Datenleck: 56.000 Passwörter von Bewerbern von PwC frei im Web (Update2)

[gullinews]

Viele Bürger hatten gestern eine etwas dubios anmutende E-Mail in ihrem Postfach, die von der Redaktion des ZDF-Verbrauchermagazins "Wiso" stammt. Darin werden sie darüber aufgeklärt, dass ihre E-Mail-Adresse nebst Klartext-Passwort auf einem chinesischen Server zur freien Einsicht für jedermann stünden. Man solle seine Passwörter schnellstmöglich ändern. Die Mail ist echt, der geschilderte Datenschutzskandal betrifft offenbar 56.000 Personen. Verursacher des Datenlecks ist das Wirtschaftsprüfungs- und Beratungsunternehmen PriceWaterCoopers, einer der weltweit agierenden "Big Four"-Dienstleister in diesem Sektor.

In diversen Blogs und Foren wird die Mail des Wiso-Teams zitiert:

weiterlesen

[Black-Lion]

PWC ist doch kein Finanzdienstleister sonderen eine Wirtschaftsprüfungsgesellschaft bzw. Beratungsfirma? WISO will damit doch nur sagen, dass keine Bank ein Leck hatte...

Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen, E-Mail-Accounts oder Online-Shops zu tun hat und bei der sich die Betroffenen in der Vergangenheit einmal angemeldet haben.

Zudem hat das Online-Bewerbungsportal von PWC gerade "Wartungsarbeiten". Dabei wollte ich doch nur checken ob die Daten in der E-Mail noch mit deren System übereinstimmen.

Genaueres wird man wohl erst im WISO-Beitrag am Montag erfahren, vor allem wie die Datenbank auf chinesische Server gelangt ist...

[g4mm3lfl31sch]

PwC ist in der Tat eine Wirtschaftsprüfungs- und Beratungsgesellschaft.

Hier mal etwas Text von deren Seite:

Effizienz und Sicherheit interner Geschäftsabläufe sind heute wesentliche Wettbewerbsfaktoren. Zudem stellen aktuelle und zukünftige Compliance-Regelungen an die Gestaltung der Geschäftsprozesse und die Informationstechnologie neue Herausforderungen. Gemeinsam mit den Teams von PricewaterhouseCoopers (PwC) werden Unternehmen ihre Potenziale heben und somit die Wettbewerbsfähigkeit dauerhaft steigern.
http://www.pwc.de/

Daher peinlich^3 wenn in deren Bewerbungssystem ein Leck ist. Frage ist natürlich, ob die es selbst betrieben haben oder ob es ein externer Dienstleister war. Wenn letzteres zutrifft dürfte der über die Klinge springen und wir können uns auf lustige Pressemitteilungen der Art "Nachdem das Leck...wir konsequent...kein Grund zur Sorge...wir sind weiterhin ihr zuverlässiger Partner" freuen.

[fraencko]

PWC ist doch kein Finanzdienstleister sonderen eine Wirtschaftsprüfungsgesellschaft bzw. Beratungsfirma?

Wie sagte der weise Lothar Matthäus doch einst: Ob Mailand oder Madrid - Hauptsache Italien.
Ist für mich eigentlich das gleiche, vulgo Wirtschaftsprüfer eine Unterkategorie von Finanzdienstleister. Ich ändere es aber gleich mal, kann ja nix schaden.

[Black-Lion]

PwC meldet Hacker-Angriff auf externe Bewerber-Datenbank

Frankfurt am Main (ots) - Staatsanwaltschaft eingeschaltet / Potentiell betroffene Bewerber direkt informiert / Daten von Geschäftskunden waren zu keinem Zeitpunkt betroffen

Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.

Auf die Spur der Hacker kam PwC nach Hinweisen der ZDF-Redaktion Wiso am gestrigen Mittwoch. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.

Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt www.pwc.de. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern.

Personalvorstand Frank Brebeck: "Wir bedauern diesen auf ein isoliertes System begrenzten Vorfall außerordentlich und haben umfangreiche Informationsmaßnahmen ergriffen. Nach ersten Erkenntnissen handelt es sich um einen kriminellen Angriff, der nur äußerst schwer zu erkennen ist und kaum Spuren hinterlässt. Bewerber, die sich aktuell mit uns in Verbindung setzten möchten, können dies beruhigt auch weiterhin online tun. Die aktuell erreichbaren Bewerber-Seiten basieren auf einer anderen Systemplattform, deren Sicherheit wir aus aktuellem Anlass nochmals überprüft haben."

http://www.presseportal.de/pm/8664/1...erhousecoopers

[Ghandy]

Update des Artikels ist raus!

