Symbolfoto: dpa

Sicherheitslücke bei Verkehrsverbünden geschlossen – Datenzugriff unwahrscheinlich

  • vonRedaktion Fuldaer Zeitung
    schließen

Region - Die Sicherheitslücke die es ermöglicht hatte, Daten aus inaktiven HandyTicket-Kundenkonten dreier Verkehrsverbünde über eine nicht öffentlich bekannte Internetadresse abzurufen, ist geschlossen worden. Dies ging aus einer Pressemitteilung des RMV hervor.

Kundendaten vom Rhein-Main-Verkehrsverbund (RMV), Nordhessischen Verkehrsverbund (NVV) und dem Karlsruher Verkehrsverbund (KVV) waren unter einer nicht öffentlich bekannten Webadresse im Internet abrufbar. Die Daten waren durch einen versehentlichen Konfigurationsfehler des Dienstleisters Cubic Transportation Systems online gelangt. Die Verbünde haben mit dem Dienstleister jeweils einzelne Vertragsverhältnisse für verschiedene App-Angebote.

Kunden wurden per Brief informiert

Der Konfigurationsfehler ist von Cubic selbst entdeckt und umgehend behoben worden. Hinweise von außen auf das potenzielle Datenleck gab es nicht. Auch gibt es keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde. Cubic hat anschließend die Verbünde umgehend informiert, die ihrerseits umgehend Kontakt mit der jeweiligen Landesdatenschutzbehörde aufgenommen haben.

In enger Abstimmung mit den Datenschutzbehörden haben die Verbünde die betroffenen Kundinnen und Kunden über das potenzielle Datenleck per Brief informiert. Sie haben ihnen geraten, trotz der geringen Wahrscheinlichkeit eines unberechtigten Datenabrufs, ihren Kundenaccount sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen, heißt es in der Mitteilung.

Kein Hinweis auf Datenzugriff

Die Website war von 2015 bis Ende 2019 im Internet abrufbar. Dass Dritte unberechtigt auf die Daten zugegriffen haben, ist dennoch unwahrscheinlich: Die Website war nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden. Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden.

Die potenziell zugänglichen Daten stammen ausnahmslos aus deaktivierten HandyTicket-Accounts. Das heißt: Kunden mit stets aktivem RMV-HandyTicket- Account sind nicht betroffen. Ebenfalls nicht betroffen sind Kunden anderer Vertriebswege, wie zum Beispiel eTicket-Kunden. Informiert wurden beim RMV die Nutzer hinter rund 8.000 Einträgen, welche einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten. Wer keinen Brief bekommt, bei dem lagen diese Voraussetzungen nicht vor. / akh

Das könnte Sie auch interessieren