Vodafone Deutschland gehackt: Bestandsdaten von zwei Millionen Kunden erbeutet

Vodafone Deutschland ist gehackt worden:

Vodafone Deutschland ist kürzlich Ziel eines kriminellen Datenangriffs auf einen seiner Server geworden. Dieser Angriff war nur mit hoher krimineller Energie sowie Insiderwissen möglich und fand tief versteckt in der IT-Infrastruktur des Unternehmens statt. Dabei erlangte der Täter Zugang zu Stammdaten von 2 Millionen Personen. Er entwendete Angaben zu Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer.

Auf einer eigenen Seite kann man überprüfen, ob man betroffen ist. Leider muss man dafür seine Konto-Verbindung eingeben – und das HTTPS geht nicht ohne die anscheinend gebrochene Stromverschlüsselung RC4.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

27 Ergänzungen

  1. Na, da bin ich mal gespannt, ob sich jmd aufregt. Nach der Logik des NSA Skandals hat doch eh jeder schon alle Daten über jeden. Das dürfte nicht mal ne Top-Meldung wert sein.

    Hacker hat meine Daten: Böse, Skandal!
    Staat hat meine Daten: Jawoll, hab ja nix zu verbergen!

    Doppeldenk vom Feinsten.
    Greetz,
    GHad

  2. Solange Scheunentore für Geheimdienste offen stehen. werden alle, die es können hindurchspazieren.
    Für die Schwatzgelbe VerKoalition ja kein Thema.

      1. Aber um es kurz zu machen: als Netz-Affine empfehlt ihr (das interpretiert man in einen Link zu diesem Kontext) seine Bankdaten nochmal einer Seite anzuvertrauen die bereits aufgefallen ist durch Sicherheitsmängel. Weiterhin erwähnt ihr mit keinem Wort welch seltsames Konstrukt dem Formular zugrunde liegt. Hinterfragen statt einfach der Herde folgen, hm?

        1. Wir empfehlen überhaupt nichts. Wir verweisen darauf, was Vodafone empfiehlt – und kritisieren die Vertrauenswürdigkeit davon sogar noch.

    1. Die Unternehmen sind schlicht zu dumm, um auf ihre Datenbanken aufzupassen. Die NSA, BND, etc. abzuhalten – ok das ist eine Hausnummer.

      Aber einen Einzeltäter an eine so große Datenbank zu bringen? Vodafone ist ein riesiges Unternehmen! Vodafone: Was soll das?

      Nur Bares ist Wahres und der Einzelhändler um die Ecke wird in Zukunft hoffentlich wieder häufiger Besuch bekommen.

      Wenn Vodafone die Daten schon nicht schützen kann – kann es dann meine Bank? Kann es der kleine Onlineversandhändler? Kann es der Große? Kann es mein Verein? Kann es mein App-Anbieter?

      Jungs und Mädels da draußen:

      Wacht endlich auf! Alles was ihr Fremden anvertraut findet seinen Zweitverwerter! Ein gesundes Misstrauen ist leider angebracht! Bitte macht Euch für eine Veränderung stark!

      An die Politiker:
      Jede Datenbank die rechtlich vorgeschrieben (oder nicht verboten!) ist, bietet ein sehr großes Missbrauchspotential! ALLE Daten die erhoben werden, werden früher oder später nicht für den Zweck verwendet für die sie mal erhoben wurden!

      Stoppt diesen Speicherwahnsinn endlich, bitte!

      Nein, ich will keine Gesundheitsdatenbank!

      Nein, ich will keine Bestandsdatenbank!

      Nein, ich will keine Vorratsdatenspeicherung!

      Nein, ich will keine umfassenden Kundendatenbanken!

      Nein, ich will keine Biometriedatenbanken!

      Nein, ich will nicht, dass mein soziales Netz gespeichert wird!

      Nein, ich will nicht, dass meine politischen Aktivitäten erfasst werden!

      Nein, ich will nicht, dass meine Ein- und Verkäufe gespeichert werden!

      Nein, ich will nicht, dass man meine Kontobewegungen erfasst!

      Nein, ich will kein Bewegungsprofil von mir bei Fremden!