[fraencko]

Update des Artikels ist raus!

Danke dir!

[BlackBloc]

Jetzt bin ich mal gespannt, ob die ganzen Moral-Apostel aus dem "Blood and Honour: Forum hacked"-Thread hier den gleichen Müll absondern, wie dort. Ich vermute mal nicht, weil man hier niemanden direkt angreifen kann. Werden aber mal ein paar Tausend Daten von Nazis veröffentlicht, schreien alle nach Bestrafung der bösen Hacker der Daten-Antifa. *würg*

BB

[Anval]

Jetzt bin ich mal gespannt, ob die ganzen Moral-Apostel aus dem "Blood and Honour: Forum hacked"-Thread hier den gleichen Müll absondern, wie dort. Ich vermute mal nicht, weil man hier niemanden direkt angreifen kann. Werden aber mal ein paar Tausend Daten von Nazis veröffentlicht, schreien alle nach Bestrafung der bösen Hacker der Daten-Antifa. *würg*

BB

Ja weil wir ja alle so böse Nazis sind.
Äh ich glaube die selben Leute verurteilen diesen hack genau so stark wie denn Des B&H Forums. (Und ja ich würde es auch genau so verurteilen wenn ein paar Rechte die Daten von Antifa Aktivisten oder sonst wer von sonst wem hacken würde. Aber ja ich bin sowiso ein böser Nazi da ich Nazis ja nicht mit ALLEN Mitteln bekämpfen möchte.)
Allerdings sieht es hier wahrscheinlich niemand für nötig dies zu Posten da dies mal in der News eben nicht vermittelt wird dass das ganze doch eine gute Aktion wäre. Aber naja so etwas kommt dir wahrscheinlich gar nicht in denn Sin. (Wäre wahrscheinlich auch zu viel verlangt.)

Anval

[Toronto]

[Sark]
Google ist Schuld! Zufall, dass es so Zeitnah mit Chrome und Picasa passiert ist? ICH DENKE NICHT!
Versteckt euch in euren Bunkern!
Die Datenkrake holt jetzt richtig aus! Google packt die Hacker aus!
[/Sark]

Das ist natürlich peinlich für ein Unternehmen in diesem Sektor... Imageschaden würde die eigentliche logische Folge sein, aber wahrscheinlich reagiert die Politik dann wieder entsprechend und die bösen bösen bösen Hackers und Raudmordkopierers sind an allem schuld und dieser schlimme Cyberterrorismus ist gar nicht mehr auszuhalten!

[BlackBloc]

@Anval: Um eine Melone wette ich mit Dir, dass Du in diesem Thread nicht so ein Moral-Geschrei hören wirst, wie im B&H-Thread, obwohl in diesem Fall des Datenlecks ein erheblicher finanzieller Schaden entstehen wird oder bereits entstanden ist.

Sicherlich werden viele diese Aktion nicht toll finden, aber rumschreien werden diese Leute weiter im B&H-Thread. Genau das ist, was ich jetzt schon mal im Vorfeld kritisiere.

BB

P.S.: Direkte Full-Quotes werden nicht gerne gesehen.

[smiles_crunch]

Wen es interressiert

ich habe diese mail heute um 00:00:48 erhalten

Betreff: Aus aktuellem Anlass - PwC informiert
Von: PricewaterhouseCoopers@pwc.de
An: @web.de
Datum: 05.09.08 00:00:48 Uhr




05.09.08 00:00
Sehr geehrte Damen und Herren,

aus aktuellem Anlass möchten wir Sie darüber informieren, dass unbekannte
Daten-Hacker einen Angriff auf eine externe Servicedatenbank für
Jobsuchende durchgeführt haben. PricewaterhouseCoopers (PwC) hat diese von
einem externen Serviceprovider betriebene Internet-Seite genutzt, um
Kandidaten die Bewerbung bei PwC zu ermöglichen. Leider müssen wir Ihnen
mitteilen, dass Ihre Daten von diesem rechtswidrigen Angriff auf unsere
Systeme betroffen sein könnten.

