9  

Karlsruhe Datenleck bei KVV-App: Kundendaten waren jahrelang im Internet abrufbar

Zahlreiche Daten aus der App "KVV.ticket" sind ins Internet gelangt. Darüber informiert der Karlsruher Verkehrsverbund (KVV) in einer Pressemeldung. Die Daten waren daraufhin online abrufbar - allerdings unter einer nicht öffentlich bekannten Webadresse. Ein Missbrauch der Daten sei daher laut KVV eher unwahrscheinlich.

Betroffen waren neben der App "KVV.ticket" auch Kundendaten vom Nordhessischen Verkehrsverbund (NVV) und dem Rhein-Main-Verkehrsverbund (RMV). "Der Konfigurationsfehler ist von dem App-Dienstleister selbst entdeckt und umgehend behoben worden", heißt es von Seiten des KVV. Hinweise von außen auf das potenzielle Datenleck habe es nicht gegeben.

Website war nicht über Suchmaschinen auffindbar

"Auch gibt es aktuell keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde", so der KVV weiter. Die Website sei von 2015 bis Ende 2019 im Internet abrufbar gewesen, allerdings nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden. Ursache soll ein Konfigurationsfehler eines externen App-Dienstleisters gewesen sein, betroffen waren laut KVV ausschließlich inaktive Kundenkonten.

"Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden. Der App-Dienstleister hat anschließend die Verbünde umgehend informiert, die ihrerseits umgehend Kontakt mit der jeweiligen Landesdatenschutzbehörde aufgenommen haben." 

Surfen mit dem Smartphone
(Symbolbild) | Bild: pixabay.com © Pexels

Daraufhin haben die Verbünde die betroffenen Kunden über das potenzielle Datenleck am Mittwoch per Brief informiert. Darin habe man den Kunden trotz der geringen Wahrscheinlichkeit eines unberechtigten Datenabrufs geraten, ihren Kundenaccount sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen. "Darüber hinaus wird beim KVV eine Kontaktmöglichkeit unter datenschutz@kvv.karlsruhe.de für weitere Fragen angeboten", schreibt der Verbund weiter.

App-Dienstleister hat Sicherheitsmaßnahmen verbessert

Kunden mit stets aktivem KVV-Handy-Ticket- Account seien aber nicht betroffen. Ebenfalls nicht betroffen seien Kunden anderer Vertriebswege, wie zum Beispiel eTicket-Kunden. Informiert wurden beim KVV die Nutzer hinter knapp 1.200 Einträgen, welche einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten. "Wer keinen Brief bekommt, bei dem lagen diese Voraussetzungen nicht vor", erklärt der Karlsruher Verkehrsverbund.

Der externe App-Dienstleister bedauere beide Vorfälle zutiefst und hab seine Sicherheitsmaßnahmen weiter verbessert. Zudem seien zusätzliche Kontrollen und ein Maßnahmenplan durch die Verbünde veranlasst worden, damit sich ein derartiges Szenario nicht wiederholt.

Der Artikel wurde nachträglich bearbeitet.

Haben Sie einen Fehler entdeckt?
Links
Rechts
Das könnte Sie auch interessieren
Das wird gerade bei ka-news heiß diskutiert
Die besten Themen
Kommentare (9)
Hinweis: Kommentare geben nicht die Meinung von ka-news wieder.
Der Kommentarbereich wird 7 Tage nach Publikationsdatum geschlossen.
Bitte beachten Sie die Kommentarregeln und unsere Netiquette!
  •   andip
    (10123 Beiträge)

    07.02.2020 08:32 Uhr
    Was kann man eigentlich unter
    einem inaktiven Handy-Ticket-Kundenkonto verstehen?
    Jemand, der die App runtergeladen hat aber nie benutzt hat?
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Route66
    (2257 Beiträge)

    07.02.2020 14:18 Uhr
    Würde
    ich so sehen. Wenn ich was auf inaktiv stelle, ist der user noch vorhanden, der sich mal angemeldet hat, kann aber nix mehr machen.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   andip
    (10123 Beiträge)

    07.02.2020 15:53 Uhr
    In der BNN stand es anders
    Danach wurden die Konten deswegen inaktiviert, weil die Kunden falsche Daten wie z.B. falsche Adressen angeben hätten oder aber, weil sie irgendwelche Rechnungen nicht bezahlt hätten.
    Wenn dem so war, dann hätten auch Hacker mit den Daten nichts anfangen können.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Route66
    (2257 Beiträge)

    07.02.2020 16:33 Uhr
    An ok
    Aber Hacker kommen auch an die Daten von Konten die inaktiv sind. Das ist kein Problem.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Route66
    (2257 Beiträge)

    07.02.2020 16:37 Uhr
    Ich will
    damit sagen, dass Hacker zwar nichts mit den falschen Adressen anfangen können, aber schon it den anderen Adressen und Daten, von den Kunden, die z.B. ihre Rechnungen nicht bez. haben.
    Im Prinzip ist es ein No-Go so unverantwortlich mit Kundendaten umzugehen. Seit der DVSOG gibt es ja schon unzählige Anzeigen diesbezüglich und das ist gut so. Wenn ich nur dran denke wieviele Profile Headhunter unaufgefordert an Recruiter schicken. Der Name steht zwar nicht drauf aber den Rest kann man sich im Netz zusammensuchen. Macht zwar zum Teil unnötig viel Arbeit die DVSOG aber es ist ja zum Datenschutz.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   IchKA
    (765 Beiträge)

    06.02.2020 20:49 Uhr
    Schauen wir mal ... wie es weitergeht
    https://www.zeit.de/digital/2020-01/clearview-gesichtserkennung-app-start-up-hoan-ton-that
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Route66
    (2257 Beiträge)

    07.02.2020 14:21 Uhr
    In China
    läuft das mit der Gesichtserkennung schon länger. Da wirst du auch belohnt wenn Du Dich ordentlich verhältst. Aber wenn man weiß, wer mit unseren Handydaten und Bewegungen was alles anfangen kann, dann bleibt das Ding besser ausgeschaltet.
    Oder wie es Heinz Becker einst sagte: als mir gesagt wurde dass ich ohne Handy verdächtig bin, habe ich mir zwei gekauft. Eins ist immer im Kühlschrank und das andere liegt immer im Wohnmobil meines Nachbarn, der gerne und oft die Welt bereist 😉
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   patrickkk
    (1479 Beiträge)

    06.02.2020 16:44 Uhr
    ...
    Wer denkt seine Daten seien irgendwo sicher glaubt auch an den Weihnachtsmann.

    Drum gibt's Leute die sich über all quer stellen wenn die Datenkraken ihr Tentakel ausbreiten... Nur der Staat zwingt sie dann trotzdem (Perso, Gesundheitskarte etc. pp) und stellt das quer stellen unter Strafe.

    Den Strafen verhängen ist einfacher als komplizierte Thematiken zu lernen.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
  •   Route66
    (2257 Beiträge)

    06.02.2020 15:50 Uhr
    Jo jo
    solange keiner was merkt, läufts halt unbemerkt immer so weiter.
    Nicht jeder der ne app schreiben kann, versteht auch das Wort Datensicherheit und wie sie erreicht werden kann.
    Bewerten:  Lädt... nicht eingeloggt noch nicht bewertet schon bewertet melden antworten
Dieser Artikel kann nicht mehr kommentiert werden.