Wir fahren mit den am schlimmsten gehandhabten Datenschutzverletzungen des Jahres 2022 fort:
Fortgeschrittener, NH-Anbieter
Fortgeschrittener, ein IT-Dienstleister des britischen National Health Service, bestätigte im Oktober, dass Angreifer während eines Ransomware-Angriffs im August Daten von seinen Systemen gestohlen hatten. Der Vorfall legte mehrere Dienste der Organisation außer Gefecht, darunter das Patientenverwaltungssystem Adastra, das Managern von Notrufen hilft, Krankenwagen zu schicken und Ärzten den Zugriff auf Patientenakten zu ermöglichen, und Carenotes, das von psychiatrischen Zentren verwendet wird, um Informationen über Patienten zu erhalten.
Obwohl Advanced berichtete, dass seine Incident-Response-Teams – Microsoft und Mandiant – LockBit 3.0 als Malware identifiziert hatten, die bei dem Angriff verwendet wurde, lehnte das Unternehmen es ab zu sagen, ob auf Patientendaten zugegriffen worden war. Das Unternehmen gab zu, dass „einige Daten“, die zu mehr als einem Dutzend NHS-Stellen gehörten, „kopiert und durchgesickert“ seien, lehnte es jedoch ab zu sagen, wie viele Patienten möglicherweise betroffen waren oder welche Art von Daten gestohlen wurden.
Twilio
Im Oktober startete der US-Messaging-Riese Twilio bestätigte, dass es einen zweiten Verstoß erlitten hatte, der es Cyberkriminellen ermöglichte, auf die Kontaktinformationen seiner Kunden zuzugreifen. Die Nachricht von der Verletzung, die von denselben „0ktapus“-Hackern ausgeführt wurde, die Twilio im August kompromittiert hatten, wurde in einem Update eines langen Vorfallberichts begraben und enthielt nur wenige Details über die Art der Verletzung und die Auswirkungen auf die Benutzer.
Laurelle Remzi, Sprecherin von Twilio, lehnte es ab, die Anzahl der von der Verletzung im Juni betroffenen Kunden zu bestätigen oder eine Kopie der Mitteilung zu teilen, die das Unternehmen angeblich an die Betroffenen gesendet hat. Remzi lehnte es auch ab zu erklären, warum Twilio vier Monate brauchte, um den Vorfall öffentlich zu machen.
Rackspace
Der Enterprise-Cloud-Computing-Gigant Rackspace erlitt am 2. Dezember einen Ransomware-Angriff, der Tausende von Kunden auf der ganzen Welt ohne Zugriff auf ihre Daten, einschließlich archivierter E-Mails, Kontakte und Kalender, zurückließ. Rackspace wurde für seine Reaktion weithin kritisiert, da es wenig über den Vorfall oder seine Bemühungen zur Wiederherstellung von Daten sagte.
In einem der ersten Updates des Unternehmens, das am 6. Dezember veröffentlicht wurde, sagte Rackspace, es müsse noch feststellen, „welche Daten betroffen waren, wenn überhaupt“, und fügte hinzu, dass, wenn sensible Informationen betroffen seien, „die Kunden entsprechend benachrichtigt würden“. Wir haben Ende Dezember und die Kunden wissen immer noch nicht, ob ihre sensiblen Informationen gestohlen wurden.
Lastpass
Zuguterletzt: Lastpass, der umkämpfte Riese der Passwort-Manager, bestätigte drei Tage vor Weihnachten, dass Hacker die Schlüssel zu seinem Königreich und Wochen zuvor die verschlüsselten Passwörter seiner Kunden gestohlen hatten. Der Verstoß könnte für die 33 Millionen Kunden von LastPass nicht nachteiliger sein, deren verschlüsselte Passwort-Tresore nur so sicher sind wie die Master-Passwörter der Kunden, mit denen sie gesperrt wurden.
Der Umgang von LastPass mit dem Verstoß zog jedoch eine schnelle Rüge und heftige Kritik aus der Sicherheitsgemeinschaft nach sich, nicht zuletzt, weil LastPass behauptete, es gebe keine Maßnahmen, die Kunden ergreifen könnten. Basierend auf einer genauen Lektüre seiner Datenschutzverletzungsmitteilung wusste LastPass jedoch, dass die verschlüsselten Passwörter von Kunden bereits im November gestohlen worden sein könnten, nachdem das Unternehmen bestätigt hatte, dass auf ihren Cloud-Speicher mit einem Satz von Cloud-Speicherschlüsseln von Mitarbeitern zugegriffen wurde, die währenddessen gestohlen wurden ein früherer Verstoß im August, der jedoch nicht vom Unternehmen widerrufen wurde.
LastPass ist vollständig für das Leck verantwortlich, aber seine Verwaltung war ungeheuerlich falsch. Wird das Unternehmen überleben? Vielleicht ja. Aber mit seinem grausamen Umgang mit Datenschutzverletzungen hat LastPass seinen Ruf besiegelt.
