Gratis
2. Dezember 2016 - Datendiebstahl

Mitfahrer-Portale: Daten aus bereits eingestellten Plattformen entwendet

Die beiden Portale Mitfahrgelegenheit.de und Mitfahrzentrale.de müssen den Verlust von Kundendaten vermelden. Grund: Der Schlüssel zu den verschlüsselten Daten lag mit in der Cloud. Der Datendiebstahl erfolgte laut Site-Betreiber im Oktober. Die beiden Web-Services hatten ihre Aktivitäten allerdings schon im März beendet.

Bei verschlüsselten Daten sollt4e der Schlüssel nicht am gleichen Ablageort liegen Trügerische Sicherheit: Wenn der Schlüssel gleich neben dem Schloss liegt ... (Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock)

Wie die Comuto Deutschland GmbH mit Sitz in Hamburg meldet, haben Hacker die Daten ehemaliger Nutzer der Plattformen Mitfahrgelegenheit.de und Mitfahrzentrale.de kopiert. Der Datendiebstahl erfolgte im Oktober 2016. Die beiden betroffenen Web-Portale sind allerdings bereits zum 31. März 2016 eingestellt worden.

Archiv in der Cloud

Möglich wurde diese Cyber-Attacke, da Comuto die Datenbanken der beiden eingestellten Services in der Cloud archiviert hatte. Die Archive enthielten rund

  • 638.000 Kontoverbindungen,
  • 101.000 E-Mail-Adressen,
  • 15.000 Mobilrufnummern sowie
  • teilweise Namen und Adressen.

Comuto Deutschland ist eine Tochtergesellschaft der Comuto SA, die auch das noch aktive Portal BlaBlaCar betreibt. Alle Daten der bestehenden BlaBlaCar-Nutzer seien jedoch geschützt und würden separat von der jetzt erfolgreich attackierten Cloud-Lösung gespeichert.

Daten waren verschlüsselt, aber Schlüssel mit in der Cloud

Die illegal kopierten Informationen seien laut Betreiber nicht systematisch miteinander verbunden, sodass beispielsweise eine direkte Zuordnung eines Namens zu einer Bankverbindung nicht möglich sei. Betroffen seien etwa 15 Prozent der ehemaligen Nutzer der beiden Plattformen, davon wiederum weniger als 0,1 Prozent von Mitfahrzentrale.de.

Wie heise Security berichtet, habe die Datenschutzbeauftragte der Comuto Deutschland GmbH mitgeteilt, dass die Daten mit AES verschlüsselt seien. Nur habe man bei der Archivierung auch den zugehörigen Schlüssel mit in der Cloud abgelegt.

Hotline für ehemalige Nutzer

Comuto Deutschland hat nach eigenen Angaben die Strafverfolgungsbehörden eingeschaltet und den Hamburger Datenschutzbeauftragten informiert. Für ehemalige Nutzer wurde eine Telefon-Hotline unter der Rufnummer 0800-32 32 555 eingerichtet, über die sie sich erkundigen können, ob ihre IBAN-Nummer, E-Mail-Adresse oder Mobilnummer betroffen ist.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln