Datenverletzungen, die bisher in den Jahren 2022 und 2023 aufgetreten sind

Datenschutzverletzungen nehmen seit einigen Jahren zu, und leider verlangsamt sich dieser Trend nicht. Das letzte Jahr oder so war übersät mit Diebstählen sensibler Informationen. Datenschutzverletzungen haben Unternehmen und Organisationen aller Formen, Größen und Sektoren getroffen und sie kosten US-Unternehmen Millionen an Schäden.

Die weit verbreitete Datenschutzverletzung von T-Mobile im vergangenen Jahr kostete das Unternehmen beispielsweise 350 Millionen US-Dollar im Jahr 2022 – und das nur an Kundenauszahlungen. Dies stellt Unternehmen mehr denn je in die Pflicht, ihre Netzwerke zu sichern, sicherzustellen, dass Mitarbeiter sichere Passwörter verwenden, und Mitarbeiter darin zu schulen, die verräterischen Anzeichen von Phishing-Kampagnen zu erkennen.

Nachfolgend haben wir eine Liste bedeutender, aktueller Datenschutzverletzungen (und einiger wichtiger Datenlecks) zusammengestellt, die seit dem 1. Januar 2022 stattgefunden haben, datiert auf den Tag, an dem sie erstmals in den Medien gemeldet wurden.

Januar 2023

30. Januar

Datenschutzverletzung bei JD Sports: Bis zu 10 Millionen Menschen haben möglicherweise auf ihre persönlichen Daten von Hackern zugegriffen, nachdem eine Datenverletzung beim Modeeinzelhändler JD Sports aufgetreten ist, dem JD, Size?, Millets, Blacks und Scotts gehören. Neil Greenhalgh, CFO von JD Sports, sagte dem Guardian, dass das Unternehmen seinen Kunden rät, „auf potenzielle betrügerische E-Mails, Anrufe und SMS wachsam zu sein“ und „Details darüber bereitstellt, wie diese gemeldet werden können“.

20. Januar

T-Mobile Data Breach: T-Mobile hat eine weitere Datenpanne erlitten, die dieses Mal rund 37 Millionen Postpaid- und Prepaid-Kunden betrifft, auf deren Daten alle Hacker zugegriffen haben. Das Unternehmen behauptet, dass das Problem zwar erst am 5. Januar dieses Jahres entdeckt wurde, die Eindringlinge aber vermutlich seit Ende November 2022 Daten aus den Systemen des Unternehmens exfiltriert haben.

Wie in der Einleitung zu diesem Artikel erwähnt, ist dies nicht das erste Mal, dass T-Mobile Opfer eines hochkarätigen Cyberangriffs wird, der Millionen von Kunden betrifft. Nach dem Angriff im letzten Jahr, bei dem die Daten von 76 Millionen Kunden kompromittiert wurden, versprach das Unternehmen, 150 Millionen US-Dollar für die Verbesserung seiner Datensicherheit auszugeben – aber der jüngste Angriff wirft ernsthafte Fragen auf, ob dies gut angelegt war.

18. Januar

Verletzung von MailChimp: Eine weitere Datenverletzung für MailChimp, nur sechs Monate nach der vorherigen. MailChimp behauptet, dass ein Angreifer durch einen Social-Engineering-Angriff auf seine Systeme zugreifen und dann auf Daten zugreifen konnte, die an 133 MailChimp-Konten angehängt waren. Es ist ein schlechtes Zeichen für das Unternehmen, da die Angriffsmethode der Verletzung im letzten Jahr erstaunlich ähnlich ist und ernsthafte Zweifel an seinen Sicherheitsprotokollen aufkommen lässt.

PayPal Data Breach: Ein Schreiben, das am 18. Januar 2023 an PayPal-Kunden gesendet wurde, besagt, dass „Unbefugte“ am 20. Dezember 2022 mit gestohlenen Anmeldedaten auf PayPal-Kundenkonten zugreifen konnten.

PayPal sagt weiter, dass das Unternehmen „keine Informationen“ über den Missbrauch dieser persönlichen Daten oder „irgendwelche nicht autorisierten Transaktionen“ auf Kundenkonten hat und dass es keine Beweise dafür gibt, dass die Kundendaten aus den Systemen von PayPal gestohlen wurden.

6 Januar

Chick-fil-A Data Breach: Die Fast-Food-Kette Chick-fil-A untersucht „verdächtige Aktivitäten“ im Zusammenhang mit einer ausgewählten Anzahl von Kundenkonten. Das Unternehmen hat Informationen darüber veröffentlicht, was Kunden tun sollten, wenn sie verdächtige Aktivitäten auf ihren Konten bemerken, und diesen Kunden geraten, alle gespeicherten Zahlungsmethoden auf dem Konto zu entfernen.

4. Januar

Twitter Data Breach: Die Daten von Twitter-Nutzern wurden im Jahr 2022 kontinuierlich im Dark Web gekauft und verkauft, und es scheint, dass 2023 nicht anders sein wird. Jüngsten Berichten zufolge wird derzeit eine Bank mit E-Mail-Adressen von rund 200 Millionen Twitter-Nutzern im Dark Web für nur 2 US-Dollar verkauft. Obwohl der Fehler, der zu diesem Leck geführt hat, im Januar 2022 behoben wurde, werden die Daten immer noch von verschiedenen Bedrohungsakteuren durchgesickert.

