Awareness

Datendiebstahl bei Mitfahrzentrale.de und Mitfahrgelegenheit.de!

Aktualisiert am

Obwohl die Dienste eingestellt worden sind, gab es einen Datendiebstahl bei Mitfahrzentrale.de und Mitfahrgelegenheit.de. Über eine halbe Million Daten von Bankkonten waren darunter. Eine Telefonnummer verrät euch, ob ihr zu den Opfern zählt!

Datendiebstahl bei Mitfahrzentrale und Mitfahrgelegenheit – Archive wurden gehackt!

Wer die Mitteilung liest, wird sich wohl fragen: Wie kann es sein, dass Daten von einem Dienst gestohlen werden, welcher seit März seinen Betrieb eingestellt hat? Das liegt daran, dass die Archive der Dienste gehackt worden sind1. Die Firma hinter Mitfahrzentrale und Mitfahrgelegenheit betreibt auch BlaBlaCar. Comuta SA versichert jedoch, dass Nutzer des der auch in Deutschland beliebten Plattform nicht betroffen sind2.

Über eine halbe Million IBAN Nummern sind gestohlen worden!

Mit Abstand am meisten wurden IBAN Nummern gestohlen. Ganze 638.000 sind in den Archiven enthalten gewesen und befinden sich in der Hand von Unbekannten. Nicht ganz so drastisch war der Diebstahl bei den E-Mail Adressen und Mobilnummern. Dort wurden “nur” 101.000 bzw. 15.000 von gestohlen3. Die Datensätze sind lt. Mitfahrgelegenheit nicht miteinander verbunden. Kritisch ist jedoch, dass die Anonymisierung der Daten, durch einen Fehler auf den nicht weiter eingegangen wird, nicht konsequent vollzogen worden ist4.

Daten waren verschlüsselt, Missbrauch der Daten bisher nicht festgestellt!

Verschlüsselt man personenbezogene Daten nicht, dann ist das schon grob fahrlässig. Comuta SA versichert jedoch, dass die Daten verschlüsselt waren5. Das Problem ist jedoch, dass nicht verraten wird, mit welchen Algorithmen. Mittlerweile gibt es nämlich eine Vielzahl von unsicheren Hash- und Verschlüsselungsalgorithmen. Bei manchen sind nur wenige Millisekunden für die Entschlüsselung nötig. Eine beruhigende Nachricht ist das also noch nicht! Ein Missbrauch der Daten wurde noch nicht festgestellt. Diese Nachricht fällt in die gleiche Kategorie. Gestohlene Daten werden schließlich noch Jahre nach dem Hack verkauft.

Datendiebstahl bei Mitfahrzentrale – meine Meinung!

Die FAQs6 von Mitfahrzentrale wollen offene Fragen beantworten – werfen jedoch mehr auf. Warum sind die Daten nicht allesamt vom Netz genommen? Wie sind die Daten verschlüsselt? Wurden meine Daten nach meiner Anmeldung gelöscht, oder nicht? Haben die Hacker nun Daten gestohlen die Pseudonymisiert, Anonymisiert oder komplett im Klartext gespeichert waren? Wer Informationen zu seinem Account haben will, der kann unter der Telefonnummer 0800-3232555 anrufen7. Dort erhält man dann weitere Informationen.

Weitere Informationen und Quellen

[1] Wichtige Informationen für ehemalige  Nutzer (Mitfahrgelegenheit.de)
[2] Kundendaten von mitfahrgelegenheiten.de gestohlen (Borncity)
[3] mitfahrgelegenheit.de und mitfahrzentrale.de:
Daten von ehemaligen Nutzern gestohlen (caschys blog)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.