Top 5 der größten Hackerangriffe

Die Zahl der Datenschutzverletzungen hat in den letzten Jahren stetig zugenommen. Täglich gibt es neue Meldungen über Datenschutzverletzungen und Hacks. Heute blicken wir zurück und werfen einen Blick auf 5 der größten und schlimmsten Datenschutzverletzungen der Geschichte.

1. RockYou2024

RockYou2024 ist der Höhepunkt der Datenschutzverletzungen und eine Warnung an alle, die denken, dass Hacker sich nicht darum scheren. Im Juli 2024 stellten Angreifer eine große Anzahl von Passwörtern in ein Hackerforum. Diese Sammlung basiert auf dem alten Datenleck RockYou2021, aber RockYou2024 ist immer noch ziemlich aktuell. 83 % der Passwörter können mit einem speziellen Abgleichalgorithmus innerhalb einer Stunde geknackt werden, und nur 4 % (328 Millionen) können als sicher eingestuft werden. Mit anderen Worten: Es wird mehr als ein Jahr dauern, um sie mit fortgeschrittenen Algorithmen zu knacken. 

2. Yahoo

Vor mehr als einem Jahrzehnt wurde Yahoo durch eine Phishing-E-Mail gehackt, was zu einer Reihe von Berichten über angebliche Datenschutzverletzungen führte. In ersten Berichten war von Hunderten von Millionen Konten die Rede, doch diese Zahl wurde später auf rund 500 Millionen nach oben korrigiert. Im Jahr 2017, kurz nach dem bevorstehenden Deal des Unternehmens mit Verizon, wurde bekannt, dass alle drei Milliarden Konten betroffen waren. Die Hacker waren in der Lage, auf Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern zuzugreifen. Schlimmer noch: Sie konnten auf Konten von Nutzern zugreifen, die ihre Passwörter seit Jahren nicht mehr geändert hatten. Deshalb ist es so wichtig, Passwörter regelmäßig zu ändern und alte Profile zu löschen.

Dieser Vorfall ist ein weiterer Beweis dafür, dass selbst große Technologieunternehmen bei der ordnungsgemäßen Speicherung von Benutzerdaten versagen können. Im Fall von Yahoo entdeckten die Angreifer eine unverschlüsselte Q&A-Datenbank, und bei einigen Konten fehlte die Zwei-Faktor-Authentifizierung völlig. Die Lehre aus diesem Vorfall ist, dass Sie sich beim Schutz Ihrer persönlichen Konten nicht auf soziale Medien oder Online-Plattformen verlassen sollten. Sie müssen sichere Passwörter erstellen oder generieren.

3. UIDAI (Aadhar)

Die Unique Identification Authority of India (UIDAI) verwaltet das weltweit größte biometrische Identifikationssystem, in dem die persönlichen Daten von über einer Milliarde Menschen in Indien sowie biometrische Informationen wie Fingerabdrücke und Irisbilder gespeichert sind. Während viele Länder auf der ganzen Welt derzeit die Einführung der biometrischen Identifizierung planen, verfügt Indien bereits seit über einem Jahrzehnt über ein solches System. Die UIDAI wurde gegründet, um allen Einwohnern Indiens eine eindeutige amtliche Identifikationsnummer „Aadhar“ zu geben.

Im Jahr 2018 verschafften sich Cyberkriminelle nach einer Reihe von Datenpannen nicht nur Zugang zu der Datenbank, sondern verkauften sie auch für 500 Millionen Rupien (etwa $6 nach aktuellem Wechselkurs). Im Jahr 2023 gab es eine weitere große Datenpanne, von der 815 Millionen Menschen in Indien betroffen waren. Banken und Strafverfolgungsbehörden raten den Opfern von Datenlecks immer noch, biometrische Daten bei Finanzdienstleistungen abzuschalten. Dies ist jedoch keine Garantie für Sicherheit, da Namen, Passnummern, Fotos, Fingerabdrücke und andere Informationen in die Hände von Cyberkriminellen fallen können.

4. Facebook

Die Kombination der Worte „Facebook“ und „Datenleck“ wird niemanden überraschen. Die Plattform wird regelmäßig von Hackerangriffen und internen Datenlecks heimgesucht. Beim größten Leck in der Geschichte des Unternehmens gelangten Angreifer in den Besitz der Namen, Telefonnummern und Standortdaten von 533 Millionen Nutzern. Anschließend veröffentlichten sie die Daten in Hackerforen, wo jeder sie kostenlos herunterladen konnte. Zu den Daten gehörten nicht nur die Konten gewöhnlicher Nutzer, sondern auch berühmte Persönlichkeiten wie EU-Justizkommissar Didier Rendels und der damalige luxemburgische Premierminister (heute Außenminister) Xavier Bettel.

Das Datenleck ereignete sich zwischen 2018 und 2019, wurde aber erst im Jahr 2021 bekannt. Warum es geschah. Tatsächlich haben Hacker 2019 eine Sicherheitslücke ausgenutzt, die Facebook schnell gepatcht hat, dann aber vergessen hat (oder es absichtlich versäumt hat, die Nutzer über den Vorfall zu informieren). Infolgedessen wurde Meta heftig kritisiert und mit einer Geldstrafe in Höhe von $265 Millionen belegt.

5. CAM4

Dieser Vorfall ist aus zwei Gründen interessant. Die Informationen, auf die zugegriffen wurde, und die Art und Weise, wie der Zugriff erfolgte. Zusätzlich zu den „Standarddaten“ wie Name, E-Mail-Adresse und Zahlungsverhalten wurden auch privatere Informationen bereitgestellt. Dazu gehörten geschlechtsspezifische Vorlieben und die sexuelle Orientierung. Die Nutzer mussten diese Informationen bei der Registrierung angeben, bevor sie auf Inhalte auf der Plattform für Erwachsene zugreifen konnten. Die Quelle des Datenlecks war eine ungesicherte Elasticsearch-Datenbank. Das Worst-Case-Szenario ist jedoch nicht eingetreten, und es gab keine unangenehmen Folgen. Wenn man alle Berichte über diese fünf Datenlecks in einem Buch zusammenfassen würde, wäre es ziemlich dick, aber die Geschichte von CAM4 würde ein kleines, aber wichtiges Kapitel einnehmen: „Das größte Datenleck der Geschichte, das nicht passiert ist“. Glücklicherweise wurde die Datenbank innerhalb von 30 Minuten nach Entdeckung des Fehlers abgeschaltet und in das lokale Netzwerk des Unternehmens verlegt.

Was können wir aus diesen Fällen von Datenschutzverletzungen lernen?

Das gemeinsame Thema dieser Fälle ist, dass große Unternehmen nicht für uns verantwortlich sind. Mit anderen Worten: Wir sind in erster Linie für die Sicherheit unserer Daten verantwortlich, nicht Facebook, Yahoo oder die Regierung. Übernehmen Sie die Kontrolle über Ihre Konten, erstellen oder generieren Sie sichere Passwörter, speichern Sie sie in einem sicheren Passwort-Manager, und seien Sie besonders vorsichtig, vor allem, wenn es um biometrische Daten geht.