Ich weiss nicht, ob sich einige Leser noch errinnern. Ende letzten Jahres sind Server des Herstellers der Forensiksoftware EnCase kompromittiert worden. Dabei wurden dort gespeicherte Kunden- und Kreditkartendaten gestohlen. Laut Hersteller waren ca. 3800 Kunden betroffen. Pikanterweise wurden auf dem betroffenen System nicht nur die Kreditkartendaten gespeichert, sondern auch die zugehörigen Prüfnummern. Ich denke mal eine Corporate Card des FBI hat bestimmt eine höhere Kreditlinie und stellt ein lohnendes Ziel dar. 😉
Ich erfuhr von dem Vorfall erst mehrere Tage später über einen Brief, da ich auch betroffen war: (eigentlich waren es ja zwei Briefe, da auch zwei Karten von mir betroffen waren):
Gut, nun stellt sich die Frage, ob eine e-Mail nicht schneller gewesen wäre, wahrscheinlich wäre sie auch im Spam-Folder gelandet, da irgendwas mit Kredikartenummern, Fraud und Accountüberprüfeng etc. stark nach einer Phishing-Mail stinkt. Wie dem auch sei, glücklicherweise wurden meine beiden Kreditkarten, die ich für einige Transaktionen dort benutzt und nicht hinterlegt habe, nicht missbraucht. Andere Opfer hatten CNET News.com zu Folge nicht soviel Glück:
New York City-based Kessler International received notice from Guidance on Monday, three days after it got an American Express bill for about $20,000, mostly in unauthorized charges for advertising at Google, said Michael Kessler, president of the computer-forensics investigative firm.
„We got hit pretty badly,“ Kessler said. „Our credit card fraud goes back to Nov. 25. If Guidance knew about it on Dec. 7, they should have immediately sent out e-mails. Why send out letters through U.S. mail while we could have blocked our credit cards?“
Nun hat die U.S. Federal Trade Commission (FTC) die betroffene Firma zu besonderen Sicherheitsmaßnahmen verurteilt. Heise schreibt dazu:
Der Einbrecher nutzte zum Zugriff auf die Daten eine SQL-Injection-Schwachstelle. Nach Meinung des FTC habe Guidance es versäumt, ausreichend Vorkehrungen zum Schutz der Kundendaten zu treffen. Immerhin sei diese Art von Schwachstellen und wie man sich davor schützt hinreichend bekannt. Zudem müsse man heutzutage mit Angriffen auf Webanwendungen rechnen. Erschwerend bei der Beurteilung des Falles wertete die FTC, dass Guidance auf seinen Webseiten vollmundig die Sicherheit von Kundendaten anpries – und sie dennoch im Klartext abspeicherte.
Eine der Konsequenzen für Guidance Software ist nun, dass sie ihre Sicherheitsmaßnahmen besser planen und umsetzen müssen. Unabhängige Auditoren müssen nun 10 Jahre lang Erfolgskontrollen durchführen.
Update 20.11.2006:
Hier ist der Link zum FTC posting
…und die wollen mit ihrer Software über andere richten? Ich fasse es wirklich nicht! 🙁
Ob die Ermittler wohl EnCase für die Ermittlung verwendet haben?
Peinliche Sache, aber wenigstens haben sie reagiert und es nicht ausgesessen.
@Kammerjäger:
Naja, die stellen nur die Software her, richten tun andere 😉
@Stefan Krämer:
Naja zum Aussitzen bietet die Gesetzgebung in Kalifornien nicht viel Spielraum. Die dortigen Datenschutzgesetze mögen aus deutscher Sicht an einigen Stellen lasch sein, die Umsetzungskontrolle ist aber wesentlicher stärker, als hier zu Lande. Guidance war gesetzlich verplichtet die Kunden zu informieren. Das die FTC jetzt derart „zugeschlagen“ hat, soll auch erzieherischen Charakter haben.