Das Jahr 2019 neigt sich dem Ende zu, und weitere Meldungen über Datenschutzverletzungen machen Schlagzeilen. Zu Beginn des Jahres stellte der 2019 Midyear Quickview Data Breach Report fest, dass 2019 auf dem besten Weg ist, das "schlimmste Jahr aller Zeiten" in Bezug auf Datenschutzverletzungen zu werden. Mit einem Anstieg von 54 % bei Datenschutzverletzungen im letzten Jahr und mehr als 4 Milliarden kompromittierten Datensätzen hat 2019 seinen Anteil an einigen der größten Datenschutzverletzungen aller Zeiten gehabt.
Die größten Datenschutzverstöße des Jahres 2019
Fortnite
Das Jahr begann mit der Bekanntgabe, dass über 200 Millionen Spieler weltweit Opfer einer Datenschutzverletzung wurden, die durch mehrere Sicherheitslücken in der Online-Plattform Fortnite verursacht wurde.
Am 16. Januar 2019 erklärte Epic Games, der Entwickler des Videospiels Fortnite, dass eine Schwachstelle im Anmeldesystem von Fortnite es Hackern ermöglichte, sich als Spieler auszugeben und mit den im Konto gespeicherten Kredit- oder Debitkarten Spielwährung zu kaufen.
Epic Games hat das Problem zwar eingeräumt und behoben, ist aber inzwischen mit einer Klage konfrontiert worden, in der behauptet wird, dass das Unternehmen die betroffenen Nutzer nicht benachrichtigt hat.
Evite
Im Februar 2019 gab Evite, ein Dienst für soziale Planung und elektronische Einladungen, bekannt, dass eine unbefugte Partei eine inaktive Datenspeicherdatei mit Informationen über die Nutzer des Unternehmens, einschließlich Namen, Benutzernamen, E-Mail-Adressen, Passwörter, Geburtsdaten, Telefonnummern und Postadressen, erworben hat. Es wird vermutet, dass 100 Millionen Nutzer von der Sicherheitsverletzung betroffen waren.
Kapital Eins
Im März 2019 wurden durch eine Datenpanne bei Capital One die persönlichen Daten von 106 Millionen Kunden offengelegt. Zu diesen Daten gehörten Namen, Adressen, Geburtsdaten, Kreditwürdigkeit, Sozialversicherungsnummern und Kontonummern.
Eine Fehlkonfiguration des Servers wurde für die Sicherheitsverletzung verantwortlich gemacht, die als "eine der größten Datenschutzverletzungen aller Zeiten" eingestuft wurde und rund 100 Millionen US-Kunden und 6 Millionen in Kanada betraf.
Überprüfungen.io
Bei Verifications.io, einem E-Mail-Validierungsdienst, kam es zu einer Datenpanne, bei der rund 763 Millionen Datensätze offengelegt wurden. Zu den preisgegebenen Daten gehörten E-Mail-Adresse, Name, Geschlecht, IP-Adresse, Telefonnummer und andere persönliche Informationen. Der Verstoß wurde von den Sicherheitsforschern Bob Diachenko und Vinny Troia entdeckt, die auf eine ungeschützte, öffentlich zugängliche MongoDB-Datenbank mit 150 Gigabyte detaillierter Marketingdaten stießen.
Canva
Bei Canva, einem bekannten australischen Webdesign-Dienst, kam es zu einem Datenbankbruch, bei dem die persönlichen Daten von rund 139 Millionen Nutzern offengelegt wurden, darunter E-Mail-Adressen, geografische Standorte, Namen, Kennwörter, Benutzernamen und Finanzdaten.
Die Nutzer wurden von haveibeenpwned.com (HIBP) und Firefox Monitor über das Sicherheitsleck informiert, das am 24. Mai 2019 aufgetreten ist.
Erste Amerikanerin
Das Immobilien- und Grundbuchversicherungsunternehmen First American hat versehentlich mehr als 885 Millionen vertrauliche Dokumente online gestellt, als die Daten unsachgemäß gespeichert und öffentlich zugänglich gemacht wurden.
Die Informationen, die bis ins Jahr 2003 zurückreichen, waren ungeschützt verfügbar und konnten sogar ohne Passwort abgerufen werden, wenn man wusste, wo man suchen musste.
Die digitalen Aufzeichnungen, zu denen Bankkontonummern und -auszüge, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern, Überweisungsbelege und Bilder von Führerscheinen gehörten, wurden auf der Website des Unternehmens für jedermann zugänglich gemacht. Zwar gibt es derzeit keine Anhaltspunkte dafür, dass die Informationen gefunden oder gestohlen wurden, doch war der Umfang der Datenpanne eine Fundgrube für jeden Betrüger oder Identitätsdieb und daher sehr wertvoll.
First American erklärte, die Schwachstelle sei ein "Konstruktionsfehler".
Quest Diagnostik
Im Juni wurde bekannt, dass die Daten von bis zu 11,9 Millionen Patienten von Quest Diagnostics kompromittiert worden waren.
AMCA, ein Partner für das Inkasso, war schuld, als es einem Hacker gelang, auf die Systeme des Unternehmens zuzugreifen, in denen sensible Bankkontodaten und die medizinischen Daten von 11,9 Millionen Patienten gespeichert waren. Der Vorfall wurde vermutlich durch eine interne Sicherheitslücke in der Lieferkette verursacht.
Ecuador
Im September leiteten die ecuadorianischen Behörden eine Untersuchung über eine Datenpanne ein, bei der die persönlichen Daten von bis zu 20 Millionen Menschen - mehr als die Einwohnerzahl des Landes - online zugänglich gemacht wurden.
Zu den preisgegebenen Daten gehörten persönliche Informationen wie vollständige Namen, Geburtsdaten, Personalausweisnummern, Steueridentifikationsnummern, Beschäftigungsinformationen und die Namen von Familienmitgliedern. Auch Finanzdaten wurden veröffentlicht, darunter Kontostatus, Kontostand und Kreditart der Bankkunden.
Aus den Sicherheitsverletzungen, die in diesem Jahr für Schlagzeilen gesorgt haben, lassen sich wertvolle Lehren für den künftigen Datenschutz in Unternehmen ziehen. Die schädlichen Folgen einer Datenschutzverletzung können für ein Unternehmen lähmend sein, und die Bedrohung durch gefährdete Daten kann jedes Unternehmen zu jeder Zeit treffen. Aus diesem Grund ist es von entscheidender Bedeutung, dass Unternehmen die Lehren aus früheren Vorfällen ziehen und ihre großen Datenbestände besser schützen, indem sie sich auf grundlegende Sicherheitshygiene, Praktiken und Schulungen konzentrieren.
Minderung des menschlichen Risikos
MetaCompliance ist darauf spezialisiert, die besten auf dem Markt erhältlichen Schulungen zum Thema Cybersicherheit zu entwickeln. Unsere Produkte gehen direkt auf die spezifischen Herausforderungen ein, die sich aus Cyber-Bedrohungen und der Unternehmensführung ergeben, indem sie es den Benutzern erleichtern, sich mit Cybersicherheit und Compliance zu beschäftigen. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir die Cybersicherheitsschulung in Ihrem Unternehmen verbessern können.
