Kunden von Vodafone bekommen derzeit Post vom Unternehmen und werden über ein Datenleck informiert. Nach einem "Einbruch durch Cyberkriminelle" beim Vodafone-Vertriebspartner "Vertriebswerk" wurden am 16. Mai 2023 (vermutlich) sensible Daten von Kunden kopiert. Zu den beim Vertriebspartner gespeicherten Daten gehören nicht nur Namen, Adressen und Mailadressen sowie Telefonnummern, sondern auch die IBAN der Bankverbindung, sowie Kennwörter. Kunden müssen nun ein neues Passwort für den Zugang zu Vodafone-Konten vergeben, da die alten Kennwörter gesperrt wurden. Zudem sollte auf "Missbrauch" geachtet werden.
Anzeige
Die Information wurde bereits gestern öffentlich, allerdings war in einigen Bundesländern Feiertag. Ich bin bei den Kollegen von heise auf das Thema gestoßen – deren Redaktion liegt eine E-Mail vor, die Vodafone an seine Kunden verschickt hat.
Gegenüber heise teilte der Anbieter auf Anfrage mit: "Vodafone hat die Plattform aktivieren.vodafone.de und vorteilstarife.net, die von dem Dienstleister Vertriebswerk betrieben wird, nach einem Cyber-Angriff vorsorglich außer Betrieb genommen. Über diese speziellen Portale können sich Interessenten mittels E-Mail-Adresse zu einem Newsletter anmelden bzw. einen Account erstellen und einen Kundenvertrag mit Vodafone zu vorteilhaften Konditionen abschließen. Unbekannte haben am 16. Mai 2023 diese externe Plattform attackiert und Mailadressen mit zugehörigem E-Mail-Passwort kopiert."
Vodafone setzt Zugänge zurück und informiert
Heise schreibt, dass Kunden von Vodafone per E-Mail über einen Datenschutzvorfall informiert und zum Wechsel ihres Passworts aufgefordert werden. Vodafone habe dazu eine PDF-Datei mit einer Anleitung zur weiteren Vorgehensweise verlinkt. Die Passwort-Änderung online über den MeinVodafone-Zugang funktionieren, wenn man einen Zugang hat – andernfalls wird ein "Formular" auszufüllen sein.
Anzeige
Heise zitiert aus der Kundenmail, dass von dem entstandenen Datenleck wohl "Name, Geburtstag, E-Mail-Adresse, Mobilfunknummer, Adresse, Bankverbindung (IBAN/BIC) und Kunden-Kennwort" betroffen seien. Daher wohl auch die Aufforderung, dass Kennwort zu ändern.
Laut Vodafone habe man den Bundesbeauftragten für Datenschutz und Informationsfreiheit über den Vorfall informiert und Strafanzeige gestellt. Zudem heißt es lapidar, dass "die Ermittlungen andauern". Weiterhin
Genaues wohl noch unbekannt
Auf den Vodafone-Seiten habe ich nichts zu diesem Cyber-Vorfall gefunden – dort gibt es bei einer Suche nur ein längliches Dokument, wie man die "Cyber Security" sicherstellen will. Auch wird der Vorfall aktuell durch Vodafone wieder relativiert, indem man schreibt, dass die Vodafone-Systeme nicht betroffen seien und bisher kein Missbrauch bekannt geworden sei (letzteres ist als Aussage "Schall und Rauch", da das ja jederzeit noch passieren kann). Die "Vodafone Sicherheitsexperten" gehen lediglich davon aus, dass "Dritte an Kundendaten gelangt seien". Insgesamt ziemlich viel "Nebulöses" mit fehlendem Informationswert.
Vodafone-Kunden, die die Mail erhalten haben, sollten davon ausgehen, dass ihre Daten in die Hände Unbefugter gelangt sind. An dieser Stelle meine ich nicht nur "die unbekannten Dritten, die Zugriff auf die Daten erlangt haben könnten", sondern konkret auch die Sachlage, dass ein Vodafone-Vertriebspartner die obigen aufgeführten Daten, inklusive Bankverbindung und Kennwörter, vorliegen hatte.
Der Schaden ist in meinen Augen maximal – und der Ratschlag, Kunden sollten auf ungewöhnliche Kontenbewegungen achten und sich vor Phishing-Versuchen (SMS, E-Mail) in Acht nehmen, ist nur noch ein hilfloser Versuch, ein kaputtes "System Vodafone", welches sehr detaillierte Kundendaten an Vertriebspartner auslagert irgendwie zu retten. Hier kann man für die Kunden nur hoffen, dass der Bundesbeauftragte für Datenschutz und Informationsfreiheit da entsprechende Untersuchungen anstellt und das dann Konsequenzen passieren.
Anzeige
Das Kundenpasswort wird halt auch im Klartext gespeichert. Ich beim Vodafone Shop: Sag brav mein Kundenkennwort auf, und die Dame am Tresen so: Oh da ist wohl ein Zahlendreher drin!
