb als besonders schwerwiegend

Hej, und mit einer menge kinder mit nacktem oberkörper. Da freuen sich pädofil veranlagte menschen über neue wixvorlagen. Und andere kriminelle freuen sich darüber, dass oft für einen identitätsmissbrauch hinreichende daten angegeben wurden. So sind doch alle zufrieden! 👿

Ob es wohl ein bußgeld nach DSGVO geben wird? Es geht immerhin um besonders geschützte personenbezogene daten von kindern.

  • Ist ein vertrag über eine auftragsdatenverarbeitung mit dem hoster vorhanden?
  • Gab es eine vorbeugung gegen datenlecks? (Offensichtlich nicht, denn das klingt nach einem problem, dass schon bei einer eher mittelgründlichen untersuchung aufgefallen wäre.)
  • Wurden die betroffenen (hier: ihre eltern) informiert?
  • Haben die unberechtigten empfänger eine aufforderung erhalten, gegebenfalls gespeicherte daten und dem käsch des brausers zu löschen?

Meiner (natürlich bei weitem nicht vollständig informierten) auffassung nach ist ein bußgeld fällig, und zwar ein saftiges.

Oder wurde diese DSGVO nur zur einschüchterung, verunsicherung und verängstigung von privatmenschen und kleinen unternehmern eingeführt?

Wir werden es in den nächsten tagen sehen.

(Nein, „panini“ mit seinen grenzwucherischen abzockpreisen für bedrucktes papier ist ganz sicher nicht in seiner existenz bedroht. Die hätten halt nicht am datenschutz sparen sollen…)

Mögliche datenschleuder des tages

Der Sportartikelhersteller Adidas hat Kunden in den USA vor einem möglichen Datendiebstahl gewarnt. Am 26. Juni habe es erfahren, dass eine „unautorisierte Partei“ behaupte, sich Informationen von bestimmten Adidas-Kunden angeeignet zu haben, teilte das Unternehmen am Donnerstag mit

Angesichts der tatsache, dass eine klitsche wie adidas nicht mit ihrer reputazjon herumspielen wird, gehe ich davon aus, dass es sich nicht um ein völlig unbelegtes gerücht handelt. Dass dermaßen schnell informiert wird und betroffene kunden vor einem missbrauch ihrer daten durch verbrecher gewarnt werden, ist leider eine seltenheit. Und vorbildlich und lobenswert ist es!

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig und konsekwenzenlos versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

FastBooking, ein Hersteller von Booking-Software für Hotelketten weltweit, ist Opfer eines Hackerangriffs geworden […] Im ersten Durchgang erbeuteten die Kriminellen vollständige Namen von Hotelgästen, ihre E-Mail-Adressen und Angaben zur Nationalität sowie möglicherweise auch die Postanschrift. Hinzu kamen das Ankunfts- und Abreisedatum und der für den Aufenthalt fällige Betrag nebst Reservierungsnummer. Der zweite Beutezug zielte dann auf Kombinationen aus Namen und Kreditkartendaten ab

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig (weil völlig konsekwenzenlos) versprochenen schutz eurer persönlichen daten! Die liste wäxt und wäxt und wäxt.

Datenschleuder des tages

Benutzt hier jemand äpps für ändräut oder eiOS?

Offensichtlich sichern viele App-Entwickler ihre Firebase-Datenbank nur unzureichend ab, sodass sich Unbefugte Zugang zu Nutzerdaten verschaffen können […] 2,6 Millionen unverschlüsselte Passwörter, API Keys und Finanzdaten von Unternehmen […] Den Sicherheitsforschern zufolge genügt es, eine Server-URL mit "/.json" zu erweitern

Auch weiterhin viel spaß beim festen glauben an den überall leichtherzig versprochenen schutz eurer daten! Die liste wäxt und wäxt und wäxt… 😦

Dank auch an guhgell, deren firebase-datenbanken standardmäßig ungeschützt sind!

Hinweis via @benediktg5@twitter.com

Datenschutz des tages

„Wir haben derzeit keine Pläne, neues Bildmaterial von deutschen Straßen in Street View verfügbar zu machen“, sagte Google-Deutschland-Sprecherin Lena Heuermann der Zeitung. „Wir würden gerne aktualisieren, aber deutsche Datenschutzbestimmungen verhindern das leider“

Ist es nicht schön, wie der BRD-datenschutz die hausfassaden längs der straße vor fieser datensammelei durch fotoapparate schützt, während die menschen in der BRD bis zum abwinken geträckt, überwacht, verdatet und gedatenbergbaut werden können?