Sicherheitslücke über mehr als vier Jahre: Kundendaten des Rhein-Main-Verkehrsverbunds (RMV) und des Nordhessischen Verkehrsverbunds (NVV) waren im Internet abrufbar
Kundendaten des Rhein-Main-Verkehrsverbunds (RMV), des Nordhessischen Verkehrsverbunds (NVV) und des Karlsruher Verkehrsverbunds (KVV) waren im Internet abrufbar. Beim RMV sind ca. 8.000 Kunden-Datensätze betroffen, beim NVV ca. 2.400. Die Daten seien durch einen Konfigurationsfehler des beauftragten Dienstleisters Cubic Transportation Systems (Deutschland) GmbH online gelangt, erklären RMV und NVV.
Sowohl die Verkehrsverbünde als auch die Firma Cubic versuchen in Ihren Informationen für die Öffentlichkeit, das Problem einer Sicherheitslücke, die „von 2015 bis Ende 2019“ bestand (Information des RMV), in seiner Dimension zu verkleinern.
Zitate aus der Presseinformation des RMV vom 06.02.2020:
- „ein versehentlicher Konfigurationsfehler des Dienstleisters Cubic…“ . Was ist denn „ein versehentlicher Konfigurationsfehler“? Fehler entstehen immer versehentlich, meist durch Fahrlässigkeit. Wenn etwas mit Absicht gemacht nennt man es nicht Fehler – sondern Vorsatz.
- „Konfigurationsfehler ist von Cubic selbst entdeckt und umgehend behoben“ – aber erst mehr als vier Jahre nach seiner Entstehung.
- „gibt es aktuell keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde..“.
- „Die Website war von 2015 bis Ende 2019 im Internet abrufbar.“
- „Informiert wurden beim RMV die Nutzer hinter rund 8.000 Einträgen, welche einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten.“
- „… kam es bei dem Dienstleister Cubic Ende Januar zu einer weiteren technischen Fehlfunktion. Dadurch wurden Verkaufsbelege von 50 RMV-HandyTicket-Kunden unberechtigterweise an andere Kunden gesendet.“
- Die Verkehrsverbünde haben „die betroffenen Kundinnen und Kunden über das potenzielle Datenleck am Mittwoch per Brief informiert. Sie haben ihnen geraten… ihren Kundenaccount sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen…“
- „Die Firma Cubic… hat ihre Sicherheitsmaßnahmen weiter verbessert“.
Über letzteres werden sich die 8.000 Kund*innen des RMV aber freuen, deren „weitgehend kompletter Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung“ mehr als vier Jahre „von 2015 bis Ende 2019 im Internet abrufbar“ war.
Vorwärts zur nächsten Datenpanne…
Beim Karlsruher Verkehrsverbund (KVV) sind auch 9.000 Fahrgäste betroffen:
https://bnn.de/nachrichten/suedwestecho/datenleck-kvv-kundeninformationen-waren-jahrelang-im-internet-abrufbar