Der österreichische Telekommunikationsanbieter Hutchison Drei Austria GmbH hatte wohl einen Datenschutzvorfall. Es waren, auf Grund einer Fehlkonfiguration, persönliche Kundendaten einsehbar. Die Betroffenen werden aktuell wohl per Brief über den Vorfall informiert und vor SPAM-Anrufen gewarnt.
Anzeige
Die Hutchison Drei Austria GmbH ist ein Telekommunikationsunternehmen mit Sitz in Wien, Österrreich. Sie ist eine Tochtergesellschaft der CK Hutchison Holdings sowie Teil der Division "3Scandinavia & Austria" als Mitglied der 3Group Europe. Im Jahr 2021 besaß das Unternehmen nach eigenen Angaben 4,1 Mio. Kunden, schreibt Wikipedia.
Blog-Leser Joey B. hat mich gerade über einen DSGVO-Vorfall bei Drei Austria informiert – ihm ist eine betreffende Benachrichtigung durch die Post in die Finger gefallen (siehe Screenshot). Eine fehlerhafte Server-Konfiguration führte dazu, dass die gespeicherte Kundennummer und die Rufnummer von Drei Austria-Kunden im Zeitraum vom 21. bis 31. Juli 2025 durch Dritte von außen abgerufen werden konnten.
Nach Überprüfung des Vorfalls wurde festgestellt, dass mehrere externe Zugriffe auf diese Daten stattgefunden haben und Informationen wohl abgezogen wurden. Der Fehler wurde zwar von Drei Austria behoben, aber die Daten sind abgeflossen. Der DSGVO-Vorfall wurde den Behörden angezeigt.
Anzeige
Kunden könnten nun SPAM-Anrufe an die genannte Rufnummer erhalten. Die Drei Austria GmbH bietet betroffenen Kunden einen kostenlosen Rufnummerntausch an.
Anzeige
Und wenn man Glück hat, war die neue Rufnummer schon vergeben und wird auch mit irgendwelchen Anrufen, etc. vollgespamt. Selbst mehrere Male erlebt bei Vodafone und Telekom.
Außerdem sollte man denen mal erklären, das man im Entschuldigung bitten kann, aber sich nicht einfach entschuldigt und gut ist es…
+ Betr. "… mal erklären, das man im Entschuldigung bitten kann, aber sich nicht einfach entschuldigt …":
Good Point! Problem ist allerdings, dass selbst der DUDEN Schreibassistent (https://www.duden.de/schreibassistent) den Lapsus nicht beanstandet.
+ Betr. "Rufnummer von Drei Austria-Kunden … abgerufen werden konnten.":
Come on, drei Kunden! Das ist nicht einmal ein Sturm im Wasserglas, selbst wenn im Anschreiben (Scan: https://postimg.cc/zVbMD7Jk) dann von fünf die Rede ist.
Löblich finde ich die offene Art resp. die Aussage "durch eine fehlerhafte Einstellung an einem unserer Server", mit der die Ursache aufrichtig benannt wurde. Bei einem anderen Unternehmen (1) von dem hier auch schon berichtet wurde, wartet man bis heute auf eine Erklärung, wie die Angreifer eindringen konnten (beachte: "Vollständige Bereinigung der betroffenen Systeme").
_
(1) https://www.morgenstern.de/index/warum-morgenstern/morgenstern-aktuell/wichtige-kundeninformation.html
manchmal sind kleine Feinheiten ausschlaggebend: Drei ist ein Firmenname, drei entspräche der Zahl 3. Wie viele Kunden bei Drei betroffen sind, wissen wir nicht, aber mehr als drei ;-)
Und bei der Zahl 5 aus dem Anschreiben handelt es sich um Zugriffsversuche, wobei wir nicht wissen, ob dabei nur 5 Kundendatensätze, oder Rufnummerngassen ausgelesen wurden. Oder was habe ich am Kommentar nicht verstanden?
Das mit dem um Entschuldigung bitten machen leider viele falsch.
War auch mein erster Gedanke beim Lesen des Textes.
Weiterbildung: Drei Austria-Kunden = Kunden von Drei.at
Bildung für vorlaute Foristen:
+ Hutchison Drei Austria GmbH = Firma der am Handelsgericht Wien unter der Firmenbuchnummer FN 140132b registrierten Unternehmung
+ drei.at = RFC 1034 Subdomain Name. Domaininhaber: GDH (BVI) Limited (Virgin Islands (British))
+ "Kunden von Drei.at": imaginäre Kunden des imaginären Unternehmens Drei.at
+ "Drei Austria-Kunden" = Nominalphrase aus Kardinalzahl + Kompositum (Eigenname + Nomen) im Plural
Keine Ursache, gerne wieder.