      Stoppt diese Datensammelei! Keine Kameras, keine E-Mail-Texte, keine Telefongespräche, keine Metadaten, keine Funkzellenabfrage, kein Vermummungsverbot, keine Richtmikrofone, keine Bestandsdatenauskunft, kein Fingerabdruck, kein Irisscan, kein Profiling, keine Gesichtsvermessung, kein genetischer Fingerabdruck, keine Krankheitsgeschichte, kein EKG-Fingerprint, kein Nacktscanner, keine No-Fly-Liste, usw.!

      Kein Agent/Krimineller/Unternehmen, gleich welcher Nationalität, darf die Möglichkeit haben:

      – mir soziale Kontakte unterzujubeln, die mein Vertrauen und das meiner Freunde/Familie missbrauchen werden

      – mein Bewegungsprofil nutzen, um mein Schicksal zu ändern ohne dass ich davon etwas merke

      – meine Identität zu stehlen und damit auf meine Kosten unmoralisch zu handeln, z.B. mir gezielt etwas per genetischen Fingerabdruck anzuhängen

      Der Wohlstand den ich mir wünsche:

      Ich will Fremden gegenüber ein Grundvertrauen haben können!

      Ich will mein Leben selbst bestimmen!

      Ich will mich frei bewegen können!

      Ich will mir meine sozialen Kontakte selbst aussuchen!

      Ich will meine Meinung frei äußern!

      Ich will den Freunden meiner Freunde vertrauen können!

      All das geht nicht, wenn ich nicht weiß wer Zugriff auf mein Leben hat! Wenn mein bester Freund all die Daten sammeln würde und ich käme irgendwann dahinter – Wie könnte ich ihm jemals wieder vertrauen?

      Nein, Fremden gegenüber habe ich weniger Vertrauen als meinem besten Freund. Warum sollte ich Fremden erlauben, was ich nichtmal meinem besten Freund erlaube? Hätte ich all diese Daten selbst erhoben und bei mir gespeichert – ich würde diese Datensammlung niemals aus den Augen lassen!

      Nichtmal mein Lebenspartner bekäme dise Daten in Gänze zu sehen, niemals! Nicht weil ich ihm nicht vertraue, aber er würde in jedem 10. Datenpunkt etwas finden, was er von mir noch nicht wusste! Würde er mir in Zukunft noch vertrauen können? Wie denn?

      Wieso sollte der Staat mir vertrauen, wenn er in jedem 10. Datenpunkt bei mir etwas findet, dass er von mir noch nicht wusste?

      Leute, hört auf Daten zu sammeln! Es wird die Gesellschaft töten! Es wird explodieren, versprochen!

      Man kann versuchen Datensparsam zu sein. Aber Daten fallen einfach an. Sie tun es einfach. Ob ich nun die Wimpernschläge, den Atemzug oder den Pulsschlag zähle/messe. Die Schritte, Wörter, Seufzer zähle – Daten fallen an! Hört auf sie zu speichern und zu analysieren! Es zerstört Vertrauen. Das Fundament unseres Zusammenlebens, national und international, in der Familie, im sozialen Umfeld, bei der Arbeit, auf kommunaler, auf Landes- und auf Bundesebene: Ohne Vertrauen funktioniert nichts!

      Ich vertraue meinem Partner, ich vertraue meinem besten Freund, ich vertraue meinem Hausmeister, meinem Vermieter, meinem Kommunalbeamten. Ich vertraue den Lehrern meiner Kinder, den Nachbarn und meinem Software-hersteller. Ich vertraue dem Hardwarehersteller, dem Standesbeamten, dem Jugendamt und dem Richter. Ich vertraue meiner Werkstatt, dem TÜVler und dem Autohersteller. Ich vertraue dem Bauunternehmen und den Wasserwerken. Ich vertraue dem Bauern und seine Hühner vertrauen ihm auch! Ich vertraue dem Lebensmittelhändler und dem Straßenbauer! Sie alle haben mein Leben in der Hand!

      Ohne Vertrauen funktioniert nichts! Ihr zerstört Vertrauen! In großem Stil! Ich, er, Du, Sie, es (das Tier) – leben nur, weil wir alle gemeinsam ein Grundvertrauen haben!

      Dieses wird gerade zerstört! Bitte, bitte, bitte – denkt darüber nach! Hört auf Tunnel unter dem Fundament unserer Gesellschaft zu graben!

      Ich habe fertig.

      1. PS:

        Der Rant darf gerne kopiert, verfielfältigt, neu gemischt, durch die Nase gezogen und ausgekackt, er darf auf dem Marktplatz verlesen oder unter die Vorlesungsbank gelegt werden.

