Vodafone-Datenleck: seid ihr betroffen oder habt Unregelmäßigkeiten feststellen können?
von caschy | 56 Kommentare
Ich bekam heute die Mail eines Lesers. Dieser vermutet, dass die Daten der 2 Millionen aktuellen und ehemaligen Kunden von Vodafone vielleicht doch in irgendeiner Form ins Internet gelangt sind und nun von irgendwelchen Firmen und Personen genutzt werden. Um euch noch einmal in das Thema zu holen: Laut Vodafone hat es ein Insider geschafft, Datensätze von 2 Millionen Kunden zu erbeuten. Auch gibt es anscheinend einen Tatverdächtigen.
[werbung]
Einen Tag später tauchte ein mutmaßliches Bekennerschreiben auf, dessen Echtheit Vodafone mir gegenüber dementierte. Fassen wir einmal zusammen: 2 Millionen Datensätze sind entwendet worden, wo sich diese derzeit rumtreiben, dürfte nicht bekannt sein. Was die gestohlenen Daten enthalten? Mindestens Name, Adresse, Geburtsdatum, Geschlecht, Bankleitzahl und Kontonummer.
Interessant fand ich die Tatsache, dass ich von ganz vielen ehemaligen Vodafone-Kunden gelesen habe, die betroffen waren. Darunter auch solche, die nach Ende der Geschäftsbeziehung eine Löschung ihrer Daten verlangten. Vodafone ist der Löschung anscheinend nicht nachgekommen.
Kommen wir aber nun zu der Geschichte unseres Lesers, die natürlich einfach einen komischen Zufall auf der Zeitachse darstellen kann – wovon ich jetzt allerdings nicht einmal ausgehe. Ich zitiere einfach mal:
Betreff: Ihr SCHUFA-UpdateService hat eine Änderung Ihrer Daten festgestellt.Datum: 14. September 2013 17:51:03 MESZ
Sehr geehrter Herr xxx,
Der SCHUFA-UpdateService hat folgende Änderung der zu Ihrer Person bei der SCHUFA gespeicherten Daten festgestellt:
Tipp24 Services Ltd. hat eine neue Anfrage gestellt.
Die Änderungen sind in Ihrer SCHUFA-Auskunft online ersichtlich. Diese finden Sie in Ihrem persönlichen Bereich unter www.meineSCHUFA.de.
Am Telefon stellte sich heraus, dass sich jemand mit meinen Daten bei Tipp24 angemeldet hat, Benutzername xxxx und eine eMail-Adresse, die ich auch nicht kenne und nutze. Die Bankverbindung, die er verwendete war meine alte, bevor ich die Bank wechselte. Und dann machte es Klick: der Brief von VF, ich meine was an Daten wurde denn veröffentlicht, ich bin kein VF-Kunde mehr und die alte Kontonummer und BLZ…. Ja, leider wurde ich somit ein Opfer von der „VF-Attacke“.
Nochmal zusammengefasst:
1. vorgestern kam der Brief von VF, dass ich von dem Datenklau betroffen bin
2. ich bin kein VF-Kunde mehr
3. lief mein VF-Vertrag noch auf meinen alten Wohnsitz und mit einer Bankverbindung, die ich auch nicht mehr habe
4. nun eröffnet jemand bei tipp24 einen Account mit genau diesen Daten
Riecht natürlich fischig und ich möchte an dieser Stelle die Betroffenen sensibilisieren in der nächsten Zeit besonders alles in Sachen Online-Finanzen im Auge zu haben. Vodafone selber informiert ja auch:
Es ist für den Täter kaum möglich, mit den gestohlenen Daten direkt auf die Bankkonten der Betroffenen zuzugreifen. Allerdings könnte mit zusätzlichen Phishing-Attacken, zum Beispiel durch gefälschte E-Mails, versucht werden, weitere Daten wie Passwörter und Kreditkarteninformationen abzufragen. Vodafone rät seinen Kunden daher zu besonderer Vorsicht bei möglichen Telefon- oder E-Mail-Anfragen, in denen sie zur Herausgabe von persönlichen Informationen wie Passwörtern oder Kreditkartendaten aufgefordert werden. Vodafone stellt solche Anfragen grundsätzlich nicht. Ferner sollten Kunden ihre Kontoauszüge regelmäßig überprüfen und bei Unregelmäßigkeiten umgehend ihre Bank kontaktieren.
