mitfahrgelegenheit.de und mitfahrzentrale.de: Daten von ehemaligen Nutzern gestohlen
Wie man es als eingestellter Dienst noch einmal in die Medien schafft? Durch einen Datendiebstahl. 2015 übernahm blablacar mitfahrgelegenheit.de und mitfahrzentrale.de, beides Portale, die Fahrer und Mitfahrer vermittelt haben. Die Comuto Deutschland GmbH teilt nun mit, dass es Ende Oktober einen Datendiebstahl gegeben hat. Dieser betrifft erwähnte Seiten, beziehungsweise deren Archive. Entwendet wurden ca. 638.000 IBANs / Kontonummern, 101.000 E-Mail-Adressen, 15.000 Mobilfunknummern sowie teilweise auch Namen und Adressen. Allerdings seien die einzelnen Datensätze nicht systematisch miteinander verbunden. Betroffen sind demnach rund 15 Prozent der ehemaligen Nutzer der im März 2016 eingestellten Portale.
Wie Comuto weiter mitteilt, gibt es bislang keine Hinweise auf den Missbrauch der erlangten Daten. Außerdem seien Nutzer des Mitfahrportals blablacar nicht betroffen, da diese Daten geschützt und separiert von der Cloudlösung gespeichert werden. Um herauszufinden, ob man selbst betroffen ist, hat Comuto eine Hotline eingerichtet. Unter 0800-3232555 kann man sich informieren, ob die eigenen Daten betroffen sind und weitere Handlungsempfehlungen erhalten.
Außerdem sollen ehemalige Nutzer ihre Kontobewegungen der letzten sechs Wochen überprüfen und bei Unregelmäßigkeiten die Bank informieren. Natürlich tut der Vorfall dem Unternehmen leid und man entschuldigt sich dafür, warum diese doch empfindlichen Daten aber gespeichert waren, erklärt Comuto nur recht halbherzig in den FAQ. Die Daten waren verschlüsselt (wie wird nicht genannt) und hätten auch gar nicht mehr in dieser Form vorhanden sein sollen, ein Fehler soll bei der Anonymisierung dafür gesorgt haben, dass sie doch noch gespeichert waren.
Wer also Nutzer von mitfahrgelegenheit.de oder mitfahrzentrale.de war, sollte einmal sein Konto beobachten und entsprechende Maßnahmen ergreifen, damit mit den gestohlenen Daten kein Schindluder getrieben werden kann.
Wird geladen ...
Viel schlimmer als der Vorfall selbst, ist die Tatsache dass es 4 Wochen dauert die Betroffenen zu informieren…
Warum werden betroffene nicht einfach informiert? Was weiß ich denn mit welchen Daten ich mich damals da angemeldet habe.
„Unter 0800-3232555 kann man sich informieren, ob die eigenen Daten betroffen sind und weitere Handlungsempfehlungen erhalten.“
Das ist echt mal unverschämt…da informiert man doch gefälligst von sich aus und veröffentlicht Handlungsempfehlungen!
Wichtiger wäre, dass BlaBlaCar endlich wie alle Vorgänger vor die Hunde geht. Ich glaube das ist jetzt das 3. oder 4. Mal, dass ein Anbieter die Konkurrenz aufkauft und dann krass alle abzockt. Zeit für einen neuen Anbieter!
Wunderbar, diese Hotline! Zu der von mir hinterlegten – natürlich betroffenen – IBAN, kam die Aussage „Bitte kontrollieren Sie Kontoauszüge der letzten Wochen, der Einbruch fand bereits Ende Oktober statt.“ Und auf meine Replik, dass damit die 6 Wochen Widerspruchsfrist für unberechtigte Abbuchungen bei seiner Bank beinahe abgelaufen seien und man danach keinerlei Anspruch auf eine Rückbuchung habe, kam als Antwort „ja, die Banken wüssten ja auch von dem Datendiebstahl und würden sich bestimmt dann kulant zeigen und die Fristen großzügig auslegen“.
Hoppla?? ICH muss auf die Großzügigkeit meiner Bank vertrauen, weil die es nicht schaffen, ihre betroffenen, ehemaligen Kunden von sich aus und rechtzeitig zu informieren?? Finde den Fehler bei dieser Argumentation!
Auf die Frage, wieso denn diese Kundendatenbank der abgewickelten Firma überhaupt noch vorhanden und noch dazu online gewesen sei und ob das mit dem Datenschutzrecht vereinbar sei, kam: „ja man hätte die Daten noch für statistische Zwecke benutzen wollen. Man habe erheben wollen, welche Strecken und wie häufig welche Nutzer gefahren seien, usw.“
Mein Kommentar darauf, dass wohl diese abgewickelte Firma mit diesen Datensätzen dann wohl noch ein letztes Mal Kasse machen wollte, indem sie die „statistischen Profildaten“ meistbietend an Werbekunden oder Versicherungswirtschaft oder sonstwen verhökert, blieb dann unbeantwortet.
Die Daten lagen übrigens in einer Dropbox.
Welche Möglichkeit gibt es eigentlich gegen so eine offensichtlich missbräuchliche (es wurde versprochen die Daten zu anonymisieren / löschen) und fahrlässige Verwendung meiner Daten vorzugehen? Wenn Comuto / BlaBlaCar hier quasi straffrei davon kommt ist das Datenschutzrecht erst Recht ein zahnloser Tiger.
@Anon,
würde ich auch gerne mal wissen!
„Die Services wurden zwar im März dieses Jahres eingestellt, die Comuto Deutschland GmbH hat die Datenbank aber in der Cloud archiviert. […] Die Datenschutzbeauftragte der Comuto Deutschland GmbH teilte gegenüber heise Security mit, dass die Daten mit AES verschlüsselt sind. Nur habe man bei der Archivierung auch den zugehörigen Schlüssel mit in der Cloud abgelegt.“
m(
@Erik Kompetenz auf ganzer Linie
Zuerst dachte ich, hey da war doch mal etwas, eine Behörde… https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Vorfaelle_melden/vorfaelle_melden_node.html Na gut, Mitfahrzentrale ist nun echt keine kritische Infrastruktur. Aber ein großflächiger Hack auf die Telekom? Ich schweife ab…
Gibt es denn aktuell noch gute Mitfahrzentralen, mit zuverlässsigen Fahrern und Mitfahrern und fairen Bezahlsystemen und gewisser Flexibilität des Fahrers? Ich hatte zuletzt das Gefühl, ich wäre ein Taxi oder Uber als Fahrer… und dann steckten sich die Betreiber zusätzlich zur Werbung die Taschen voll.
Herr Dobrindt, Startups subventionieren, die Mitfahrzentralen anbieten?