Letzte Woche machte die Meldung die Runde, dass eine Datenbank der Portale Mitfahrgelegenheit.de und Mitfahrtzentrale.de kopiert wurden und dass die Hacker dabei an ca. 638.000 Kontonummern, 101.000 E-Mail-Adressen, 15.000 Handynummern und wohl auch etliche Namen und Adressen von ehemaligen Nutzern der Portale gekommen sind.
Wie konnte es zu diesem Vorfall kommen? Die beiden Mitfahrportale existieren ja bereits seit März dieses Jahres nicht mehr. Die Datenbank gehört der Comuto Deutschland GmbH, einer Tochter der französischen Comuto SA, zu der auch das Mitfahrportal BlaBlaCar gehört. Die Kundendaten existierten überhaupt nur noch, da sie für eine Analyse verwendet werden sollten. Für eine datenschutzkonforme Verwendung der Daten hätten diese jedoch eigentlich anonymisiert werden müssen. Warum das nicht geschah konnte BlaBlaCar nicht sagen. Soweit so schlimm. Die Daten lagen zwar in verschlüsselter Form in der Datenbank, aber, und das ist wirklich ein sehr einfach vermeidbarer Fehler, der zur Verschlüsselung mit AES verwendete Schlüssel lag auch in dieser Datenbank. An dieser Stelle sei nochmal an die drei Schlagwörter zur Datensicherheit – Vertraulichkeit/Verfügbarkeit/Integrität – erinnert, zu denen wir hier, hier und hier gesonderte Beiträge haben.
Kunden, die prüfen wollen, ob sie von dem Datenleck betroffen sind, können sich von Montag bis Freitag von 8 bis 18 Uhr unter der Telefonnummer 0800-32 32 555 informieren. BlaBlaCar empfiehlt allen Kunden zudem die Kontobewegungen der vergangenen sechs Wochen zu überprüfen.