Dezember 2022

31. Dezember

Slack-Sicherheitsvorfall: Die Unternehmenskommunikationsplattform Slack veröffentlichte kurz vor dem Jahreswechsel eine Erklärung zu „verdächtigen Aktivitäten“, die auf dem GitHub-Konto des Unternehmens stattfinden.

„Bei der Untersuchung stellten wir fest, dass eine begrenzte Anzahl von Slack-Mitarbeiter-Token gestohlen und missbraucht wurden, um Zugriff auf unser extern gehostetes GitHub-Repository zu erhalten. Unsere Untersuchung ergab auch, dass der Bedrohungsakteur am 27. Dezember private Code-Repositories heruntergeladen hat“, sagte das Unternehmen. Slack bestätigte jedoch, dass „keine heruntergeladenen Repositories Kundendaten enthielten, Mittel zum Zugriff auf Kundendaten oder die primäre Codebasis von Slack“.

15. Dezember

SevenRooms Data Breach: Bedrohungsakteure haben in einem Hacking-Forum Einzelheiten zu über 400 GB sensibler Daten veröffentlicht, die von den Servern der CRM-Plattform gestohlen wurden . Die Informationen umfassten Dateien von großen Restaurantkunden, Promo-Codes, Zahlungsberichte und API-Schlüssel. Es scheint jedoch, dass die Server, die verletzt wurden, keine Kundenzahlungsdaten gespeichert haben.

1. Dezember

LastPass-Datenverletzung: Der Passwort-Manager LastPass hat einigen Kunden mitgeteilt, dass während einer kürzlichen Sicherheitsverletzung auf ihre Informationen zugegriffen wurde. Laut LastPass hat der Eindringling jedoch keine Passwörter abgegriffen. Dies ist nicht das erste Mal, dass LastPass in diesem Jahr Opfer eines Einbruchs in seine Systeme wurde – jemand brach im August in seine Entwicklungsumgebung ein, aber auch hier wurde auf keine Passwörter zugegriffen.

November 2022

11. November

AirAsia Data Breach: Die AirAsia Group hat Berichten zufolge einen vom „Daixin Team“ orchestrierten Ransomware-Angriff erlitten. Die Bedrohungsgruppe teilte DataBreaches.net mit, dass sie „die persönlichen Daten von 5 Millionen einzelnen Passagieren und allen Mitarbeitern“ erhalten habe. Dazu gehörten Name, Geburtsdatum, Geburtsland, Ort und die Antwort auf die „Geheimfrage“.

1. November

Datenschutzverletzung bei Dropbox: Dropbox wurde Opfer eines Phishing-Angriffs, bei dem 130 Github-Repositories kopiert und API-Anmeldeinformationen gestohlen wurden, nachdem Anmeldeinformationen unabsichtlich über eine gefälschte CricleCI-Anmeldeseite an den Angreifer weitergegeben wurden.

Dropbox bestätigte jedoch in einer Erklärung zu dem Angriff, dass „niemandes Inhalte, Passwörter oder Zahlungsinformationen abgerufen wurden“ und dass das Problem „schnell behoben“ wurde. Dropbox sagte auch, dass sie dabei seien, die „phishingresistentere Form“ der Multi-Faktor-Authentifizierungstechnik namens „WebAuthn“ einzuführen.

Oktober 2022

26. Oktober

Medibank Data Breach: Medibank Private Ltd, derzeit der größte Krankenversicherungsanbieter in Australien, gab heute bekannt, dass auf Daten von fast seinem gesamten Kundenstamm (fast 4 Millionen Australier) von einer nicht autorisierten Partei zugegriffen wurde. Der Angriff führte dazu, dass der Aktienkurs von Medibank um 14 % einbrach, der größte Tagesrückgang seit der Börsennotierung des Unternehmens.

18. Oktober

Vinomofo Data Breach: Der australische Weinhändler Vinomofo hat bestätigt, dass er einen Cyberangriff erlitten hat. Namen, Geburtsdaten, Adressen, E-Mail-Adressen, Telefonnummern und Geschlechter der fast 500.000 Kunden des Unternehmens wurden möglicherweise offengelegt – obwohl derzeit unklar ist, wie viele betroffen sind.

17. Oktober

Datenschutzverletzung bei MyDeal: 2,2 Millionen Kunden der Woolworth-Tochter MyDeal, einem australischen Einzelhandelsmarkt, sind von einer Datenschutzverletzung betroffen. Berichten zufolge wurde das CRM-System des Unternehmens kompromittiert, wobei Namen, E-Mail-Adressen, Telefonnummern, Lieferadressen und einige Geburtsdaten während der Verletzung offengelegt wurden.

15. Oktober

Shein Data Breach: Die Muttergesellschaft der Modemarke Shein, Zoetop, wurde mit einer Geldstrafe von 1,9 Millionen US-Dollar belegt, weil sie im Jahr 2018 eine Datenschutzverletzung behandelt hatte, bei der die persönlichen Daten von über 39 Millionen Kunden offengelegt wurden, die Konten bei der Bekleidungsmarke eingerichtet hatten.

Die New Yorker Staatsanwaltschaft sagt, Zoetop habe über das Ausmaß des Verstoßes gelogen, da das Unternehmen ursprünglich sagte, dass nur 6,42 Millionen Konten betroffen seien, und nicht bestätigte, dass Kreditkarteninformationen gestohlen wurden, obwohl dies tatsächlich der Fall war.

