Die größten Datenschutzverletzungen des Jahres 2021 und was wir daraus gelernt haben
Veröffentlicht: 2021-09-162021 war ein schlechtes Jahr für die Cybersicherheit.
Angesichts der Ungewissheit über die Pandemie, einer neuen Telearbeit und einem deutlichen Mangel an angemessenem Schutz für Tausende von Unternehmen im ganzen Land hatten wir ein Umfeld, das reif war, um von böswilligen Akteuren ausgenutzt zu werden.
Und Cyberkriminelle haben genau das getan. Das Ausnutzen der Ängste und Befürchtungen der Menschen, Phishing-Angriffe, Ransomware und andere Angriffsvektoren, die sich auf Social Engineering stützten, nahmen erheblich zu, zusätzlich zu anderen Vektoren wie SQL-Injection, Zero-Day-Exploits und Denial-of-Service-Angriffen (DDoS).
Während es die großen Angriffe sind, die mehr Aufmerksamkeit erregen, werden KMUs genauso häufig angegriffen, und kein Unternehmen ist zu klein, um in der heutigen Cybersicherheitsumgebung Opfer von Cyberkriminalität zu werden.
Laut einem Bericht aus dem Jahr 2020 haben 55 % der KMUs einen Cyberangriff erlebt.
Heute werfen wir einen Blick auf einige der größten Datenschutzverletzungen des Jahres, was sie verursacht hat und was wir daraus lernen können.
Verwandter Beitrag: Pandemie-Cyberangriffe treiben die Einführung von Technologien voran
Die guten Nachrichten
Es wäre nachlässig, nicht anzuerkennen, dass Datenschutzverletzungen im Jahr 2021 im Vergleich zu 2020 um 24 % zurückgegangen sind.
Dies bedeutet jedoch nicht, dass eine ausreichende Verbesserung vorgenommen wurde, um vor Angriffen sicher zu sein.
Mitarbeiter, die ins Büro zurückkehren, und eine Zunahme der Investitionen in die Cybersicherheit sind die treibenden Kräfte hinter dieser Verbesserung, aber Unternehmen sollten wachsam bleiben, und diejenigen, die nicht in ihre Sicherheitsvorkehrungen investiert haben, sollten dringend erwägen, eine Strategie einzuführen, sei es durch eine in- Hausteam oder über einen MSSP.
In der ersten Hälfte des Jahres 2021 gab es 1.767 öffentlich gemeldete Verstöße, wodurch insgesamt 18,8 Milliarden Datensätze aufgedeckt wurden.
Lassen Sie uns jetzt ohne weiteres einsteigen!
T-Mobile
Was ist passiert?
Am 17. August war der Telekommunikationsriese T-Mobile Opfer eines Cyberangriffs, bei dem die sensiblen Daten von mehr als 54 Millionen Menschen kompromittiert wurden, darunter SSNs, Namen, Adressen, Geburtsdaten, Führerschein- und ID-Nummern sowie IMEI- und IMSI-Nummern.
T-Mobile reagierte schnell auf den Verstoß, schaltete seine Server ab und leitete eine umfassende Untersuchung ein.
Wie ist es passiert?
Der Hacker, der die Verantwortung für den Angriff übernahm, der 21-jährige John Binns, sagte dem Wall Street Journal, er habe sich über einen ungesicherten Router Zugang zur internen Infrastruktur von T-Mobile verschafft und beschrieb die Sicherheit des Unternehmens als „schrecklich“.
Was haben wir gelernt?
Dies ist nicht das erste Mal, dass T-Mobile Opfer einer Datenschutzverletzung wurde, nachdem es bereits in den Jahren 2018, 2019 und 2020 zusätzlich zu diesem Jahr gehackt worden war.
Der jüngste Verstoß ist der fünfte in vier Jahren.
Wenn Binns Bericht über das Hacken eines ungesicherten Routers wahr ist, ist dies nur ein weiteres Beispiel dafür, dass ein Unternehmen nicht alle seine Geräte mit Endpunktschutz richtig identifiziert und sichert.
Unternehmen sollten sicherstellen, dass sie jedes mit ihrem Netzwerk verbundene Gerät überwachen und bereitstellen, sonst riskieren sie, Hackern eine Tür weit offen zu lassen, die sie ausnutzen können, wie es T-Mobile getan hat.
SocialArks
Was ist passiert?
SocialArks ist eine in China ansässige Plattform zur Verwaltung von Social-Media-Daten und -Kampagnen.
Im Jahr 2021 erlitt es einen massiven Datenverstoß – über 300 Millionen Datensätze von Social-Media-Konten von Plattformen wie Facebook, Instagram und LinkedIn wurden gestohlen.
Insgesamt 400 GB an privaten Kontodaten von mehr als 200 Millionen Social-Media-Nutzern auf der ganzen Welt wurden kompromittiert.
Wie ist es passiert?
Die SocialArks-Verletzung ereignete sich, weil die ElasticSearch-Datenbank, die sie besaßen, falsch konfiguriert war.