Wenn die wirklich die Daten für das News Letter Abo mit den persönlichen StammDaten wie Kontonummer in einer Datenbank haben, haben die jetzt ein ganz Großes Problem.
Es ist nicht zulässig Marketing-Daten und Telefonie Stammdaten in einer gemeinsamen Datenbank zu halten.
Es gibt ja für das Marketing keinen Grund auf die Kontodaten zugreifen zu müssen.
Wer da mehr weisvwie Vodafone das macht kann sich gerne Bei der BNetA melden. Dann könnte Vodafon Besuch von denen Besuch bekommen. Auch könnte die Wettbewerbs Zentrale in Bad Homburg interessiert sein. So eine Vermischung der Daten ist wohl auch unlauterer Wettbewerb.
Oder Schadenersatz fordern über Eugd https://eugd.org/schadenersatz/vodafone/
Bei Mastercard hat das ja scheinbar gut geklappt
"Es ist nicht zulässig Marketing-Daten und Telefonie Stammdaten in einer gemeinsamen Datenbank zu halten."
Bitte benenne das dazu passende Gesetz in dem dazu passenden Land, dass einem Datenbankbesitzer vorschreibt, was er wo hin schrieben darf. Danke sehr.
Mal ganz blöd gefragt: Wieso in aller Hergottsnamen braucht ein Vertriebspartner bitte Bankverbindungen und Kennwörter der Kunden, und das auch noch im Klartext? Kennwörter sind verschlüsselt zu speichern und zwar nur beim Mobilfunkanbieter und Bankverbindungen nur beim Mobilfunkanbieter der bucht schließlich ab.
Gefühlt würde ich sagen, das Thema Passwort wird hier durcheinander gewirbelt.
In der Regel gibt es ein Kundenpasswort das sowohl bei telefonischen Anfragen, als auch bei Vertragsänderungen abgefragt wird. Daher müssen die Hotline sowie Vertriebspartner das Passwort ja *sehen* können um zu verifizieren das die Person am Telefon auch das richtige genannt hat. Das hat aber eigentlich nichts mit dem klassischen Passwort zu tun welches man für das
Webportal benutzt.
Jetzt kann natürlich nicht ausgeschlossene werden das der Kunde in beiden Fällen das selbe Passwort benutzt. Daher sind wahrscheinlich beide Passwörter zurück gesetzt.
Am Ende spielt es auch keine Rolle, egal ob die Passwörter im Klartext oder Verschlüsselt abgelegt sind, ein pauschaler PW Reset macht nach so einem Vorfall immer Sinn.
Nein, sehen müssen sie es nicht zwingend. Wenn das Kunden-PW gehasht in der DB steht und die Hotline das vom Kunden aufgesagte Kunden-PW gleichzeitig ins System eintippen würde, könnten beide Werte – gehashter in der DB und noch zu hashender eingegebener Wert – miteinander verglichen werden. Es gibt keine Notwendigkeit zur Speicherung im Klartext.
Für ein Telefon-Passwort nimmt man ja bevorzugt sprechbare Wörter (meinetwegen mit Ziffern garniert) und nicht „xzk§opdjw)e@l". Das läuft dann natürlich über phonetischen Abgleich – seit Rechtschreibreform & Co. ist es schließlich nicht mehr selbstverständlich, dass zwei Personen ein Wort auf die selbe Weise schreiben. Da würde ein Hashwert-Abgleich allzu oft Abweichungen liefern.
Also ich bin Vodafone Kunde mit verschiedensten Diensten. Hab aber noch keine Nachricht bekommen und kann mich noch immer bei Vodafone im Kundencenter anmelden. Entweder die können den Kundenkreis so genau eingrenzen, oder die Info ging nicht an alle raus. Sicherheitshalber mal das Kennwort geändert.
Sind da nur Vodafone direkt Kunden betroffen oder auch Kunden von Vodafone Resellern ? Weis da wer was?
Würde mich allerdings nicht wundern… da hält man seine Systeme sicherer als fort Knox und dann kommt wieder so ne Drecksfirma daher speichert alles im Klartext und lässt sich die Daten dann auch noch entwenden. Zum Kotzen!
… ziemlich viel negative Schlagzeilen über Vodafone …
https://www.hna.de/verbraucher/internet-mobile-daten-verbraucher-vodafone-grosse-stoerung-tausende-nutzer-melden-probleme-zr-92314065.html
… auch für die Aktionäre …
https://www.ntg24.de/Vodafone-Das-sieht-nicht-gut-aus-10062023-AGD-Aktien
… und dann noch die alte VPN Geschichte …
https://www.borncity.com/blog/2020/06/07/nachtrag-vodafone-breitbandanschluss-und-vpn-probleme/
… und … und … dann suche ich mal nach dem Stichwort Vodafone hier … noch reichlich mehr … nicht gut … das sieht mir danach aus, dass da in dem Laden grundsätzlich was nicht rund läuft … ob dann die Vereinigung mit Hutchison was bringt oder schlimmer macht?
https://www.reuters.com/markets/deals/vodafone-hutchison-announce-uk-merger-soon-friday-sources-2023-06-07/