11. Oktober

Toyota Data Breach: In einer auf der Website des Unternehmens veröffentlichten Nachricht gab der Autohersteller an, dass die E-Mail-Adressen und Kundenkontrollnummern von fast 300.000 Kunden, die seinen T-Connect-Telematikdienst genutzt hatten, kompromittiert worden seien. Das Unternehmen versicherte den Kunden, dass keine Gefahr bestehe, dass Finanzdaten wie Kreditkarteninformationen oder Namen oder Telefonnummern gestohlen würden.

In seiner Erklärung räumte Toyota ein, dass die T-Connect-Datenbank seit Juli 2017 kompromittiert wurde und dass Kunden auf Phishing-E-Mails achten sollten.

10. Oktober

Singtel Data Breach: Singtel, die Muttergesellschaft von Optus, enthüllte, dass „die persönlichen Daten von 129.000 Kunden und 23 Unternehmen“ bei einem Cyberangriff vor zwei Jahren illegal erlangt wurden. Zu den offengelegten Daten gehören „National Registration Identity Care Information, Name, Geburtsdatum, Handynummern und Adressen“ der Opfer von Datenschutzverletzungen.

7. Oktober

Mögliche Datenschutzverletzung bei Facebook-Konten: Meta gab an, mehr als 400 bösartige Apps in Android- und iOS-App-Stores identifiziert zu haben, die auf Online-Benutzer abzielen, um ihre Facebook-Anmeldeinformationen zu stehlen. „Diese Apps wurden im Google Play Store und im App Store von Apple gelistet und als Bildbearbeitungsprogramme, Spiele, VPN-Dienste, Business-Apps und andere Dienstprogramme getarnt, um Leute dazu zu bringen, sie herunterzuladen“, sagte der Tech-Riese.

3. Oktober

LAUSD-Datenverletzung: Die russischsprachige Hacking-Gruppe Vice Society hat 500 GB an Informationen aus dem Los Angeles Unified School District (LAUSD) durchgesickert, nachdem der zweitgrößte Schulbezirk der USA es versäumt hatte, bis zum 4. Oktober ein nicht näher bezeichnetes Lösegeld zu zahlen. Der Ransomware-Angriff selbst machte Anfang September erstmals Schlagzeilen, als der Angriff E-Mail-Server und Computersysteme unter der Kontrolle des Distrikts störte.

September 2022

23.09

Optus Data Breach: Das australische Telekommunikationsunternehmen Optus – das 9,7 Millionen Abonnenten hat – hat eine „massive“ Datenpanne erlitten. Berichten zufolge wurden möglicherweise Namen, Geburtsdaten, Telefonnummern und E-Mail-Adressen offengelegt, während bei einer Gruppe von Kunden möglicherweise auch ihre Anschriften und Dokumente wie Führerscheine und Passnummern eingesehen wurden.

Es wird angenommen, dass die Angreifer eine staatlich geförderte Hacking-Gruppe oder eine Art kriminelle Organisation sind und die Firewall des Unternehmens durchbrochen haben, um an die sensiblen Informationen zu gelangen. Der australische Datenschutzbeauftragte wurde benachrichtigt.

Die australische Regierung hat gesagt, dass Optus für neue Pässe für diejenigen bezahlen sollte, die Optus ihre Daten anvertraut haben, und Premierminister Antony Albanese hat bereits angedeutet, dass dies zu „besseren nationalen Gesetzen führen könnte, nach einem Jahrzehnt der Untätigkeit, um die immense Datenmenge zu verwalten von Unternehmen über Australier gesammelt – und klare Konsequenzen, wenn sie es nicht gut machen.“

20.09

Datenschutzverletzung bei American Airlines: Die persönlichen Daten einer „sehr kleinen Anzahl“ von Kunden von American Airlines wurden von Hackern abgerufen, nachdem sie in die E-Mail-Konten von Mitarbeitern eingebrochen waren, so die Fluggesellschaft. Zu den Informationen, auf die zugegriffen wurde, könnten das Geburtsdatum der Kunden, der Führerschein, die Passnummern und sogar medizinische Informationen gehören, fügten sie hinzu.

19.09

Kiwi Farms Data Breach: Die berüchtigte Trolling- und Doxing-Website Kiwi Farms – bekannt für ihre bösartigen Belästigungskampagnen, die auf Trans-Menschen und nicht-binäre Menschen abzielen – wurde gehackt. Laut Websitebesitzer Josh Moon, auf dessen Administratorkonto zugegriffen wurde, sollten alle Benutzer „annehmen, dass Ihr Passwort für die Kiwi Farms gestohlen wurde“, „annehmen, dass Ihre E-Mail durchgesickert ist“ sowie „jede IP, die Sie auf Ihrem verwendet haben Kiwi Farms-Konto im letzten Monat“.

Revolut Data Breach: Revolut hat einen Cyberangriff erlitten, der es einem unbefugten Dritten ermöglicht hat, auf personenbezogene Daten von Zehntausenden von Kunden der App zuzugreifen. Berichten zufolge sind 50.150 Kunden betroffen. Die staatliche Datenschutzbehörde in Litauen, wo Revolut eine Banklizenz besitzt, sagte, dass wahrscheinlich E-Mail-Adressen, vollständige Namen, Postanschriften, Telefonnummern, begrenzte Zahlungskartendaten und Kontodaten offengelegt wurden.