Wir bedauern diesen Vorfall außerordentlich und haben inzwischen
umfangreiche Maßnahmen ergriffen. PwC hat sofort reagiert und den Zugang
zum System stillgelegt, so dass kein weiterer Zugriff auf die Datenbank
möglich ist. Selbstverständlich haben wir unverzüglich die
Staatsanwaltschaft eingeschaltet und Strafanzeige gegen die bislang
unbekannten Daten-Hacker gestellt.

Aus Sicherheitsgründen empfehlen wir Ihnen, Ihre Zugangsdaten und
insbesondere Ihr Passwort auf allen von Ihnen genutzten Webseiten
unverzüglich zu ändern. Unmittelbar eingeleitete Stichproben-Untersuchungen
legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor
allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und
Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem
chinesischen Server aufgetaucht. Bewerbungsunterlagen sind nach unseren
Erkenntnissen nicht offen im Internet einsehbar.

Für Ihre Bewerbungsunterlagen bedeutet das: Wenn Sie Änderungen an Ihren
Unterlagen vornehmen möchten, informieren Sie uns bitte auf dem
postalischen Weg oder per E-Mail.

Anschrift: E-Mail:
PricewaterhouseCoopers AG personalmarketing@de.pwc.com
Personalmarketing & Recruiting
Olof-Palme-Straße 35
60439 Frankfurt am Main

Auf Wunsch löschen wir natürlich auch Ihre Daten in der Datenbank. Bitte
teilen Sie uns dazu zum Zwecke der vollständigen Identifizierung Ihrer
Person Ihren Namen und das Geburtsdatum mit, um Verwechslungen
auszuschließen. Wenn Sie eine Bestätigung der Löschung erhalten möchten,
benötigen wir auch Ihre E-Mail-Adresse. Gerne schicken wir Ihnen auch die
Bestätigung der Löschung per Fax oder per Post zu.


Für weitere Fragen steht Ihnen gerne unsere Hotline zur Verfügung. Diese
erreichen Sie telefonisch unter 069/9585-2941. Selbstverständlich werden
wir Sie über das weitere Vorgehen informieren.


Frank Brebeck Burkhard Schütte
Vorstand Personal Chief Information Officer



PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft

Vorsitzender des Aufsichtsrates
WP StB Reiner Dickmann

Vorstandsmitglieder
WP StB Hans Wagener · WP StB Peter Albrecht · WP StB Frank Brebeck · StB Prof. Dr. Dieter Endres
WP StB Ernst-Wilhelm Frings · WP RA Dr. Hans Friedrich Gelhausen · WP StB Werner Hölzl ·
WP StB Prof. Dr. Georg Kämpfer · WP RA StB Dr. Jan Konerding · WP StB Georg Kütter · Dr. Ludger Mansfeld
StB Marius Möller · WP StB Franz Nienborg · WP StB Gert-Michael Raabe
WP StB Martin Scholich · RA StB Christoph Schreiber · WP StB Dr. Norbert Vogelpoth
WP StB Franz Wagner · WP StB Wolfgang Wagner · WP StB Prof. Dr. Norbert Winkeljohann

Sitz: Frankfurt am Main - Amtsgericht Frankfurt am Main HRB 44845

Mitglied von PricewaterhouseCoopers International, einer Company limited by guarantee registriert in England und Wales

[Ghandy]

http://www.presseportal.de/polizeipr...nkfurt_am_main

[BlackBloc]

Wie ich es bereits am 04.09.2008 geschrieben habe. Dieser Thread schafft es nicht mal auf 2 Seiten. Was rennen hier nur für Heuchler im Board rum? Werden die Daten von ein paar dunkelbraunen Kameraden veröffentlicht, ist das halbe () Gulli-Board zur Stelle, um auf Antifa und der Linken im Allgemeinen rum zu hacken. Werden aber mehr als 50.000 (!) Passwörter und E-Mail-Adressen von Jobsuchenden veröffentlicht, interessiert es keine Sau. Nur noch armselig.

Nimmt man jetzt noch die aktuelle Umfrage hinzu, wo "Hacking - davon wollen wir mehr News" ganz weit vorne liegt, ist das Ganze nur noch absurd.

BB

[Toronto]

Amen, BlackBloc, Amen...

[medicus123]

Hallo zusammen, hat jemand den link von dieser chinesischen seite? würde mal interessieren, welche daten von mir abgespeichert sind.

danke und gruss

medicus