        Ich kenne meine Urheberrechte – aber auf die scheiße ich hier. Zumal ich durch die Tor-IP eh kaum Chancen hätte. Löst die schlechten Redner auf diesen StoppWatchUs-Demos mal endlich ab. Brüllt es raus mit allem was ihr habt! Wer mir einen gefallen tun will nennt freiwillig den Arno als Quelle.

        Den Arno Nym.

        So eine Scheiße, verdammt nochmal.

  3. Heute morgen lag auch ein Brief von Vodaphone im Briefkasten.
    Ich bin seid 2006 kein Kunde mehr Vodaphone, und trotzdem wurden meine Daten gestohlen. Wie kann das sein. Unfassbar!!

    1. Hallo,

      also ich hab auch einen Brief bekommen, obwohl ich seit längerem kein Kunde mehr bin. Und mein neuer Anbieter(blau.de) nutzt ganz sicher kein Vodaphone Netz.
      Ich habe ja die Befürchtung, dass datenschutzrechtlich bei Vodafone nicht alles in Ordnung ist. Ich wäre froh, wenn jemand mit mehr Ahnung von Datenschutzrecht, dass mal aufklären könnte. In wie weit müssen bzw. dürfen Kundendaten ehemaliger Kunden überhaupt gespeichert werden?

      Grüße

      Marcel

      1. Du hast ja glücklicherweise einen Auskunftsanspruch, frag‘ doch einfach mal nett (per Einschreiben) nach. Löschfristen gibt es selbstverständlich auch. Und Strafzahlungen.

  4. Wie kann man nur solch einen Mist programmieren.

    Nach Eingabe von *NUR* der BLZ 39050000 (ohne Kontonummer) erscheint
    ebenfalls der Hinweis:

    „Die Überprüfung der eingegebenen Daten hat ergeben, dass Ihre Daten
    leider von dem Angriff betroffen waren. Vodafone Deutschland bedauert
    den Vorfall sehr und wir bitten Sie um Entschuldigung.“

    Ich hätte erwartet, dass ich einen freundlichen Hinweis auf eine
    fehlende Kontonummer erhalte, weil ja nur dann ein exakter Abgleich
    möglich ist.

    Das lässt tief blicken, was den sonstigen Umgang mit sensiblen Daten
    betrifft.

  5. Ich habe vorher eh schon Anrufe auf mein Handy bekommen von Unternehmen, die meine Nummer gar nicht haben sollten und eigentlich meinen Vater an meinem Ende der Leitung erwarten… Meine Daten wurden von dem Laden schon zig mal weiterverkauft, vermute ich.

  6. „hohe kriminelle Energie“ … „Insiderwissen“ … „tief versteckt“ …
    Wetten dass da wieder rauskommt, dass Vodafone irgendwelche haarsträubenden Sachen auf ihren Rechnern laufen hatte, die nur darauf gewartet haben, gehackt zu werden?

  7. Bin ja auch betroffen von dem ‪#‎VodafoneHack‬ und hab nen Brief bekommen mit der ‪#‎Stellungnahme‬ – ich möchte mal paar Aussagen kommentieren weil die echt ‪#‎FAIL‬ sind:

    1.) Die zählen auf was alles ‪#‎gehackt‬ wurd – Anschrift Name Kontodaten etc.

    2.) Steht da dass es von UNABHÄNGIGEN ‪#‎Experten‬ bestätigt wurde dass es möglich ist direkten ‪#‎Schaden‬ mit anzurichten. (Ach nee logisch – und wozu brauchen die Experten für solch eine offensichtliche Feststellung) Als Bsp. wird gesagt direkter Zugriff auf Bankkonten

    3.) Weiter unten dann die eigentliche FAIL Aussage. Die sagen dass es SEHR unwahrscheinlich ist mit den erlangten Stammdaten Schaden anzurichten. Ja was denn nun ? Oben sagen Experten dass es möglich wäre (und die Logik sagt es auch) aber jetzt auf einmal doch alles mkay ?

    Mein Kommentar: Neben der Tatsache dass man Online Käufe tätigen kann oder sich neue Konten anlegen etc. landen die gehackten Daten auf so Seiten wie z.B. http://fake-it.biz wo sie jeder dann weiter verwenden kann !

