Suche
Schnellauskunft
Fahrtauskuft
Zeit- und Datumseingabe

Meldungen

Sicherheitslücke bei HandyTicket-Daten geschlossen

Daten aus inaktiven HandyTicket-Kundenkonten von NVV, KVV und RMV / Sicherheitslücke sofort nach Entdeckung geschlossen / unberechtigter Datenzugriff unwahrscheinlich

Kundendaten vom Nordhessischen Verkehrsverbund (NVV), Karlsruher Verkehrsverbund (KVV) und dem Rhein-Main-Verkehrsverbund (RMV) waren unter einer nicht öffentlich bekannten Webadresse im Internet abrufbar. Die Daten waren durch einen versehentlichen Konfigurationsfehler eines externen App-Dienstleisters online gelangt. Die Verbünde haben mit dem Dienstleister jeweils einzelne Vertragsverhältnisse für verschiedene App-Angebote. Beim KVV betrifft dies ausschließlich Daten aus der App „KVV.ticket“.

Unberechtiger Datenzugriff unwahrscheinlich

Der Konfigurationsfehler ist von dem App-Dienstleister selbst entdeckt und umgehend behoben worden. Hinweise von außen auf das potenzielle Datenleck gab es nicht. Auch gibt es aktuell keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde. Der App-Dienstleister hat anschließend die Verbünde umgehend informiert, die ihrerseits umgehend Kontakt mit der jeweiligen Landesdatenschutzbehörde aufgenommen haben. In enger Abstimmung mit den Datenschutzbehörden haben die Verbünde die betroffenen Kundinnen und Kunden über das potenzielle Datenleck am Mittwoch per Brief informiert. Sie haben ihnen geraten, trotz der geringen Wahrscheinlichkeit eines unberechtigten Datenabrufs, ihren Kundenaccount sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen. Darüber hinaus wird beim KVV eine Kontaktmöglichkeit (datenschutz[at]kvv.karlsruhe.de) für weitere Fragen angeboten.

Betroffene Kunden informiert

Die Website war von 2015 bis Ende 2019 im Internet abrufbar. Dass Dritte unberechtigt auf die Daten zugegriffen haben, ist dennoch unwahrscheinlich: Die Website war nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden. Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden.

Die potenziell zugänglichen Daten stammen beim KVV ausnahmslos aus deaktivierten HandyTicket-Accounts der App „KVV.ticket“. Das heißt: Kunden mit stets aktivem KVV-HandyTicket- Account sind nicht betroffen. Ebenfalls nicht betroffen sind Kunden anderer Vertriebswege, wie zum Beispiel eTicket-Kunden. Informiert wurden beim KVV die Nutzer hinter knapp 1.200 Einträgen, welche einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten. Wer keinen Brief bekommt, bei dem lagen diese Voraussetzungen nicht vor.

Der externe App-Dienstleister bedauert beide Vorfälle zutiefst und hat seine Sicherheits-maßnahmen weiter verbessert. Zudem wurden zusätzliche Kontrollen und ein Maßnahmenplan durch die Verbünde veranlasst, damit sich ein derartiges Szenario nicht wiederholt. Der App-Dienstleister und die Verbünde entschuldigen sich bei allen betroffenen Fahrgästen.