Die sensiblen Daten in der Datenbank waren von Social-Media-Sites „gekratzt“ worden, und dem Server, auf dem die Daten gespeichert waren, mangelte es laut späteren IP-Adressüberprüfungen an geeigneten Sicherheitsprotokollen.
Der Zugriff auf den Server war nicht einmal passwortgeschützt, was bedeutete, dass praktisch jeder auf die riesigen Mengen an persönlichen Daten zugreifen konnte, wodurch sie gestohlen wurden.
Was haben wir gelernt?
Viele Organisationen, die Verbraucherdaten speichern, tun dies an ungesicherten Orten.
Aus Verbrauchersicht sollten sie äußerst vorsichtig sein, mit wem sie ihre personenbezogenen Daten teilen und ihnen Zugang zu ihnen gewähren.
Für Unternehmen ist es wichtig zu erkennen, dass der verantwortungsvolle Schutz von Kundendaten heute unerlässlich ist – Menschen verlieren sehr schnell das Vertrauen, wenn ihre ungesicherten Daten gestohlen werden.
Aus diesem Grund ist es eine gute Idee, sicherzustellen, dass die verwendeten Rechenzentren hochsicher sind und ein akzeptables Redundanzniveau aufweisen, wie z. B. Tier-III- und Tier-IV-Rechenzentren.
Volkswagen
Was ist passiert?
Eine Datenschutzverletzung bei einem Lieferanten von Volkswagen betraf mehr als 3,3 Millionen Kunden in Nordamerika und wurde im Mai 2021 bekannt.
Bei mehr als 90.000 Kunden in den USA und Kanada wurden sensiblere Daten kompromittiert, darunter Informationen über die Kreditwürdigkeit sowie Geburtsdaten und Sozialversicherungsnummern.
Der unter dem Alias „000“ identifizierte Hacker schrieb, dass er den Inhalt der Datenbank für etwa 5.000 US-Dollar verkaufen wollte.
Wie ist es passiert?
Ein vom Unternehmen nicht genannter Zulieferer von Volkswagen hat Kundendaten aus den Jahren 2014 bis 2019 ungeschützt gelassen.
Der Verkäufer sammelte im Auftrag von Volkswagen Kundeninformationen, um seine Vertriebs- und Marketinginitiativen zu unterstützen.
Volkswagen hat sich bisher geweigert, sich dazu zu äußern, wie genau der Anbieter gehackt wurde, und sagte nur, dies sei darauf zurückzuführen, dass „elektronische Daten irgendwann zwischen August 2019 und Mai 2021 ungesichert gelassen wurden“.
Seitdem wurden mehrere Untersuchungen eingeleitet, und Volkswagen ist Gegenstand einer Sammelklage, die im Juni 2021 eingereicht wurde.
Was haben wir gelernt?
Viele Unternehmen lagern verschiedene Aspekte ihres Betriebs aus, einschließlich Marketingdienstleistungen.
Vor einer Partnerschaft mit einem Anbieter sollten Unternehmen sicher sein, dass sie die ihnen anvertrauten Daten schützen, insbesondere wenn es sich um personenbezogene Daten (PII) von Kunden handelt.
Unternehmen, die in Branchen mit strengen Compliance-Vorschriften wie dem Gesundheitswesen tätig sind, sollten doppelt darauf achten, mit wem sie für Dienstleistungen zusammenarbeiten.
Kaseya
Was ist passiert?
Im Juli 2021 entdeckte das Softwareunternehmen Kaseya, dass eine Reihe von Managed Service Providern und deren Kunden mit Ransomware angegriffen wurden, die sich auf die RMM-Lösung (Remote Monitoring and Management) von Kaseya auswirkte.
Kaseya gab an, dass zwischen 800 und 1.500 Unternehmen, die ihre Software verwenden, von dem Angriff betroffen waren, wobei die Hacker ein Lösegeld von 70 Millionen US-Dollar forderten, damit die verschlüsselten Daten an die MSPs zurückgegeben werden.
Kaseya reagierte mit dem Herunterfahren von Systemen, bevor es den Benutzern ein Tool zur Erkennung von Kompromittierungen zur Verfügung stellte, das ihnen dabei half, festzustellen, ob sie betroffen waren.
Sie gaben an, dass kein Lösegeld an die Hacker gezahlt worden sei.
Wie ist es passiert?
Hacker nutzten einen Zero-Day-Exploit, um Authentifizierungsprotokolle zu umgehen und beliebige Befehle in Kaseyas VSA-Fernüberwachungsprodukt auszuführen.
Dadurch konnten sie Updates mit Malware an die MSP-Kunden von Kaseya weiterleiten und diese mit Ransomware infizieren.
Was haben wir gelernt?
Zero-Day-Exploits, bei denen es darum geht, neue Schwachstellen auszunutzen, bevor sie gepatcht und aktualisiert werden, sind weiterhin ein Thema in der Cybersicherheit.
