Kriminalität

Datenleck beim RMV

  • Jutta Rippegather
    vonJutta Rippegather
    schließen

Drei Jahre waren die Daten von Handyticket-Kunden im Internet abrufbar. Angeblich hat es keiner gemerkt.

Vier Jahre lang waren Kundendaten des Rhein-Main-Verkehrsverbunds (RMV) unter einer nicht öffentlich bekannten Webadresse im Internet abrufbar. Betroffen waren auch der Nordhessische Verkehrsverbund (NVV) und der Karlsruher Verkehrsverbund (KVV), teilte der RMV am Donnerstag mit. Verantwortlich für die Panne war demnach ein Konfigurationsfehler des Dienstleisters Cubic Transportation Systems, der ihn selbst bemerkte. Die Verbünde hätten mit dem Unternehmen jeweils einzelne Vertragsverhältnisse für verschiedene App-Angebote.

Betroffen waren laut RMV ausnahmslos deaktivierte Handyticket-Accounts. Den Angaben zufolge war die Website von 2015 bis Ende 2019 im Internet abrufbar. Sie sei über Suchmaschinen nicht auffindbar gewesen und auch nicht mit anderen Internetinhalten via Link verbunden. Es gebe keinerlei Hinweise darauf, dass Daten im Internet verbreitet wurden.

Betroffene sind gewarnt

Kunden mit stets aktivem RMV-Handyticket-Account sind demnach ebenso wenig betroffen wie die Nutzer anderer Vertriebswege wie etwa von E-Tickets. Der RMV sagt, er habe am Mittwoch die Nutzer hinter rund 8000 Einträgen informiert, die einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten. „Wer keinen Brief bekommt, bei dem lagen diese Voraussetzungen nicht vor.“

Eine weitere Panne verzeichnete der Dienstleister Cubic Ende Januar. Wegen einer technischen Fehlfunktion wurden Verkaufsbelege von 50 RMV-Handyticket-Kunden unberechtigterweise an andere Kunden gesendet. Das Unternehmen habe die Fehlfunktion nach Bekanntwerden umgehend deaktiviert. Auch hier wurden die Betroffenen per Brief informiert, teilt der RMV mit. Die Information der Betroffenen erfolgte demnach in enger Abstimmung mit den Datenschutzbehörden. Die hätten den Kunden geraten, trotz der geringen Wahrscheinlichkeit eines unberechtigten Datenabrufs, ihren Kundenaccount sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen.  

Fragen von Kunden nimmt der RMV per E-Mail entgegen. Die Adresse: datenschutz@rmv.de.

Das könnte Sie auch interessieren

Kommentare