Datenschutzvorfall bei Dell
von caschy | 14 Kommentare
Dell informiert seine Kunden derzeit über ein Datenleck. Man untersucht derzeit einen Vorfall im Zusammenhang mit einem Dell Portal, in dem eine Datenbank mit beschränkten Arten von Kundendaten zu Einkäufen bei Dell enthalten ist. Dell ist laut eigener Angaben der Ansicht, dass angesichts der Art der Daten kein erhebliches Risiko für Kunden besteht. Auf welche Daten wurde zugegriffen? Zum jetzigen Zeitpunkt haben die Untersuchungen ergeben, dass auf beschränkte Arten von Kundendaten zugegriffen wurde, einschließlich:
Name
Physische Adresse
Dell-Hardware und Bestellinformationen, einschließlich Service-Tag, Artikelbeschreibung, Bestelldatum und zugehörige Gewährleistungsinformationen
Die betreffenden Daten umfassen laut Dell keine Finanz- oder Zahlungsinformationen, keine E-Mail-Adresse, keine Telefonnummer oder hochsensible Kundendaten. Nach der Feststellung des Vorfalls hat das Unternehmen seine Verfahren zur Reaktion auf Incidents implementiert, mit der Ermittlung begonnen, Maßnahmen zur Eindämmung des Incidents ergriffen und die Strafverfolgungsbehörden darüber in Kenntnis gesetzt.
Dell gab nicht bekannt, wie viele Kunden betroffen sind – und man erklärt auch nirgends, wie die Offenlegung von »Physische Adresse« und »kein erhebliches Risiko für Kunden« zusammenpassen. Im Netz finden sich Berichte, dass Daten zwischen 2017 und 2024 betroffen sind, mit über 45 Mio. Kundendatensätzen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das ist eben das Problem mit dem Datenschutz. Einerseits gehören solche Daten sofort nach Verwendung gelöscht. Außer eben, man entscheidet sich aktiv dagegen. Zum Beispiel, weil man die Bequemlichkeit im Garantiefall haben will. Aber zumindest in Deutschland müssen viele personenbezogene Daten aus „steuerlichen Gründen“ bis zu zehn Jahre gespeichert werden. Das ist dann quasi ein Glücksfall für Hacker, die auf diese Weise bei großen deutschen Firmen zentral haufenweise Daten abziehen können. Ich befürchte, dass caschy sich solche Nachrichten für die nächsten Jahre als Vorlage speichern kann (oder vielleicht schon hat?).
Die Daten können ja aber auch verschlüsselt abgelegt werden. Man erkennt ja ganz eindeutig, welche Daten verschlüsselt waren (Finanz- und Zahlungsinformationen usw.) und welche nicht. Das Problem ist einfach, dass es keinerlei Repressalien für solche Fälle gibt oder sie nicht schmerzhaft genug sind.
Natürlich gibt es sichere Methoden. Diese werden jedoch oft durch eine einfache Rechnung verhindert. Denn wie Du schon angemerkt hast, die internen Kosten sind meist geringer als der Preis für vernünftige Sicherungsverfahren. Eine ähnliche Rechnung wie auch bei der Erpresser-Methode bei Verschlüsselung durch Hacker.
naja wenn da nur die angegebenen Daten abgezocken wurden… Wayne! Name Anschrfit gibt es bei jedem Einwohnermeldeamt oder im Telefonbuch…. alles keine kritische Daten!
Wollte ich auch gerade sagen. Klar, Hack ist mist. Hab gestern 3 Mails von denen dazu bekommen.
Aber den Namen und Anschrift kann man günstiger beim Einwohnermeldeamt kaufen. Dafür nen Hacker zu beschäftigen, ist nicht wirtschaftlich.
CC Daten oder Passwort währen da schon viel kritischer. Die sind aber, wie ich den Vorfall verstehe, deutlich besser geschützt gewesen.
Meldeadresse gibts beim Einwohnermeldeamt. Man sammelt dort keine Versandadressen und die Veröffentlichung der Versandadresse wurde auch bei Eingabe nicht kenntlich gemacht. Also kann man sich den inhaltlich falschen Verweis auf Meldedaten sparen.
… und sicherlich findet man die auch nicht im Telefonbuch. Ich kenne niemanden unter 60, der im Telefonbuch steht.
Und niemand glaubt, das dass keine kritischen Daten seien. Deswegen kann man diese Daten auch bei der Registrierungsbehörde zur Herausgabe sperren lassen, sofern man ausreichend mächtig ist.. also die dir gnädigerweise deine Gründe akzeptieren.
vollkommen irrelevant… Firmen: Adressen sind öffentlich einsehbar über das HAndelsregister Privat: wieviele prozendualgesehen haben eine andere Adresse als die Leiferadresse? Evtl. Packstation, da ist es aber erst recht irrelevant!
Telefonbuch? Du musst die letzten Jahrzehnte unter einem richtig großen Stein gelebt haben. 😉
Spaß beiseite. Bei Datenschutz geht es darum, dass ich die Kontrolle über meine Daten habe. Und das ist hier eben nicht mehr gegeben.
Es wurden aber eben nicht nur Name und Anschrift abgezogen, sondern vor allen Dingen die Verbindung des Namens und der Anschrift mit den Dell-Bestellungen.
Das macht schon mal grundsätzlich überzeugende Phishing und sonstige Betrugsversuche bedeutend einfacher. „Hier ist der Dell-Service, der sie konkret per Namen anspricht und genau weiß welche Hardware von uns sie benutzen. Sie brauchen dringend ein Update von delll.de/updates“
Und die Täter wissen unter Umständen, wo man teure Hardware klauen kann.
Meine Privatadresse wurde geleaked und sie schreiben mir eine Mail, dass sie das aber eigentlich ganz in Ordnung finden. Ich war so wütend danach. … und es kam auch von einer no-reply Adresse, also so quasi noch eine Art subtiler Mittelfinger, den sie nachdrücken.
Ich werde täglich wütend, weil ich in der Firma auf Dell-Laptops eine Leidenstortur durchleben muss.
Mich wundert ja, warum viele Firmen auf Dell setzen.
Mein kurzer Ausflug in die Dell-Welt war auch kurzfristig. Für mein Dell XPS Laptop war nach 2 Jahren keine Ersatzbatterie mehr lieferbar. Nachbau-Akkus funktionieren nach BIOS Update nicht.
Ich bin von Dell geheilt.
Kritisch finde ich, dass Dell nicht einmal darüber informiert wann der „Vorfall“ stattgefunden hat. Ich würde gern beurteilen können ob Dell hier unverzüglich gehandelt hat, kann ich so aber nicht.
Jedenfalls haben sie mir (was sie sonst nicht tun und seit Monaten schon nicht mehr getan hatten) eine Woche davor und am selben Tag davor noch eine Mail geschrieben, ich solle meine Zufriedenheit mit dem Produkt bewerten.
Hab nur beide Mails einfach gar nicht geöffnet.
Ich besitze ein einziges Dell-Produkt: Einen Dell XPS 9350 aus dem Mai 2016. Hat damals 1800€ gekostet und habe ich zu meinem Arbeitgeber liefern lassen.
Das Update-Tool sagt schon seit Jahren, dass ich mit meinem Service-Tag nicht mehr auf ein Update zu hoffen brauche.
Und trotzdem steh ich inkl. Anschrift (vermutlich privat weil dorthin die Rechnung ausgestellt wurde als auch geschäftlich weil dorthin die Lieferung ging) in irgendeiner schrabbeligen Support-Datenbank? Danke dafür.
Keiner kann mir erzählen, dass diese Inhalte nach acht Jahren ohne weitere Nutzung aus steuerlichen Gründen irgend wo aufbewahrt werden müssen wo sie anders als per Gabelstapler bezogen werden können.