    4.) Die sagen die Daten konnten NUR über ‪#‎Phishing‬ ‪#‎Angriffe‬ erlangt werden (obwohl weiter oben steht dass es ein Insider Angriff war) Bei Phishing Angriffen ist der Kunde selber Schuld weil er freiwillig seine Daten wie die PIN angibt. Und ich habe – und Millionen anderer Kunden ebenfalls nicht – solche ‪#‎Anfängerfehler‬ gemacht !!!

    5.) Ich empfehle daher allen eure ‪#‎Bank‬ / ‪#‎Sparkasse‬ etc. anzuschreiben und das mitzuteilen. An sich ists egal selbst wenn ‪#‎Geld‬ abgehoben wird weil ihr könnt das ja zurück buchen. Die PIN ist ja nicht geklaut worden weil man die ja nicht angeben musste aber sicher ist sicher

    6.) Da stellt sich natürlich auch die Frage wie denn ‪#‎Vofafone‬ die Daten geschützt hat. Lagen die ‪#‎verschlüsselt‬ und extern und wie viele hatten darauf Zugriff dass sie sie abschöpfen konnten in der Menge und wie sehen die Überwachungsrichtlinien für die IT aus etc. Ich werde die ‪#‎Dödel‬ auf jeden Fall diesbezüglich anschreiben und rate euch dasselbe zu tun !

    ‪#‎hacken‬ | ‪#‎Hack‬ | ‪#‎D2‬ | ‪#‎Eplus‬ | ‪#‎BASE‬ | ‪#‎Handy‬ | ‪#‎Smartphone‬ | ‪#‎Sicherheit‬ | ‪#‎Security‬ | ‪#‎sicher‬ | ‪#‎unsicher‬ | ‪#‎Skandal‬ | ‪#‎Telefon‬ | ‪#‎Datenpanne‬ | ‪#‎Datenschutz‬ | #Skandal

    1. Hi !
      Punkt 4 hast du leider falsch verstanden !

      Die meinen die Daten, die Hacker zu den Stammdaten benötigen um sich bspw. in dein bankkonto einzuloggen, kriegen sie nur über Phishing !!! Nicht dass die Daten mit Phishing geklaut wurden ;)

  8. 2 Sachen noch:

    Vergesst das mit euren Bankdaten – Geld wird abgehoben ihr bucht es zurück – das ganze 1-2 mal wieder und es hört auf. Außerdem habt ihr das eh der Bank vorab gemeldet sodass die damit rechnen. Das ist quasi gegessen.

    Was viel wichtiger ist ist die Seite die ich gepostet habe. Oder dass generell eure Daten im Netz für jedermann landen. Selbst nach Monaten oder gar Jahren kann man sie noch benutzen um Zeugs aus dem Netz zu bestellen oder eure Angaben als Fake nutzen usw. es gibt zig Möglichkeiten !!! Und ihr werdet gar nicht drauf kommen weil es schon Jahre her sein wird !!! DAS ist der eigentliche Skandal bzw. der Skandal ist wie wenig der Datenschutz Priorität bei den Unternehmen hat. Wenn ihr JETZT nicht ne Mail schreibt oder da anruft oder nen Brief schickt und das ganze aufbauscht geht es runter und es hat sich nichts getan – aber wenn es noch Tage und Wochen in den Medien bleibt wird das ein Exempel statuieren was den Datenschutz und deren ZUKÜNFTIGE Vorkehrungen angeht ! Es kostet euch gerade mal 1-2-3 Minuten.

  9. OK hab die angeschrieben. Ich bitte euch denen diese Frage zu stellen wenn ihr die anschreibt:

    Lagen/liegen die Daten verschlüsselt und extern

    Wie viele hatten darauf Zugriff dass sie sie abschöpfen konnten in der Menge

    Wie sehen die Überwachungsrichtlinien für die IT aus

    Was werden Sie anders machen um das zu verhindern – sowohl technisch als auch personnel ?

  10. Also wer es genau wissen will. Es war kein hacker sondern ein Vodafone Mitarbeiter. Die Polizei hat schon Hausdurchsuchung gemacht usw.

    Vodafone sind letzter Zeit mehrere Fehler passiert. Bspw. Verträge mit viel zu günstigen Preisen ;) Also auch mal ausnahmsweise was wo der Kunde profitieren konnte . . .

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.