18.09

Rockstar Data Breach: Das Spieleunternehmen Rockstar, der für die Grand Theft Auto-Serie verantwortliche Entwickler, wurde Opfer eines Hacks, bei dem Aufnahmen seines unveröffentlichten Grand Theft Auto VI-Spiels von dem Hacker durchgesickert waren. Darüber hinaus behauptet der Hacker, den Quellcode des Spiels zu besitzen, und versucht angeblich, ihn zu verkaufen. Es wird angenommen, dass der Verstoß durch Social Engineering verursacht wurde, wobei der Hacker Zugriff auf das Slack-Konto eines Mitarbeiters erlangte. Der Hacker behauptet auch, für den Uber-Angriff Anfang des Monats verantwortlich zu sein.

In einer Erklärung sagte Rockstar: „Wir haben kürzlich einen Netzwerkeinbruch erlitten, bei dem ein nicht autorisierter Dritter illegal auf vertrauliche Informationen von unseren Systemen zugegriffen und diese heruntergeladen hat, einschließlich frühem Entwicklungsmaterial für das nächste Grand Theft Auto.“

15.09

Uber Data Breach: Das Computernetzwerk von Uber wurde verletzt, wobei mehrere Engineering- und Kommunikationssysteme offline geschaltet wurden, während das Unternehmen untersucht, wie der Hack stattgefunden hat. Von einem Forscher als „totale Kompromittierung“ bezeichnet, wurden E-Mails, Cloud-Speicher und Code-Repositorys vom Täter bereits an Sicherheitsfirmen und die New York Times gesendet.

Uber-Mitarbeiter fanden heraus, dass ihre Systeme verletzt worden waren, nachdem der Hacker in das Slack-Konto eines Mitarbeiters eingebrochen war und Nachrichten verschickt hatte, die bestätigten, dass sie ihr Netzwerk erfolgreich kompromittiert hatten.

14.09

Fishpig-Datenverletzung: Der E-Commerce-Softwareentwickler Fishpig, der derzeit von über 200.000 Websites genutzt wird, hat Kunden darüber informiert, dass eine Verletzung des Verteilungsservers es Angreifern ermöglicht hat, eine Reihe von Kundensystemen durch Hintertüren zu öffnen. „Wir sind daran gewöhnt, automatisierte Exploits von Anwendungen zu sehen, und vielleicht haben sich die Angreifer so ursprünglich Zugriff auf unser System verschafft“, sagte der leitende Entwickler Ben Tideswell über den Vorfall.

7. September

North Face Data Breach: Rund 200.000 North Face-Konten wurden bei einem Credential-Stuffing-Angriff auf die Website des Unternehmens kompromittiert. Diese Konten enthielten vollständige Namen
Kaufhistorien, Rechnungsadressen, Lieferadressen, Telefonnummern, Geschlechter der Kontoinhaber und XPLR-Pass-Prämienaufzeichnungen. Es werden keine Kreditkarteninformationen vor Ort gespeichert. Alle Kontokennwörter wurden zurückgesetzt, und Kontoinhabern wurde empfohlen, ihre Kennwörter auf anderen Websites zu ändern, auf denen sie dieselben Anmeldedaten verwendet haben.

6. September

IHG/Holiday Inn Data Breach: IHG hat eine Erklärung veröffentlicht, in der es heißt, dass sie Kenntnis von „unbefugtem Zugriff“ auf ihre Systeme erlangt haben. Das Unternehmen bewertet „Art, Ausmaß und Auswirkungen des Vorfalls“, wobei das volle Ausmaß des Verstoßes noch klargestellt werden muss.

3. September

TikTok Data Breach Gerüchte: Gerüchte begannen zu kursieren, dass TikTok verletzt worden war, nachdem ein Twitter-Benutzer behauptete, den internen Backend-Quellcode der Social-Media-Site gestohlen zu haben. Nach der Untersuchung des Codes haben jedoch eine Reihe von Sicherheitsexperten die Beweise als „nicht schlüssig“ bezeichnet, darunter Troy Hunt von haveibeenpwned.com. Benutzer, die die Hacker News von YCombinator kommentierten, schlugen hingegen vor, dass die Daten von einer Art E- Commerce -Anwendung stammen, die sich in TikTok integriert.

Auf eine Anfrage von Bloomberg UK antwortete ein Sprecher von TikTok, dass das „Sicherheitsteam des Unternehmens diese Aussage untersucht und festgestellt hat, dass der fragliche Code in keinerlei Zusammenhang mit dem Backend-Quellcode von TikTok steht“.

2. September

Samsung Data Breach: Samsung gab bekannt, dass sie Opfer eines „Cybersicherheitsvorfalls“ geworden sind, als eine nicht autorisierte Partei im Juli Zugriff auf ihre Systeme erlangte. Im August erfuhren sie, dass einige persönliche Daten betroffen waren, darunter Namen, Kontaktinformationen, demografische Daten, Geburtsdaten sowie Informationen zur Produktregistrierung. Samsung kontaktiert alle Personen, deren Daten während der Verletzung kompromittiert wurden, per E-Mail.

August 2022

29.8

Nelnet Servicing Data Breach: Persönliche Informationen von 2,5 Millionen Menschen, die Studentendarlehen bei der Oklahoma Student Loan Authority (OSLA) und/oder EdFinancial aufgenommen haben, wurden offengelegt, nachdem Angreifer die Systeme von Nelnet Servicing verletzt hatten. Die Systeme wurden im Juni kompromittiert und der Unbefugte blieb bis Ende Juli im Netzwerk.

