September – 2008 – jovelblog

Archiv für September 2008

Lang lebe der Leser!

10.09.2008, 00:10 von jovelstefan | 12 Kommentare

Dieser Beitrag ist nur für euch, eine Ode an die Leser, jene die regelmäßig hier vorbei stapfen genauso wie jene, die ihren Feedreader mit dem jovelblog verwöhnen. Feiert euch! Feiert, dass ihr dieses Blog nicht vergessen habt, obwohl es immer lebloser wirkt. Feiert euch in den Kommentaren! Jeder, der diese Zeilen liest, möge einen Kommentar der Selbsthuldigung hinterlassen! Möge zeigen, dass er hier war als Teil des Ganzen. Kommentiert! JETZT!

Tags:

ZDF-WISO-Mail meldet Datendiebstahl bei PwC

04.09.2008, 09:57 von jovelstefan | 2 Kommentare

Gestern Abend kam auch bei mir eine Mail aus der ZDF-WISO-Redaktion an. Betreff: „Hinweis auf Datenmissbrauch“ (Mailtext siehe unten). Diese Mail haben scheinbar etliche Netznutzer bekommen und zunächst sind die meisten davon ausgegangen, dass es sich um Spam oder sogar Phishing handelt. Inzwischen ist mir wie auch anderen die Echtheit der Mail aber auch vom ZDF (Zuschauertelefon) bestätigt worden. Besonders in den Kommentaren des Lidzba-Blog wird heiß diskutiert und es kristallisiert sich heraus, dass ein Großteil dieser Daten (jeweils Username und unverschlüsseltes Passwort) aus der (Bewerber-?)datenbank eines sehr großen Wirtschaftsprüfungs-/Consultingunternehmens mit 3 Buchstaben stammen (Update: PriceWaterhouseCoopers).

Das kann auch ich so bestätigen, da ich vor knapp 2 Jahren ebenfalls eine Bewerbung dort eingestellt habe und die verwendete Mailadresse ausschließlich für Bewerbungen (und seitdem nie wieder) verwendet habe. Von daher ist es für mich auch kein persönlicher GAU, da meine Accounts bei ebay, paypal und Co. (die Nutzerdaten wurden scheinbar auf etlichen Portalen „ausprobiert“) alle mit anderer Mailadresse und einem jeweils eigenem Passwort geschützt sind. Das wird aber sicherlich bei vielen nicht so sein.

Fassen wir also zusammen:

  • PwC speichert die Passwörter unverschlüsselt und lässt sie sich dann noch klauen.
  • WISO macht die Betroffenen mit einer ungeschickten Mail verrückt und spart maximal viele wichtige Informationen aus.

Dass PwC so mit Kunden-/nutzerdaten umgeht, ist natürlich Katastrophe und Armutszeugnis zugleich, ohne Frage. Aber auch WISO hat hier unglücklich agiert. Die Mailadresse, von der die Mails verschickt wurden, ist im Gegenzug nicht erreichbar. Genauere Informationen, wann die entwendeten Daten wo und wie aufgetaucht, verfügbar oder entdeckt wurden, fehlen. Die WISO-Webseite wurde erst am gestrigen Abend nach dem Versenden der Mails mit einer Vorankündigung des Themas versehen, die auch nicht mehr aussagt. Grundsätzlich gut, dass die Betroffenen informiert wurden, leider etwas ungeschickt.

Ich werde nun versuchen, eine Stellungnahme von PwC einzuholen.

Update, 10.20h: Die Bewerbungswebsite von PwC ist derzeit im Wartungsmodus…

Update, 10.25h: Ein Anruf bei der Presseabteilung von PriceWaterhouseCoopers (PWC) ergab zwar noch keine Bestätigung, jedoch die Information, dass derzeit eine offizielle Mitteilung des Unternehmens in Arbeit ist. Der sehr freundliche Mensch, mit dem ich sprach, hält auch Blogger für Journalisten (wow!) und wird mir die Erklärung dann auch direkt per Mail zukommen lassen. Das kommt im Grunde einer Bestätigung recht nahe und ich warte nun gespannt…

Update, 12:07h: Die offizielle Erklärung von PwC ist da.

Der Text der Mail:

Hallo, Eigentümer der E-Mailadresse bla@blub.com,

Sie erhalten diese Mail von uns, weil wir auf einen datenschutzrechtlich problematischen Sachverhalt aufmerksam gemacht wurden, der Ihre E-Mail-Adresse betrifft.

Ihre E-Mail-Adresse und das Passwort *123456** (Zu Ihrer Sicherheit wurde das Passwort gekürzt) befinden sich nach unseren Recherchen auf einem im Internet frei zugänglichen, in China beheimateten Server.

Die Daten scheinen aus einem Datendiebstahl zu stammen, die Datendiebe haben versucht, sich mit Hilfe dieser Kombination aus Mail-Adresse und Passwort Zugang zu Online-Bezahldiensten zu verschaffen.

Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen zu tun hat und bei der Sie sich in der Vergangenheit einmal angemeldet haben.

Möglicherweise nutzen Sie diese Kombination aus E-Mail-Adresse und Passwort für weitere Internet-Dienste, etwa für Ihren Mail-Account, zum Anmelden bei Online-Shops oder auf anderen Webseiten. In diesem Fall raten wir Ihnen dringend, auf jeder einzelnen dieser Seiten Ihr Passwort unverzüglich zu ändern, bevor irgendjemand aus dem Vorhandensein dieser Daten im Internet einen Vorteil ziehen kann.

Hinweise zur Verwendung von Passwörtern und für die sichere Passworterstellung erhalten Sie untenstehend.

Diese Mail geht zurück auf Recherchen der ZDF-Sendung WISO, die am Montag den 8. September ausführlich über diesen Datendiebstahl berichten wird. Informationen erhalten Sie spätestens dann auch unter http://www.wiso.de/ Bitte beachten Sie, dass wir keine Einzelfallberatung durchführen können – E-Mails an diese Versandadresse werden nicht beantwortet.

Wir werden die uns vorliegenden Daten nach Ausstrahlung des Beitrags löschen, Sie erhalten keine weitere Mail von uns an diese Adresse (es sei denn, Sie haben sich bei einem ZDF-Informationsdienst angemeldet.) Wir informieren das vom Datendiebstahl betroffene Unternehmen sowie die entsprechende für den Datenschutz zuständige Behörde von dem Vorfall. Allerdings haben wir keinen Einfluss darauf, die auf einem chinesischen Webserver liegenden Daten zu löschen.

Um über die Brisanz des Datendiebstahls qualifiziert berichten zu können bittet Sie die WISO-Redaktion, an einer kurzen Umfrage zum Datendiebstahl teilzunehmen, selbstverständlich anonym (Beachten Sie die Hinweise am Ende der Mail).
Ihre Angaben können dabei helfen, dass die Zuschauer der Sendung für Probleme rund um die Datensicherheit im Internet sensibilisiert werden.
http://vote.wiso.zdf.de/

Mit freundlichen Grüßen

Zweites Deutsches Fernsehen / Redaktion WISO

[Rest gekürzt]

Weitere Blogberichte zum Thema u.a. bei Robert, XSBlog2.0Beta, Tobias, EDV-Blogger, siehe auch technorati.

Tags: , , , , , , , , ,