Kundendaten der App "KVV.ticket" waren versehentlich ins Internet gelangt.
Bild: Stephanie Meyer
Datenleck bei KVV-App: Kundendaten waren jahrelang im Internet abrufbar
Karlsruhe
06.02.2020 15:46
Zahlreiche Daten aus der App "KVV.ticket" sind ins Internet gelangt. Darüber informiert der Karlsruher Verkehrsverbund (KVV) in einer Pressemeldung. Die Daten waren daraufhin online abrufbar - allerdings unter einer nicht öffentlich bekannten Webadresse. Ein Missbrauch der Daten sei daher laut KVV eher unwahrscheinlich.

Betroffen waren neben der App "KVV.ticket" auch Kundendaten vom Nordhessischen Verkehrsverbund (NVV) und dem Rhein-Main-Verkehrsverbund (RMV). "Der Konfigurationsfehler ist von dem App-Dienstleister selbst entdeckt und umgehend behoben worden", heißt es von Seiten des KVV. Hinweise von außen auf das potenzielle Datenleck habe es nicht gegeben.

Website war nicht über Suchmaschinen auffindbar

"Auch gibt es aktuell keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde", so der KVV weiter. Die Website sei von 2015 bis Ende 2019 im Internet abrufbar gewesen, allerdings nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden. Ursache soll ein Konfigurationsfehler eines externen App-Dienstleisters gewesen sein, betroffen waren laut KVV ausschließlich inaktive Kundenkonten.

"Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden. Der App-Dienstleister hat anschließend die Verbünde umgehend informiert, die ihrerseits umgehend Kontakt mit der jeweiligen Landesdatenschutzbehörde aufgenommen haben." 

Surfen mit dem Smartphone
(Symbolbild) Bild: pixabay.com © Pexels

Daraufhin haben die Verbünde die betroffenen Kunden über das potenzielle Datenleck am Mittwoch per Brief informiert. Darin habe man den Kunden trotz der geringen Wahrscheinlichkeit eines unberechtigten Datenabrufs geraten, ihren Kundenaccount sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen. "Darüber hinaus wird beim KVV eine Kontaktmöglichkeit unter datenschutz@kvv.karlsruhe.de für weitere Fragen angeboten", schreibt der Verbund weiter.

App-Dienstleister hat Sicherheitsmaßnahmen verbessert

Kunden mit stets aktivem KVV-Handy-Ticket- Account seien aber nicht betroffen. Ebenfalls nicht betroffen seien Kunden anderer Vertriebswege, wie zum Beispiel eTicket-Kunden. Informiert wurden beim KVV die Nutzer hinter knapp 1.200 Einträgen, welche einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten. "Wer keinen Brief bekommt, bei dem lagen diese Voraussetzungen nicht vor", erklärt der Karlsruher Verkehrsverbund.

Der externe App-Dienstleister bedauere beide Vorfälle zutiefst und hab seine Sicherheitsmaßnahmen weiter verbessert. Zudem seien zusätzliche Kontrollen und ein Maßnahmenplan durch die Verbünde veranlasst worden, damit sich ein derartiges Szenario nicht wiederholt.

Der Artikel wurde nachträglich bearbeitet.

Es ist nicht mehr möglich, Kommentare zu diesem Artikel zu verfassen.
9 Kommentare