Tag: Kreditkartendaten

Archiv

RFID-Chips in Kreditkarten: Daten in Gefahr

RFID-Chips in Kreditkarten ermöglichen das kontaktlose Bezahlen im stationären Handel. Ebenso kontaktlos wie das Bezahlen kann jedoch auch der Diebstahl der Kreditkartendaten erfolgen. Dafür benötigen Datendiebe noch nicht einmal aufwendige Technik. Mit einfachen Schutzmaßnahmen kann es jedoch gelingen, das Risiko des Datenverlusts möglichst gering zu halten. Weiterlesen

Vorsicht vor Phishing! – Der Trick mit den Steuern

Wie auf heise.de berichtet wurde, geht es den Steuerzahlern erneut an den Kragen. Allerdings geht es weniger um die Zahlung von Steuern, sondern vielmehr um die vermeintliche Steuerrückerstattung, die per E-Mail angekündigt wird und mit der zugleich praktischerweise die Konto- und Kreditkarteninformationen des E-Mail-Empfängers zwecks Erstattung abgefragt werden. Sog. Phishing-E-Mails treiben wieder ihr Unwesen – diesmal im Namen des Bundeszentralamte für Steuern (BZSt). Weiterlesen

Gefahr durch Social Engineering – Bezahldienstleister geknackt

Erfolgreiche Hacks von Internetdiensten mit entsprechender Gefährdung personenbezogener Daten sind in den letzten Jahren schon häufig bekannt geworden. Man müsste meinen, dass die Verantwortlichen um die Gefahr wissen und entsprechende Maßnahmen veranlasst haben. Leider ist dem nicht so. Die heutige Meldung im Heise-Newsticker bestätigt das mal wieder.

Kreditkarteninformation, Mailadressen und persönliche Daten geklaut

Was war geschehen? Angreifer, die sich selbst als UGNazi bezeichnen, brachen in die Web-Server des britischen Bezahldienstleisters WHMCS ein.

Weiter bei Heise:

Den Angreifern gelang es nicht nur, die Benutzerdatenbank von WHMCS auszulesen, sondern auch den kompletten Server-Inhalt zu kopieren, bevor sie alles löschten. WHMCS zufolge gingen beim Angriff alle Bestellungen und Support-Anfragen der 17 Stunden vor dem Angriff verloren.

Aus Datenschutzsicht ist vor allem kritisch, dass Kreditkarteninformationen kompromittiert wurden und die gekaperte Benutzerdatenbank mehr als 500.000 Mailadressen und persönliche Daten enthält.

Angriff mit Social Engineering

Möglich war der Hack anscheinend durch sog. Social Engineering, also das Ausnutzen von Freundlichkeit und Hilfsbereitschaft, wobei sich der Angreifer als scheinbar Berechtigter ausgibt. Im konkreten Fall wurde der Hosting-Anbieter des Billing-Portals vom scheinbaren Chefentwickler von WHMCS angerufen. Er beantwortete alle Sicherheitsabfragen korrekt und hatte dann Zugriff auf die Server.

Solche Angriffe sind weder trivial noch selten. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat daher Social Engineering in seinen Grundschutz-Katalogen als eine eigene Gefährdung definiert.

Konsequenz

Eine Binsenweisheit lautet, dass es 100%ige Sicherheit nicht gibt – auch nicht in der IT. Trotzdem muss man als verantwortliche Stelle oder Dienstleister von Auftragsdatenverarbeitungen die erforderlichen Maßnahmen ergreifen, damit die Daten geschützt sind. Ob WHMCS dies getan hat, kann an dieser Stelle natürlich nicht beantwortet werden. Die Hacker selber behaupten, der Server sei weiter gefährdet…

Jemand der sich zwar nicht unbedingt mit Hackern, dafür aber mit dem Thema Datenschutz auskennt, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Datenpanne führt zur Sperrung von Kreditkarten

Kreditkarteninhaber bibbern. Und das nicht wegen der Kälte: Denn in der vergangenen Woche wurden bei einem bisher unbekannten deutschen Internet-Shop eine Vielzahl von Datensätzen entwendet. Als Reaktion hierauf haben diverse Banken sicherheitshalber VISA und MasterCard Kreditkarten betroffener Kunden gesperrt und die Kunden gem. § 42a BDSG hierüber in Kenntnis gesetzt. Weiterlesen