Hacker kopieren Nutzer-Daten von Mitfahrgelegenheit.de und Mitfahrzentrale.de
Angreifer sollen auf eine archivierte Datenbank gestoßen sein und unter anderem Bankdaten abgezogen haben.
Unbekannte Hacker sollen vor rund einem Monat Zugriff auf eine Server mit persönlichen Daten von Nutzern der Portale Mitfahrgelegenheit.de und Mitfahrzentrale.de gehabt haben. Die Services wurden zwar im März dieses Jahres eingestellt, die Comuto Deutschland GmbH hat die Datenbank aber in der Cloud archiviert. Das teilt das Unternehmen in einer Sicherheitswarnung mit.
Wer wissen möchte, ob seine Daten abgezogen wurden, kann sich an die Hotline 0800 3232555 wenden.
Bankdaten kopiert
Die Daten sollen verschlüsselt in der Cloud gelegen haben. Comuto warnt aber vor möglichem Missbrauch. Weitere Details zur Verschlüsselung liegen derzeit nicht vor. Eine Anfrage von heise Security wurde bislang noch nicht beantwortet.
Bei dem Übergriff sollen die Angreifer Daten von rund 15 Prozent der Nutzer beider Portale kopiert haben – von Mitfahrzentrale.de sollen nur 0,1 Prozent betroffen sein. Neben 101.000 E-Mail-Adressen und 15.000 Mobilfunknummern sollen die Hacker auch rund 638.000 IBAN- und Kontonummern erbeutet haben. Das Unternehmen betont, dass die Datensätze nicht miteinander verbunden sind: Bankdaten sollen sich also keinen Namen zuordnen lassen.
Comuto versichert, dass es aktuell noch keinen Missbrauch der Daten gegeben hat. Wer unrechtmäßige Geldeinzüge via Lastschrift verzeichnet, sollte dies umgehend bei seiner Bank melden. In derartigen Fällen kann man Zahlungen rückgängig machen. Comuta empfiehlt Mitgliedern der ehemaligen Services, die Kontobewegungen der vergangenen sechs Wochen zu überprüfen.
Kein Hack von BlaBlaCar
Das Mitfahr-Portal BlaBlaCar der Comuto SA ist von dem Server-Einbruch nicht betroffen, versichern die Betreiber. Im Fall des Hacks sollen derzeit Strafverfolgungsbehörden ermitteln. Aktuell geht man von einer gezielten Attacke aus.
Die Comuto Deutschland GmbH hat die ehemaligen Betreiber der beiden vom Hack betroffenen Mitfahr-Portale Carpooling GmbH im April 2015 gekauft. Der Kauf beinhaltete auch die Nutzer-Daten. Eigenen Angaben zufolge wollte man die Daten anonymisieren – aufgrund eines Fehlers ist das aber nicht vollständig geschehen, erläutert Comuto.
[UPDATE, 29.11.2016 16:40 Uhr]
Die Datenschutzbeauftragte der Comuto Deutschland GmbH teilte gegenüber heise Security mit, dass die Daten mit AES verschlüsselt sind. Nur habe man bei der Archivierung auch den zugehörigen Schlüssel mit in der Cloud abgelegt. Demzufolge wären Angreifer in der Lage, personenbezogene Daten zu entschlüsseln und zu missbrauchen. (des)