2021 war das bisher größte Jahr für die Ausnutzung von Zero-Day-Schwachstellen.
Zero-Day-Angriffe stellen das ständige Schlag-auf-den-Maus-Spiel dar, das Ingenieure mit Hackern spielen, um diese Schwachstellen zu verhindern.
Neuere Sicherheitstechniken, insbesondere solche, die Verhaltensmuster und maschinelles Lernen verwenden, um Bedrohungen zu erkennen, werden in Zukunft unerlässlich sein, um Zero-Day-Angriffe zu stoppen.
Unternehmen, die dies noch nicht getan haben, sollten in Betracht ziehen, in Technologien zur Bedrohungssuche zu investieren, um ihre Systeme aktiv mit fortschrittlichen proaktiven Cybersicherheitstools zu schützen.
Ubiquiti
Was ist passiert?
Ubiquiti ist ein Hersteller von High-End-Verbrauchertechnologie, einschließlich Routern, Überwachungskameras und anderen Geräten für das Internet der Dinge (IoT), mit Schwerpunkt auf Sicherheit.
Im Januar 2021 riet das Unternehmen Benutzern, ihre Passwörter zurückzusetzen, nachdem sie einen Verstoß erlitten hatten, an dem ein externer Cloud-Anbieter beteiligt war.
Ubiquiti teilte Kunden später mit, dass Namen, E-Mail-Adressen, gehashte Anmeldeinformationen und Telefonnummern kompromittiert worden seien, ging jedoch nicht darauf ein, wie viele Kunden betroffen waren.
Der scheinbar routinemäßige Sicherheitsvorfall erlangte erhebliche Bekanntheit, als ein Whistleblower Ende März 2021 behauptete, der Vorfall sei heruntergespielt worden und tatsächlich „katastrophal“.
Wie ist es passiert?
Anstelle der Schuld eines Drittanbieters behauptete der Whistleblower, dass Ubiquiti die Daten tatsächlich auf der AWS-Plattform von Amazon gehostet habe.
Hacker verschafften sich offenbar über gestohlene LastPass-Zugangsdaten Administratorzugriff auf Datenbanken.
Nachdem die Daten gestohlen worden waren, forderten die Hacker 50 Bitcoin (BTC) (etwa 2–3 Millionen US-Dollar) von Ubiquiti, das sich nicht mit ihnen beschäftigte.
Infolge des Verstoßes und der verwirrten Kommunikation und Nachrichtenübermittlung an die Kunden fiel der Aktienkurs von Ubiquiti um 25 % und muss sich noch erholen.
Was haben wir gelernt?
Zugriffskontrollen und Richtlinien für Software von Drittanbietern innerhalb von Organisationen sollten überwacht und gepflegt werden.
Wer hat Zugriff auf was und warum? Diese Frage stellen sich Unternehmen viel zu selten und führen oft zu einer erhöhten Zahl von Angriffsvektoren für Cyberkriminelle.
Außerdem wurde in vielen dieser Fälle keine Multifaktor-Authentifizierung verwendet – in diesem Fall war ein einfaches Passwort erforderlich, auf das sich die Hacker Zugriff verschafft hatten.
Hätten sie sich auch über das Telefon des Mitarbeiters authentifizieren müssen, wäre der Angriff sofort gestoppt worden.
Ansonsten zeigt die Verletzung von Ubiquiti die Notwendigkeit für Unternehmen, Angriffen völlig offen gegenüberzutreten, da der Rufschaden, der durch Vorfälle wie den Börsengang von Whistleblowern entstehen kann, verheerend sein kann – seien Sie immer klar und legen Sie den Kunden genau das offen, was sie wissen müssen; Es sind ihre Daten und sie verdienen nichts Geringeres.
Endeffekt
Wir haben uns einige der größten Datenschutzverletzungen des Jahres 2021 angesehen.
Wie Sie sehen, können Datenschutzverletzungen aufgrund einer Vielzahl von Angriffsvektoren auftreten, und jeder von ihnen ist für den Geschäftsbetrieb äußerst gefährlich.
Jede der Sicherheitsverletzungen, die wir uns heute angesehen haben, war vermeidbar, und es gibt Lösungen, die ein Unternehmen in eine hervorragende Position bringen können, um Angriffe abzuwehren.
Unternehmen, die sich ihres Cybersicherheitsprofils nicht sicher sind, sollten eine Risikobewertung in Betracht ziehen, damit sie sich ein klares Bild davon machen können, welche Lösungen sie implementieren müssen, um nicht wie diese Unternehmen im Jahr 2021 Opfer zu werden.
Wenn Sie Cybersicherheit benötigen, sich aber nicht sicher sind, wo Sie anfangen sollen, sollten Sie eine Risikoprüfung durch Impact in Erwägung ziehen. Setzen Sie sich noch heute mit uns in Verbindung, um den Stein ins Rollen zu bringen, um Ihre Zukunft zu sichern.