Massiver Datenklau von 800'000 Kundendaten

"nicht besonders schützenswerte Personendaten"
Das ist der genaue Wortlaut des Schweizer Datenschutzgesetzes

---

@smoskito schrieb:

"nicht besonders schützenswerte Personendaten"
Das ist der genaue Wortlaut des Schweizer Datenschutzgesetzes

...nachzulesen z.B. hier. Dass sich diese juristisch korrekte Formulierung in den Ohren der Öffentlichkeit anhört wie "Name, Telefonnummer und Geburtsdatum sind doch nebensächliche Details", wäre vor Veröffentlichung der Mitteilung sicher einen Überlegung wert gewesen. Aber der Zug ist nun abgefahren. Klar hätte es noch schlimmer kommen können (Passwörter, Zahlungs- und Mahndetails, Verbindungsauszüge waren ja offenbar nicht betroffen), aber am angerichteten Image-Schlamassel ändert das nicht mehr viel.

Schade.

In der Tat ist es etwas ungünstig, dass man offenbar...

a) irgendwelchen Vetriebsheinis vollen Zugriff auf diese Daten gegeben hat, nur mit einem simplen Login geschützt (also ohne 2-Faktor-Authentifizierung o.ä.)

b) diesen auch "Massenabfragen" erlaubt hat, sodass mit diesem einen Login der ganze Datenbestand abgezügelt werden konnte (man hätte die Abfrage ja auf irgend eine realistische Menge pro Zeiteinheit beschränken können und dann monitoren lassen ob die Abfragemenge & -weise realistisch ist)

... aber ich hoffe mal, dass man aus Schaden klug wird und die entsprechenden Massnahmen jetzt im Nachhinein umsetzt.

Man muss immer im Hinterkopf halten: Swisscom ist die Firma, die die Mailpasswörter der Kunden erst 2017 "verschlüsselt" (bzw. wohl eher gehashed & salted) hat. Also gut 20 Jahre nachdem man jedem Webentwicklungs-Anfänger angefangen hat einzuschärfen, dass man auf keinen Fall Kundenpasswörter im Klartext speichern soll 😉

Nicht besonders schützenswerte Personendaten existieren im Datenschutzgesetz nicht.

Es existieren Personendaten und besonders schützenswerte Personendaten.

Ergo wurden Personendaten geklaut. Wobei, mit Glasfasertechnologie ist jedes Glas halb voll 😄

---

@cslu schrieb:

In der Tat ist es etwas ungünstig, dass man offenbar...

a) irgendwelchen Vetriebsheinis vollen Zugriff auf diese Daten gegeben hat, nur mit einem simplen Login geschützt (also ohne 2-Faktor-Authentifizierung o.ä.) 

---

In den Onlinemedien wird ein 'Vertriebspartner' erwähnt. Weiss man namentlich um wen es sich da handelt? 

---

@andiroid schrieb:

In den Onlinemedien wird ein 'Vertriebspartner' erwähnt. Weiss man namentlich um wen es sich da handelt? 

---

Ob "man" das weiss, weiss ich nicht. Ich weiss es jedenfalls nicht.

Letztlich ist es aber m.E. auch nebensächlich, denn man hätte seitens Swisscom eben ein vernünftiges System auf die Beine stellen müssen. Wenn man all diese Kundendaten nur mit einem simplen Login geschützt an "Hinz und Kunz" rausgibt (so ein Vertriebspartner hat ja typischerweise grosse Angriffsfläche und x Mitarbeiter deren 'Zuverlässigkeit' ausserhalb des Einfluss- und Kontrollbereiches der Swisscom liegt), dann ist so ein Vorfall doch nur eine Frage der Zeit.

Allerdings ist es ja leider mehr oder weniger der 'Normalzustand', dass fahrlässig mit Kundendaten umgegangen wird. Ich persönlich verwende fast überall einmalige und somit eindeutig Rückverfolgbare Adressen (im Stil von "sbb-tickets@meinedomain.ch", "tagesanzeiger-abo@meinedomain.ch" etc.) und muss leider feststellen, dass im Laufe der Jahre unzählige dieser Adressen "geleaked" sind und dann z.B. für den SPAM-Versand missbraucht wurden. (Dann ändere ich die jeweils und sperre die alte Adresse.) Witzig ist immer, wenn man die Anbieter dann jeweils damit konfrontiert. Meistens wollen sie von nichts wissen und streiten alles ab. (Eine "löbliche" Ausnahme war z.B. Digitec, welche das Datenleck wenigstens sofort zugegeben haben und kurze Zeit später auch öffentlich bekanntgegeben.)