Lasst hören: Betroffen und vielleicht schon merkwürdige Dinge erlebt?
Wird geladen ...
Die Aussage von Vodafone dient doch wieder nur der Beruhigung der Leute.
Natürlich können Täter mit den Daten direkt auf die Konten zugreifen, in dem sie per gefälschter Einzugsvollmacht Transaktionen ausführen. Wenn man dann noch im Urlaub ist und nachher nicht sofort die Belege überprüfen kann, ist 6 Wochen nach der Abbuchung das Geld endgültig weg.
Und wenn Vodafone die Daten ehemaliger Kunden nicht gelöscht hat, tragen sie auch grob fahrlässiges Verschulden an dem Vorfall.
@Maik, Jo, einen „Netten“ Antwort Brief bekommt Herr Bockum auch von mir.
-Nixda mit Hotline anrufen-
Finde die Rückseite ja auch sehr „Witzig“. Wo drauf hingewiesen wird,wie man sich schützen soll.
Klar,es wird ja auch nur eher so Nebenbei erwähnt,das Diebe „EVENTUELL,Möglicherweise,Brocken im Netz ordern mit den Daten und dann mit falscher andresse Ausliefern lassen.
DAS ist doch wenn,dann die Erste und imho Einfachste Methode abzusahnen..:/
Wie Willste dich denn gegen sowas IM VORFELD schützen???
*möööp*
Hätte VF Ordnungsgemäß alte Daten final & kompletto gelöscht,wären sicher weit weniger Leute betroffen.
@ Maik
Das Anschreiben an Vodafone zumindest als Einwurfeinschreiben senden.
Fristsetzung nicht vergessen, 10 Tage sollten reichen.
Bestätigung von Vodafone über die Löschung einfordern und gleich damit drohen, dass man gerichtliche Hilfe in Anspruch nimmt, wenn em Verlangen nicht fristgerecht nachgekommen wird.
Ich selbst bin auch zum Glück nicht betroffen, habe aber auch 2 Kollegen die als Ex-Kunden betroffen sind!
Es ist für mich schon erstaunlich, dass hier scheinbar hauptsächlich Daten ehemaliger Kunden entwendet wurden..
Da sich das hier so ein bisschen anhört, als wären nur Altkunden betroffen: Ein Freund von mir, der seit zwei Monaten bei Vodafone ist, ist auch betroffen. Ich bin seit drei Monaten Kunde und nicht betroffen.
Einige befürchten, die sechs Wochen Frist für Lastschriftrückbuchung zu verpassen. In der Frist fragt die Bank nicht nach. Aber auch danach kann man eine Rücklastschrift auslösen, da gelten normale Fristen des BGB. Kann nur sein, dass man die Bank eine glaubwürdige Begründjng verlangt. Also im Zweifel auf jeden Fall zur Bank gehen und mit denen reden!
@Ted,
Jo, so ist der Brief hier auch raus. allerdings Einschreiben ohne Einwurf.
Gleich mit der Aufforderung Daten Löschen mit Frist und Bestätigung,sowie dem
Hinweis,falls irgendwas mit den Daten angestellt wird, der Kausalzusammenhang wohl
offensichtlich ist,und VF zur Verantwortung gezogen wird.
Geht ja mal gar nicht..
Ich habe den Brief von Vodafone auch erhalten, bisher habe ich jedoch noch nichts davon gemerkt, dass die Daten verwendet wurden.
Ich kann jedem Betroffenden ( ich gehöre zum Glück nicht dazu, schlimm genug, das ich für den Laden arbeite ) in nächster Zeit seine Kontoauszüge gründlich zu prüfen. Kontonummer & BLZ reichen problemlos aus, z.b. bei einem Onlinehändler wie Amazon Bestellungen abzusetzen oder anderweitig Lastschriften auszulösen.
