Sicherheitslücke: Daten von NVV-Kunden im Internet abrufbar 

+
Die Daten waren durch einen versehentlichen Konfigurationsfehler des Dienstleisters CUBIC Transportation Systems (Deutschland)-GmbH online gelangt.

Daten aus inaktiven HandyTicket Kundenkonten von NVV, KVV und RMV waren von 2015 bis Ende 2019 im Internet abrufbar. Die Sicherheitslücke konnte umgehend geschlossen werden.

Kassel. Kundendaten vom Rhein-Main-Verkehrsverbund (RMV), Nordhessischen Verkehrsverbund (NVV) und dem Karlsruher Verkehrsverbund (KVV) waren unter einer nicht öffentlich bekannten Webadresse im Internet abrufbar. Die Daten waren durch einen versehentlichen Konfigurationsfehler des Dienstleisters CUBIC Transportation Systems (Deutschland)-GmbH online gelangt. Die Verbünde haben mit dem Dienstleister jeweils einzelne Vertragsverhältnisse für verschiedene App-Angebote.

Der Konfigurationsfehler ist von CUBIC selbst Mitte Dezember 2019 entdeckt und umgehend behoben worden. Hinweise von außen auf das potenzielle Datenleck gab es nicht. Auch gibt es aktuell keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde. CUBIC hat anschließend die Verbünde umgehend informiert, die ihrerseits umgehend Kontakt mit der jeweiligen Landesdatenschutzbehörde aufgenommen haben.

In enger Abstimmung mit den Datenschutzbehörden haben die Verbünde die betroffenen Kundinnen und Kunden über die mögliche Sicherheitslücke am Mittwoch per Brief informiert. Sie haben ihnen geraten, trotz der geringen Wahrscheinlichkeit eines unberechtigten Datenabrufs, ihren Kundenaccount sowie ihre Bankauszüge auf unzulässige Transaktionen zu prüfen. Darüber hinaus wird eine Kontaktmöglichkeit datenschutz@nvv.de für weitere Fragen angeboten.

Die Website war von 2015 bis Ende 2019 im Internet abrufbar. Dass Dritte unberechtigt auf die Daten zugegriffen haben, ist dennoch unwahrscheinlich: Die Website war nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden. Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden.

Die potenziell betroffenen Daten stammen ausnahmslos von deaktivierten HandyTicket-Accounts. Das heißt: Kunden mit stets aktivem NVV-HandyTicket-Account sind nicht betroffen. Ebenfalls nicht betroffen sind Kunden anderer Vertriebswege wie zum Beispiel dem eTicket (Schülerticket Hessen, Seniorenticket Hessen).

Informiert wurden beim NVV die Nutzer von rund 2.400 Einträgen, die einen weitgehend kompletten Datensatz mit Namen, Postadresse, Mailadresse und Bankverbindung enthalten.

Die Firma CUBIC bedauert den Vorfall zutiefst und hat ihre Sicherheitsmaßnahmen weiter verbessert. Zudem wurden zusätzliche Kontrollen und ein Maßnahmenplan durch die Verbünde veranlasst, damit sich ein derartiges Szenario nicht wiederholt. CUBIC und die Verbünde entschuldigen sich bei allen betroffenen Fahrgästen.

Das könnte Sie auch interessieren

Meistgelesene Artikel

Alltags-Ferrari mit hohem Flirtfaktor: Eberlein Automobile stellt neues Flaggschiff vor

Er verkörpert das italienische Lebensgefühl Dolce Vita-Gefühl perfekt und ist vielleicht der Schönste unter den Schönen! Gestern wurde in Kassel der neue Ferrari Roma …
Alltags-Ferrari mit hohem Flirtfaktor: Eberlein Automobile stellt neues Flaggschiff vor

Drogengeschäft auf Kinderspielplatz im Wesertor: Streife hat "richtigen Riecher"

Beamten nahmen am "Pferdemarkt" in Kassel den typischen Geruch von Marihuana wahr, der von einem Kinderspielplatz zu kommen schien.
Drogengeschäft auf Kinderspielplatz im Wesertor: Streife hat "richtigen Riecher"

Eine Reise unter die Haut: "Körperwelten - Eine Herzenssache" in Kassel eröffnet

Heute öffnete die documenta-Halle in Kassel ihre Pforten für die ersten Besucher der Ausstellung „KÖRPERWELTEN – Eine Herzenssache“.
Eine Reise unter die Haut: "Körperwelten - Eine Herzenssache" in Kassel eröffnet

Übernachtungs-Rekord: Kassel knackt die 1-Millionen-Marke

Was sich im vergangenen Herbst bereits angedeutet hatte, wird nun von den aktuellen Tourismuszahlen klar bestätigt: Mit genau 1.015.754 Übernachtungen und 562.392 …
Übernachtungs-Rekord: Kassel knackt die 1-Millionen-Marke

Kommentare

Hinweise für das Kommentieren

Von Mo. bis Fr. in der Zeit von 18 bis 9 Uhr und am Wochenende werden keine neuen Kommentare freigeschaltet.
Bitte bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht.