Kundendaten von mitfahrgelegenheiten.de gestohlen

Hunderttausende an Kundendaten des ehemaligen Portals mitfahrgelegenheiten.de wurden nach der Übernahme durch einen französischen Anbieter illegal kopiert. Kunden müssen jetzt um ihre Daten bzw. deren Missbrauch fürchten.

Es ist mal wieder ein klassischer Fall, der zeigt: Deine Daten sind nur sicher, wenn niemand diese hat. Das Portal mitfahrgelegenheiten.de ) vermittelte Mitfahrgelegenheiten für Reisende, die sich dafür beim Portal registrieren und auch Kontendaten angeben mussten. Das Portal war wohl 15 Jahre in Betrieb, wurde aber Ende März 2016 abgeschaltet.

Das Portal wurde von der französischen Firma BlaBlaCar übernommen, die das Angebot unter für deutsche Nutzer weiter betreibt. So wie es ausschaut, haben "Unbekannte" mal eben die Kundendatenbank von mitfahrgelegenheiten.de ) kopiert und ehemalige Kunden müssen jetzt um ihre persönlichen Daten fürchten. Die Archive enthielten ca. 638.000 IBAN-Nummern/Kontonummern, 101.000 E-Mail-Adressen und 15.000 Mobilnummern sowie teilweise Namen und Adressen.

Nachfolgend findet sich die Information der Comuto Deutschland GmbH zum Datendiebstahl – die (für meinen Geschmack) einen enorm sorglosen Umgang mit den brisanten Daten durchblicken lässt.

Wichtige Information für ehemalige Mitfahrgelegenheit.de & Mitfahrzentrale.de Nutzer

Die Comuto Deutschland GmbH Tochtergesellschaft der Comuto SA, gibt heute bekannt, dass sie Opfer eines kriminellen Cyber-Angriffs geworden ist. Gegenstand des Ende Oktober stattgefundenen Angriffs waren die archivierten Daten der Seiten mitfahrgelegenheit.de und mitfahrzentrale.de, die zum 31. März 2016 eingestellt wurden. Bei einem Teil der entwendeten Daten handelt es sich um persönliche Daten ehemaliger Nutzer der beiden Plattformen.

Die Archive enthielten ca. 638.000 IBAN-Nummern/Kontonummern, 101.000 E-Mail-Adressen und 15.000 Mobilnummern sowie teilweise Namen und Adressen. Die einzelnen Datensätze sind nicht systematisch miteinander verbunden. Betroffen sind weniger als 15% der ehemaligen Nutzer der beiden Plattformen, davon wiederum weniger als 0,1% von mitfahrzentrale.de. Aktuell ist uns kein Datenmissbrauch bekannt, der im Zusammenhang mit der Entwendung steht.

Die Comuto Deutschland GmbH mit Sitz in Hamburg hat bereits die Strafverfolgungsbehörden eingeschaltet und den Hamburger Datenschutzbeauftragten informiert.

Explizit nicht betroffen von dem Cyber-Angriff sind sämtliche Server des Mitfahr-Portals BlaBlaCar, betrieben von der Comuto SA. Alle Daten der bestehenden BlaBlaCar-Nutzer sind geschützt und komplett separiert von der Cloudlösung, in die illegal eingedrungen wurde und in der die archivierten Daten der beiden ehemaligen Plattformen lagen.

Für ehemalige Nutzer der beiden Plattformen wurde eine persönliche Telefonhotline eingerichtet: Unter 0800-32 32 555 (Montag bis Freitag, 8-18 Uhr) können sie sich erkundigen, ob ihre IBAN-Nummer, E-Mail-Adresse oder Mobilnummer betroffen ist und können weitere Handlungsempfehlungen bekommen.

Ehemalige Nutzer, deren IBAN-Nummer/Kontonummer betroffen ist, sollten die Kontobewegungen der letzten sechs Wochen überprüfen. Im Falle einer verdächtigen Abbuchung sollten sie umgehend ihre Bank informieren, welche sie weiter beraten kann.

Für die Comuto Deutschland GmbH und die Comuto SA war die illegale Cyber-Attacke ein großer Schock. Das Unternehmen entschuldigt sich bei den ehemaligen Nutzern der beiden Plattformen für etwaige Unannehmlichkeiten, die hierdurch entstehen können.

Der Angriff wird von den Strafverfolgungsbehörden eingehend untersucht. Comuto SA und die Comuto Deutschland GmbH prüfen weitere Möglichkeiten einer zusätzlichen Absicherung der Cloud und eines begrenzteren Umgangs mit derselben. Im Zuge der weiteren Untersuchungen wird es ein Sicherheitsaudit geben, auf dessen Basis weitere Maßnahmen eingeleitet werden.

Liest sich für mich "alles halb so schlimm, Polizei ist eingeschaltet, Missbrauch ist keiner bekannt" aber die Ex-Kunden bei dem Verein sollten ihre Kontenbewegungen im Auge behalten. Für mich recht aufschlussreich ist die FAQ auf der Seite. Zitat zur Frage "Ihr habt mich darüber Informiert, dass meine persönlichen Daten gelöscht wurden, habt ihr gelogen?":

Durch die Übernahme von carpooling.com GmbH sind die Daten in den Besitz der Comuto Deutschland GmbH übergegangen, die eine 100%ige Tochter der Comuto SA ist und waren dort nur für einen kleinen Personenkreis zugänglich.

Es gab niemals die Absicht, die persönlichen Daten zu behalten. Personenbezogene Daten sollten nach Schließung der Webseite mitfahrgelegenheit.de & mitfahrzentrale.de vollständig anonymisiert werden, was einer Löschung gleichkommt. Ausschließlich depersonalisierte, statistisch relevante Daten wie beispielsweise Anzahl der Fahrten, gefahrene Strecken o.Ä. sollten aufbewahrt werden.

Obwohl die vollständige Anonymisierung ausdrücklich angewiesen wurde, kam es leider aufgrund eines Fehlers dazu, dass die Anonymisierung nicht vollständig vollzogen wurde.

Aha, man weist an, aber niemand kontrolliert. Kommt aber noch besser, denn recht aufschlussreich ist auch die Aussage, ob die Daten verschlüsselt waren:

Die betroffenen Daten von mitfahrgelegenheitde & mitfahrzentrale.de waren verschlüsselt in einer Cloud gespeichert. In diese Cloud wurde illegal eingedrungen und die betroffenen Daten entwendet.

Ich sage es mal so: die üblichen Verdächtigungen wie die Cloud, wobei die Frage im Raum steht, wieso die Daten dort hoch geladen werden mussten und wo diese lagerten. Und glauben sollte man diesem Verein (und anderen Vereinen) überhaupt nichts mehr. Wer jetzt noch bei BlaBla – aka BlaBlaCar – Kunde ist, dem ist nicht mehr zu helfen. Und noch was – der springende Punkt: Solange das Ganze nicht extrem strafbewehrt ist, bleibt das alles folgenlos.