Aufgrund einer Sicherheitslücke waren die Daten von rund 8000 Handyticket-Nutzer*innen vier Jahre lang auf einer öffentlichen Webseite abrufbar. Betroffen sind unter anderem Kundinnen und Kunden des RMVs.

Vier Jahre lang waren Daten von ehemaligen Handyticket-Nutzer*innen unter einer nicht öffentlich bekannten Webadresse im Internet abrufbar. Die Sicherheitslücke betrifft nach Angaben des RMVs rund 8000 Kund*innen vom Nordhessischen Verkehrsverbund (NVV), Karlsruher Verkehrsverbund (KVV) und dem Rhein-Main-Verkehrsverbund (RMV). Veröffentlicht wurden Name, Postadresse, Mailadresse und Bankverbindung.

Die betroffenen Kundinnen und Kunden wurden vergangenen Mittwoch per Brief benachrichtigt. Der RMV schätzt die Gefahr des unberechtigten Datenabrufs durch Dritte als „unwahrscheinlich“ ein. Die Webseite sei nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden gewesen. „Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden“, erklärte der RMV. Trotzdem wurde den betroffenen Kund*innen geraten, ihren Kunden-Account sowie ihre Bankauszüge auf verdächtige Transaktionen zu prüfen.

Bei den potenziell zugänglichen Daten handele es sich laut RMV um Daten, die „ausnahmslos aus deaktivierten Handyticket-Accounts“ stammen. Kundinnen und Kunden, deren Handyticket-Account durchgängig aktiviert war, sowie Kundinnen und Kunden anderer Vertriebswege, wie beispielsweise E-Ticket-Kund*innen, seien nicht betroffen.

Die Daten waren laut RMV durch einen Konfigurationsfehler des Dienstleisters Cubic Transportation GmbH online gelangt, mit dem die Verbünde jeweils einzelne Vertragsverhältnisse für die verschiedenen App-Angebote haben. Die Sicherheitslücke sei von Cubic selbst entdeckt und sofort nach Entdeckung geschlossen worden.

Weitere Fehlfunktion bei Cubic im Januar

Bei dem Dienstleister Cubic war es bereits Ende Januar zu einer weiteren technischen Fehlfunktion gekommen, bei der Verkaufsbelege von 50 RMV-Handyticket-Kund*innen unberechtigterweise an andere Kund*innen gesendet wurde. Cubic habe diese Fehlfunktion nach Bekanntwerden umgehend deaktiviert. Auch in diesem Fall seien die Betroffenen per Brief informiert worden. „Die Firma Cubic bedauert beide Vorfälle zutiefst und hat ihre Sicherheitsmaßnahmen weiter verbessert. Zudem wurden zusätzliche Kontrollen und ein Maßnahmenplan durch die Verbünde veranlasst, damit sich ein derartiges Szenario nicht wiederholt“, teilte der RMV mit.