Illegaler Download Hunderttausende Mitfahrgelegenheit.de-Daten erbeutet

Hunderttausende Ex-Kunden des Portals Mitfahrgelegenheit.de müssen um ihre Daten bangen. Nachdem die französische BlaBlaCar das Portal übernommen hat, haben Unbekannte eine Kundendatenbank kopiert.

Webseite von Mitfahrgelegenheit.de

Webseite von Mitfahrgelegenheit.de


Ende März wurde nach 15 Jahren das Portal Mitfahrgelegenheit.de abgeschaltet. Eigentlich hätte das Thema für die ehemaligen Kunden der Firma damit erledigt sein sollen. Nun aber stellt sich heraus: Jemand Unbekanntes hat eine Datenbank kopiert, in der Daten Hunderttausender Nutzer des einst beliebten Portals enthalten sind.

Insgesamt enthalte der fragliche Datensatz 638.000 IBAN-Nummern und Kontonummern, 101.000 E-Mail-Adressen, 15.000 Mobilfunknummern sowie teilweise Namen und Adressen ehemaliger Mitglieder, teilt die Comuto Deutschland GmbH mit.

Das Unternehmen ist eine Tochter der französischen Comuto SA, zu der auch das Mitfahrportal BlaBlaCar gehört. Letztere hatte im April ihren deutschen Carpooling-Wettbewerber geschluckt, zu dem neben Mitfahrgelegenheit.de auch das Portal Mitfahrzentrale.de gehörte.

Im Gespräch mit SPIEGEL ONLINE erklärte BlaBlaCar-Manager Olivier Bremer, man habe die Daten der ehemaligen Kunden von Mitfahrgelegenheit.de für eine spätere Analyse verwenden wollen. Dazu hätten die Daten eigentlich anonymisiert werden sollen, was aber nur teilweise geschehen sei.

Daten nicht miteinander verknüpft

Das Unternehmen hatte die Kundendaten in einer Cloud gespeichert, aus der die Datenbank, zusammen mit rund 20 weiteren Dateien, widerrechtlich heruntergeladen worden sein soll. Der unerlaubte Zugriff sei einem Administrator bei einer Kontrolle der sogenannten Log-Dateien aufgefallen. Der Vorfall hat sich bereits Mitte Oktober ereignet. Kundendaten von BlaBlaCar seien von dem Datenleck nicht betroffen, heißt es.

Olivier Bremer zufolge sind die verschiedenen Datentypen nicht verknüpft, sodass sich beispielsweise Namen nicht einer bestimmten IBAN oder Telefonnummer zuordnen lassen. Dennoch bestehe beispielsweise die Möglichkeit, dass Kriminelle die Bankdaten nutzen, um per Lastschrift Geld von den fraglichen Konten einzuziehen. In solchen Fällen hätten die Betroffenen jedoch die Möglichkeit, die Zahlungen über ihre Bank rückgängig zu machen.

Das Archiv soll nach der Untersuchung des Falls durch die Strafverfolgungsbehörden gelöscht werden, teilt Comuto weiter mit. Neben der Polizei seien auch die Datenschutzbehörden informiert worden.

Ehemalige Nutzer von Mitfahrgelegenheit.de können über eine eigens dafür eingerichtete Telefon-Hotline erfragen, ob sie betroffen sind. Die Telefonnummer lautet 0800-32 32 555 und ist von Montag bis Freitag von 8 bis 18 Uhr besetzt.

mak

Mehr zum Thema


insgesamt 25 Beiträge
Alle Kommentare öffnen
Seite 1
schlaueralsschlau 29.11.2016
1. Das waren noch Zeiten...
war damals noch kostenlos. Kontodaten hatten sie nicht, Adresse und Klarnamen genauso wenig, dafür ne 2. Emailadresse und eine Telefonnummer, die ich nicht mehr nutze. Frage mich trotzdem, ob es nicht möglich ist, die Daten mit Blabla zu verknüpfen. Andersherum ging es. Schöne Bewegungsprofile haben die Hacker jetzt aber. Wurde glaube ich nicht angegeben, aber warum sollte das Unternehmen die Daten sonst auswerten?
Affenhirn 29.11.2016
2. In cer Cloud ist nichts sicher
Wer auch immer behauptet, das Speichern von Daten in der Cloud sei sicher, bekommt hier ein krasses Gegenbeispiel geliefert. Ein Admin konnte immerhin den Missbrauch nachvollziehen. War vielleicht ein schwaches Passwort?
henson999 29.11.2016
3. Die Daten waren nicht verknüpft?
Was sind das denn für seltsame Daten? Da liegen Kontodaten und Adressdaten aus einem System, aber die haben keinen gemeinsamen Schlüssel? Das klingt erstmal nicht sehr glaubwürdig. Aber immerhin kann man es noch leugnen, wenn nur eine der Tabellen mal an die Öffentlichkeit gerät.
ede-wolff 29.11.2016
4. Daten nicht verknüpft?
Die Aussage, die Daten seien nicht verknüpft, es sei also nicht möglich, eine Kontonummer einem Namen o.ä. zuzuordnen, ist ja wohl ziemlicher Blödsinn! Wenn es eine relationale Datenbank ist, steht der Bezug direkt in der Datenbanktabelle, falls es ein anderer DB-Typ ist, muss es mindestens eine Tabelle geben, in der die Bezüge gespeichert sind (bestenfalls ist diese Referenztabelle in einer separaten Datei gespeichert). Ansonsten wäre der ganze Datensatz völlig sinnlos, weil für nichts nutzbar. Vermutlich ist die Aussage zur reflexhaften Beruhigung der Öffentlichkeit gedacht. Passiert ja sehr häufig, leider wird nicht aus der Erfahrung gelernt, dass dieses Verhalten genau das Gegenteil bewirkt.
demolator 29.11.2016
5. Na und?
Täglich werden hunderttausende Kundendaten von überall gestohlen. Nur daß die meisten Kriminellen sich nicht dabei erwischen lassen. Und wenn doch, dann sind die bestohlenen natürlich auch nicht besonders auskunftsfreudig oder kooperationswillig. Ich bekomme das regelmäßig mit, da ich seit 20 Jahren jedesmal, wenn ich mich bei einem Portal registriere, eine andere Email-Adresse vergebe a la 'portalname@meine-domain.de'. Wenn ich dann plötzlich Phishing-Mails auf eine dieser Mailadressen bekomme, weiß ich, wo meine Mailadresse diesmal gestohlen wurde. Ich habe es mir aber abgewöhnt dort anzurufen. Überbringer von schlechten Nachrichten zu sein, die man sowieso lieber totschweigen will, ist nicht so dankbar...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.