27.8

Facebook/Cambridge Analytica Data Breach Settlement: Meta stimmte an diesem Datum zu, eine Klage beizulegen, in der behauptet wurde, Facebook habe illegal Daten über seine Benutzer mit dem britischen Analyseunternehmen Cambridge Analytica geteilt. Die Daten wurden anschließend von politischen Kampagnen in Großbritannien und den USA im Jahr 2016 verwendet, einem Jahr, in dem Donald Trump Präsident wurde und Großbritannien die EU per Referendum verließ.

25.8

DoorDash Data Breach: „Uns wurde kürzlich bewusst, dass ein Drittanbieter das Ziel einer ausgeklügelten Phishing-Kampagne war und dass bestimmte von DoorDash verwaltete persönliche Informationen betroffen waren“, sagte DoorDash in einem Blogbeitrag.

Der Zustelldienst erklärte weiter, dass „die Informationen, auf die der Unbefugte zugegriffen hat, hauptsächlich [den] Namen, die E-Mail-Adresse, die Lieferadresse und die Telefonnummer“ einer Reihe von DoorDash-Kunden enthielten, während andere Kunden ihre „grundlegenden Bestellinformationen und teilweise“ hatten Zahlungskarteninformationen (d. h. der Kartentyp und die letzten vier Ziffern der Kartennummer)“ abgerufen.

LastPass Breach: Der Passwort-Manager hat seinen Kunden mitgeteilt, dass er von einer „unbefugten Partei“ kompromittiert wurde. Das Unternehmen versicherte den Kunden, dass dies in seiner Entwicklungsumgebung stattfand und keine Kundendaten gefährdet seien. Ein September-Update bestätigte, dass die Sicherheitsmaßnahmen von LastPass die Verletzung von Kundendaten verhinderten, und das Unternehmen erinnerte Kunden daran, dass sie keinen Zugriff auf die Master-Passwörter der Benutzer haben oder diese speichern.

24.8

Plex Data Breach: Die Client-Server-Medien-Streaming-Plattform Plex erzwingt ein Zurücksetzen des Passworts für alle ihre Benutzerkonten, nachdem „verdächtige Aktivitäten“ in einer ihrer Datenbanken festgestellt wurden. Berichte deuten darauf hin, dass auf Benutzernamen, E-Mails und verschlüsselte Passwörter zugegriffen wurde.

20. August

DESFA Data Breach: Griechenlands größter Erdgasversorger bestätigte, dass ein Ransomware-Angriff einen Ausfall des IT-Systems verursachte und auf einige Dateien zugegriffen wurde. Eine schnelle Reaktion des IT-Teams der Organisation – einschließlich der Deaktivierung von Online-Servern – bedeutete jedoch, dass der durch die Bedrohung verursachte Schaden minimal war.

10. August

Cisco Data Breach: Der multinationale Technologiekonglomerat Cisco bestätigte, dass die Yanluowang-Ransomware-Bande in sein Unternehmensnetzwerk eingedrungen war, nachdem die Gruppe während des Einbruchs gestohlene Daten online veröffentlicht hatte. Sicherheitsexperten haben angedeutet, dass die Daten nicht von „großer Bedeutung oder Sensibilität“ sind und dass die Bedrohungsakteure stattdessen nach Glaubwürdigkeit suchen könnten.

4. August

Twilio Data Breach: Der Messaging-Gigant Twilio bestätigte an diesem Tag, dass Hacker auf Daten von 125 Kunden zugegriffen hatten, nachdem sie Mitarbeiter des Unternehmens dazu verleitet hatten, ihre Anmeldeinformationen zu übergeben, indem sie sich als Mitarbeiter der IT-Abteilung ausgaben.

Juli 2022

26. Juli

Vertuschung von Datenschutzverletzungen durch Uber: Obwohl diese Datenschutzverletzung bereits 2016 stattfand und erstmals im November 2017 aufgedeckt wurde, dauerte es bis Juli 2022, bis Uber endlich zugab, dass es eine enorme Datenschutzverletzung vertuscht hatte, von der 57 Millionen Benutzer betroffen waren zahlte sogar 100.000 Dollar an die Hacker, nur um sicherzustellen, dass es nicht veröffentlicht wurde. In dem Fall wird der ehemalige Chief Security Officer von Uber, Joe Sullivan, wegen der Verletzung vor Gericht gestellt – die erste Instanz, in der eine Führungskraft wegen Anklage wegen einer Datenschutzverletzung vor Gericht gestellt wird.

22. Juli

Twitter Data Breach: Die ersten Berichte, dass Twitter eine Datenschutzverletzung bezüglich Telefonnummern und E-Mail-Adressen von 5,4 Millionen Konten erlitten hatte, machten an diesem Tag Schlagzeilen, wobei das Unternehmen im August bestätigte, dass die Verletzung tatsächlich echt war. Die Sicherheitslücke, die den Verstoß ermöglichte, war Twitter zum Jahreswechsel bekannt und wurde bis zum 13. Januar 2022 gepatcht, sodass der Datendiebstahl innerhalb dieses kurzen Zeitfensters stattgefunden haben muss.

19. Juli

Neopets Data Breach: An diesem Tag bot ein Hacker mit dem Alias ​​„TarTaX“ den Quellcode und die Datenbank für die Website des beliebten Spiels Neopet in einem Online-Forum zum Verkauf an. Die Datenbank enthielt Kontoinformationen von 69 Millionen Benutzern , darunter Namen, E-Mail-Adressen, Postleitzahlen, Geschlechter und Geburtsdaten.

18. Juli

Cleartrip Data Breach: Das Reisebuchungsunternehmen Cleartrip – das in Indien sehr beliebt ist und sich mehrheitlich im Besitz von Walmart befindet – bestätigte, dass seine Systeme verletzt wurden, nachdem Hacker behaupteten, seine Daten in einem Dark-Web-Forum nur auf Einladung veröffentlicht zu haben. Der volle Umfang der von den internen Servern des Unternehmens erfassten Daten ist unbekannt.

13. Juli

Datenschutzverletzung von Infinity Rehab und Avamere Health Services: Das Gesundheitsministerium wurde von Infinity Rehab darüber informiert, dass 183.254 Patienten ihre persönlichen Daten gestohlen wurden. Gleichzeitig teilte Avamere Health Services dem HHS mit, dass 197.730 Patienten ein ähnliches Schicksal erlitten hätten. Zu den gestohlenen Informationen gehörten Namen, Adressen, Führerscheininformationen und mehr. Am 16. August gab MultiCare aus Washington bekannt, dass 18.165 weitere Patienten von demselben Verstoß betroffen waren.

12. Juli

Datenschutzverletzung der Deakin University: Die australische Deakin University bestätigte an diesem Tag, dass sie das Ziel eines erfolgreichen Cyberangriffs war, bei dem die persönlichen Daten von 46.980 Studenten gestohlen wurden, einschließlich der jüngsten Prüfungsergebnisse. Rund 10.000 Studenten der Universität erhielten kurz nach dem Datenleck betrügerische SMS.

5. Juli

Marriot Data Breach: Die Hotelgruppe – der Datenpanne nicht fremd ist – bestätigte, dass ihre zweite hochkarätige Datenpanne der letzten Jahre im Juni stattgefunden hatte, nachdem eine Hackergruppe einen Mitarbeiter ausgetrickst und sich anschließend Zugang zu einem Computer verschafft hatte. Laut databreaches.net behauptete die Gruppe, im Besitz von 20 GB an Daten zu sein, die vom Server des BWI Airport Marriott in Maryland gestohlen wurden. Marriot würde 300-400 Personen über den Verstoß benachrichtigen.

Juni 2022

29. Juni

OpenSea Data Breach: NFT-Marktplatz OpenSea – der im Februar NFTs im Wert von 1,7 Millionen US-Dollar an Phisher verlor – erlitt eine Datenpanne, nachdem ein Mitarbeiter von Customer.io, dem E-Mail-Zustellanbieter des Unternehmens, „den Zugriff seiner Mitarbeiter missbraucht hatte, um von bereitgestellte E-Mail-Adressen herunterzuladen und zu teilen OpenSea-Benutzer… mit einer nicht autorisierten externen Partei“. Das Unternehmen sagte, dass jeder mit einem E-Mail-Konto, das er mit OpenSea teilt, „davon ausgehen sollte, dass er betroffen ist“.

17. Juni

Flagstar Bank Data Breach: Berichten zufolge waren 1,5 Millionen Kunden von einer Datenpanne betroffen, die das Unternehmen erstmals am 2. Juni 2022 bemerkte. „Wir haben keine Beweise dafür, dass eine der Informationen missbraucht wurde. Trotzdem möchten wir Sie aus Vorsicht auf den Vorfall aufmerksam machen“, heißt es in einem Brief der Flagstar Bank an betroffene Kunden.

14. Juni

Datenverletzung des Baptist Medical Center und des Resolute Health Hospital: Die beiden Gesundheitsorganisationen – mit Sitz in San Antonio bzw. New Braunfels – gaben bekannt, dass zwischen dem 31. März und dem 24. April eine Datenverletzung stattgefunden hatte. Daten wurden von einem „unbefugten Dritten“ aus ihren Systemen entfernt “ enthielt die Sozialversicherungsnummern, Versicherungsinformationen und die vollständigen Namen der Patienten.

11. Juni

Datenschutzverletzung bei Choice Health Insurance: An diesem Tag begann Choice Health Insurance, Kunden über eine Datenschutzverletzung zu informieren, die durch „menschliches Versagen“ verursacht wurde, nachdem festgestellt wurde, dass eine nicht autorisierte Person anbot, Daten von Choice Health online verfügbar zu machen. Dieser war eigentlich seit Mai 2022 öffentlich zugänglich. Der Datendump bestand aus 600 MB Daten mit 2.141.006 Dateien mit Labels wie „Agenten“ und „Kontakte“.

7. Juni

Datenschutzverletzung der Shields Health Care Group: Anfang Juni wurde berichtet, dass das in Massachusetts ansässige Gesundheitsunternehmen Shields Opfer einer Datenschutzverletzung wurde, von der 2.000.000 Menschen in den Vereinigten Staaten betroffen waren . Der Verstoß wurde erstmals am 28. März 2022 entdeckt und Informationen wie Sozialversicherungsnummern, Patienten-IDs, Privatadressen und Informationen über medizinische Behandlungen wurden gestohlen. Kurz darauf wurde eine Sammelklage gegen das Unternehmen eingereicht.