„Wir sind uns bewusst, dass die Abfrage von Kontonummer und Bankleitzahl angesichts der aktuellen Lage unpassend wirkt, allerdings können wir nur auf diesem Weg Ihre Angaben zuverlässig mit den betroffenen Kundendaten abgleichen.“
Reicht da nicht die Telefonnummer?
„Wg. handels- u steuerrechtl. Aufbewahrungspflichten sind diese Daten gespeichert, auch von Pers, die keine Kunden mehr“
https://twitter.com/vodafone_de/status/378802561815699456
„Durch § 675x BGB gilt im nationalen Lastschriftverfahren eine Frist von 8 Wochen nach Belastung (seit 9. Juli 2012). Das Unterlassen rechtzeitiger Einwendungen gilt als Genehmigung der Belastung. Bei einer nicht vorhandenen Einzugsermächtigung und damit einer unautorisierten Lastschrift kann innerhalb einer Frist von bis zu 13 Monaten eine Korrektur erfolgen (§ 676b Abs. 2 BGB). “ Quelle: Wikipedia
In Deutschland gibt es für Unternehmen für bestimmte Vorgänge eine Aufbewahrungspflicht bis zu 10 Jahren. http://de.wikipedia.org/wiki/Aufbewahrungspflicht
Um mal wieder zum Kern des Beitrages zurück zu kommen…
Wie ist das mit so genanten Reseller-Anbieter, die das Netz von Vodafone nutzen. Da gibt es ja einige, wie z. B. Penny, Ja! oder Callmobile bis vor kurzem noch?
In welchem Verhältnis stehen diese Reseller zu Vodafone? Hat jeder Reseller-Kunde auch eine Vodafone Kundennummer (Die der Kunde selber nicht kennt) oder bekommen die einfach einen Rufnummern-Block (Nur Reseller hat eine Kundennummer) zugewiesen und können selbst agieren?
Ich werde das für meinen Teil auf alle Fälle prüfen lassen. Habe im August bei meinem Reseller den Tarif gewechselt und bin seit dem nicht mehr im Vodafone-Netz, sondern bei Telekom.
Einige andere werden sicherlich ebenfalls bei Reseller Tarife haben, die im Vodafone Netz funken. Man sollte das auch nicht außer acht lassen.
Irgendwie niedlich. Da gibt es doch tatsächlich Leute, die an den Inhalt von PR-Nachrichten glauben. Der einzige Zweck der Kunden- und Presseinformation war nicht Information, sondern Schadensbegrenzung. Insofern bin ich doch etwas enttäuscht wie vollkommen unkritisch im diesem Blog (und anderen Medien) mit den von Vodafone bereitgestellten Worthülsen umgegangen wird.
@Jens: du hast anscheinend keinen der Beiträge zum Thema gelesen, nicht wahr? Unkritisch? pffff 😀
@cashy: ich habe 3 Artikel hier im Blog zu Thema gelesen und keinen gesehen der die Pressemitteilung oder die sonstigen „Antworten“ von Vodafone in irgendeiner Form in Frage stellt bzw. nennenswert in die Tiefe geht. Dabei lassen sich auch ohne Alu-Hut ein paar nette Details zwischen den Zeilen herauslesen und der Tag der Veröffentlichung spricht ebenfalls Bände.
Bin seit April kein Kunde mehr, aber auch betroffen. Bislang keine Auffälligkeiten, nicht mehr Spam als sonst. Konto wird aber intensiver überwacht.
@MichaelFreebie: Einige meiner Freunde und meine Wenigkeit sind bei verschiedenen Resellern, die alle Vodafone nutzen. Bis heute hat keiner von uns eine direkte Benachrichtigung von Vodafone bekommen. Mal gucken, ob das auch so bleibt.
Online Abfrage ergab NICHT betroffen.
ABER, in meinen Augen sehr suspekt ist die Tatsache, dass ich eine fake PayPal Anfrage an die mit dem VF Account verknüpfte Emailadresse bekommen habe. Diese Mailadresse steht in keinem Zusammenhang mit meinem realen Namen! Allerdings kam die abzock PayPal Mail mit absolut korrektem Namen in der Anrede. Mmmh!