Mai 2022

26. Mai

Verizon Data Breach: Ein Bedrohungsakteur hat bei dieser Verizon-Datenpanne eine Datenbank voller Namen, E-Mail-Adressen und Telefonnummern einer großen Anzahl von Verizon-Mitarbeitern in die Hände bekommen. Vice/Motherboard bestätigten, dass diese Nummern legitim waren, indem sie die in den Datenbanken enthaltenen Nummern anriefen und bestätigten, dass sie derzeit (oder früher) bei Verizon arbeiten. Laut Vice war der Hacker in der Lage, das System zu infiltrieren, nachdem er einen Mitarbeiter davon überzeugt hatte, ihm in einem Social-Engineering-Betrug Fernzugriff zu gewähren.

23. Mai

Datenschutzverletzung des Verkehrsministeriums von Texas: Laut databreaches.net wurden persönliche Aufzeichnungen von über 7.000 Personen von jemandem erlangt, der das Verkehrsministerium von Texas gehackt hat.

20. Mai

Datenschutzverletzung im Alameda Health System: Alameda Health System mit Sitz in Oakland, Kalifornien, teilte dem Gesundheitsministerium mit, dass rund 90.000 Personen von einer Datenschutzverletzung betroffen waren, nachdem verdächtige Aktivitäten auf einigen E-Mail-Konten von Mitarbeitern festgestellt wurden, was später festgestellt wurde ein unbefugter Dritter sein.

17. Mai

National Registration Department of Malaysia Data Breach: Eine Gruppe von Hackern behauptete, die persönlichen Daten von 22,5 Millionen Malaysiern zu besitzen, die aus der myIDENTITI API gestohlen wurden, einer Datenbank, die es Regierungsbehörden wie der National Registration Department ermöglicht, auf Informationen über malaysische Bürger zuzugreifen. Die Hacker suchten nach Bitcoin im Wert von 10.000 Dollar für die Daten.

Regierung von Costa Rica: Bei einem der aufsehenerregendsten Cyberangriffe des Jahres wurde die Regierung von Costa Rica – die gezwungen war, den Notstand auszurufen – von der Conti-Ransomware-Bande gehackt. Conti-Mitglieder brachen in die Systeme der Regierung ein, stahlen äußerst wertvolle Daten und forderten eine Zahlung in Höhe von 20 Millionen US-Dollar, um ein Durchsickern zu verhindern. 90 % dieser Daten – rund 670 GB der Daten – wurden am 20. Mai auf einer Leak-Site gepostet.

7. Mai

SuperVPN, GeckoVPN und ChatVPN Data Breach: Ein Verstoß, an dem eine Reihe weit verbreiteter VPN-Unternehmen beteiligt waren, führte dazu, dass 21 Millionen Benutzer ihre Informationen im Dark Web durchsickern ließen, vollständige Namen, Benutzernamen, Ländernamen, Rechnungsdetails, E-Mail-Adressen und zufällig generierte Passwörter waren unter den verfügbaren Informationen. Leider ist dies nicht das erste Mal, dass vermeintlich datenschutzfreundliche VPNs wegen einer Datenschutzverletzung in die Schlagzeilen geraten .

April 2022

4. April

Cash-App-Datenverletzung: Eine Cash-App-Datenverletzung, von der 8,2 Millionen Kunden betroffen waren, wurde von der Muttergesellschaft Block am 4. April 2022 durch einen Bericht an die US Securities and Exchange Commission bestätigt. Der Verstoß war tatsächlich bereits im Dezember 2021 aufgetreten, wobei Kundennamen und Maklerkontonummern zu den entnommenen Informationen gehörten.

Emma Sleep Data Breach: Erstmals am 4. April gemeldet, wurden Kreditkarteninformationen von Kunden mit einem „Magecart-Angriff“ überflogen. „Dies war ein ausgeklügelter, gezielter Cyber-Angriff auf den Checkout-Prozess auf unserer Website und eingegebene persönliche Informationen, einschließlich Kreditkartendaten, wurden möglicherweise gestohlen“, heißt es in einer E-Mail an Kunden.

März 2022

30. März

Verletzung von Apple- und Metadaten: Laut Bloomberg wurden Ende März zwei der weltweit größten Technologieunternehmen von Hackern erwischt, die sich als Strafverfolgungsbeamte ausgaben. Apple und Meta stellten den Angreifern Mitte 2021 Kundenadressen, Telefonnummern und IP-Adressen zur Verfügung. Die Hacker hatten sich bereits Zugang zu Polizeisystemen verschafft, um betrügerische Anfragen nach den Daten zu versenden. Einige der Hacker galten als Mitglieder der Lapsus$-Hacking-Gruppe, die Berichten zufolge Anfang des Monats den Galaxy-Quellcode von Samsung gestohlen hatte.

26. März

Datenschutzverletzung des US-Bildungsministeriums: Es wurde bekannt, dass die Daten von 820.000 Studenten in New York im Januar 2022 gestohlen wurden, wobei auf demografische Daten, akademische Informationen und Wirtschaftsprofile zugegriffen wurde. Bundeskanzler David Banks machte das Softwareunternehmen Illuminate Education für den Vorfall verantwortlich.

24. März

Texas Department of Insurance Data Leak: Die staatliche Behörde bestätigte am 24. März, dass sie von einem „Datensicherheitsvorfall“ im Januar 2022 erfahren hatte, der seit rund drei Jahren andauert. „Arten von Informationen, die möglicherweise zugänglich waren“, sagte das TDI in einer Erklärung im März, umfassten „Namen, Adressen, Geburtsdaten, Telefonnummern, Teile oder alle Sozialversicherungsnummern sowie Informationen über Verletzungen und Entschädigungsansprüche von Arbeitnehmern . 1,8 Millionen Texaner sollen betroffen gewesen sein.

18. März

Verletzung von Kundendaten von Morgan Stanley: Die US-Investmentbank Morgan Stanley gab bekannt, dass die Konten einer Reihe von Kunden bei einem Vishing-Angriff (Sprachphishing) im Februar 2022 verletzt wurden, bei dem der Angreifer vorgab, ein Vertreter der Bank zu sein, um Konten zu verletzen und Zahlungen auf das eigene Konto veranlassen. Dies war jedoch nicht die Schuld von Morgan Stanley, der bestätigte, dass seine Systeme „sicher geblieben“ seien.

Februar 2022

25. Februar

Nvidia Data Breach: Der Chiphersteller Nvidia bestätigte Ende Februar, dass er einen möglichen Cyberangriff untersucht, was anschließend Anfang März bestätigt wurde. Bei der Verletzung wurden Informationen über mehr als 71.000 Mitarbeiter durchgesickert. Die Hackergruppe Lapsus$ übernahm die Verantwortung für das Eindringen in die Systeme von Nvidia.

20. Februar

Datenleck der Credit Suisse: Obwohl es sich technisch gesehen um ein „Datenleck“ handelt, wurde es von einem Whistleblower gegen den Willen des Unternehmens inszeniert und war dieses Jahr eine der bedeutendsten Offenlegungen von Kundendaten. Informationen zu 18.000 Konten der Credit Suisse wurden der deutschen Süddeutschen Zeitung übergeben und zeigten, dass das Schweizer Unternehmen eine Reihe hochkarätiger Krimineller in seinen Büchern hatte. Der Vorfall löste ein neues Gespräch über die Sittenwidrigkeit des Schweizer Bankgeheimnisses aus.

Januar 2022

20. Januar

Crypto.com-Datenverletzung: Am 20. Januar 2022 machte Crypto.com Schlagzeilen, nachdem eine Datenverletzung dazu führte, dass Gelder von 483 Konten abgehoben wurden. Es wird angenommen, dass rund 30 Millionen US-Dollar gestohlen wurden, obwohl Crypto.com zunächst angab, dass keine Kundengelder verloren gegangen seien.

19. Januar

Datenschutzverletzung des Roten Kreuzes: Im Januar wurde berichtet, dass die Daten von mehr als 515.000 „extrem gefährdeten“ Personen , von denen einige aus Kriegsgebieten geflohen waren, von Hackern durch einen komplexen Cyberangriff beschlagnahmt worden waren. Die Daten wurden von mindestens 60 Rotkreuz- und Rothalbmondgesellschaften auf der ganzen Welt über ein Drittunternehmen erhoben, das die Organisation zum Speichern von Daten verwendet.

6 Januar

Datenschutzverletzung bei Flexbooker: Am 6. Januar 2022 enthüllte die Website zur Verfolgung von Datenschutzverletzungen HaveIBeenPwned.com auf Twitter, dass im Monat zuvor 3,7 Millionen Konten verletzt worden waren. Flexbooker bestätigte nur, dass Kundennamen, Telefonnummern und Adressen gestohlen wurden, aber HaveIBeenPwned.com sagte, dass auch „teilweise Kreditkartendaten“ enthalten waren. Interessanterweise befanden sich 69 % der Konten bereits in der Datenbank der Website, vermutlich aufgrund früherer Sicherheitsverletzungen.

Datenschutzverletzungen vs. Datenlecks vs. Cyberattacken

Dieser Artikel befasst sich hauptsächlich mit Datenschutzverletzungen. A data breach occurs when a threat actor breaks into (or breaches) a company, organization, or entity's system and purposefully lifts sensitive, private, and/or personally identifiable data from that system. When this happened, companies are sometimes forced to pay ransoms, or their information is stolen ad posted online. According to one estimate, 5.9 billion accounts were targeted in data breaches last year.

This is different from a data leak , which is when sensitive data is unknowingly exposed to the public/members of the public, such as the Texas Department for Insurance leak mentioned above. The term “data leak” is often used to describe data that could, in theory, have been accessed by people it shouldn't of, or data that fell into the hands of people via non-malicious means. A government employee accidentally sending someone an email with sensitive data is usually described as a leak, rather than a breach.

Although all data breaches fall under the umbrella of a “ cyber attack “, cyber attacks are not limited to data breaches. Some cyber attacks have different motivations – such as slowing a website or service down or causing some other sort of other disruption. Not all cyberattacks lead to the exfiltration of data, but many do.

How Can I Protect My Organization From Cyber-Attacks?

Ensuring you take steps to protect your company from the sorts of cyber attacks that lead to financially fatal data breaches is one of the most crucial things you can do. It's not just businesses that are at risk, however – schools and colleges are some of the most frequently targeted organizations that suffer huge financial losses .

Some companies and organizations – like Lincoln College – have had to shut down due to the fallout costs of a cyberattack. There has never been more of an onus on companies, colleges, and other types of organizations to protect themselves.

Unauthorized access to networks is often facilitated by weak business account credentials. So, whilst passwords are still in use , the best thing you can do is get your hands on a password manager for yourself and the rest of your staff team. This will allow you to create robust passwords that are sufficiently long and different for every account you hold. However, you'll also need to use additional security measures, like 2-Factor Authentication, wherever possible, to create a second line of defense.

Another thing you must do is ensure your staff has sufficient training to spot suspicious emails and phishing campaigns. 70% of cyberattacks target business email accounts, so having staff that can recognize danger when it's present is just as important as any software.