Datenlücke beim AVV: Hacker haben Zugriff auf Tausende Kundendaten
Plus Hacker hatten beim AVV offenbar Zugriff auf die Daten von Zehntausenden Kunden aus der Region. Der AVV hat die Polizei eingeschaltet.
Er kaufte beim Augsburger Verkehrsbund (AVV) Anfang September eine Schülermonatskarte für seine Tochter. Und nicht einmal eine Stunde später erhielt der Familienvater aus dem Raum Augsburg einen Anruf. Ein Fremder erklärte ihm, er wisse, dass er soeben beim AVV eine Karte gekauft habe, es gebe bei dem Verkehrsbund eine Datenlücke. Er solle doch beim AVV darauf hinwirken, dass diese Lücke geschlossen werde. Der Anruf war kein Scherzanruf: Hacker haben offenbar eine Sicherheitslücke auf der Internetseite des Augsburger Verkehrs- und Tarifverbunds AVV aufgedeckt, durch die sie sich Zugang zu Zehntausenden sensiblen Kundendaten verschaffen konnten.
Betroffen sind Tausende Fahrgäste in der Region, die Busse und Straßenbahnen im Bereich des AVV nutzen und beim Verkehrsverbund eine Zeitkarte gekauft oder ein Abo abgeschlossen haben. Nach Auskunft der Hacker erlaubte die Sicherheitslücke den Zugriff auf "sämtliche Kundendaten". Sie sprechen selbst von rund 150.000 Datensätzen aus der Kundendatenbank, die bis in die 1990er-Jahre zurückreichten. Man wolle durch die Veröffentlichung der Schwachstelle erreichen, dass die Lücke geschlossen werde, sagen die Hacker. Der AVV verweist auf Anfrage unserer Redaktion darauf, den Fall der Kriminalpolizei gemeldet sowie die Sicherheitsstandards erhöht zu haben - und sie auch noch weiter erhöhen zu wollen.
Dieser Artikel ist hier noch nicht zu Ende, sondern unseren Abonnenten vorbehalten. Ihre Browser-Einstellungen verhindern leider, dass wir an dieser Stelle einen Hinweis auf unser Abo-Angebot ausspielen. Wenn Sie weiterlesen wollen, können Sie hier unser PLUS+ Angebot testen. Wenn Sie bereits PLUS+ Abonnent sind, .
Dieser Artikel ist hier noch nicht zu Ende, sondern unseren Abonnenten vorbehalten. Ihre Browser-Einstellungen verhindern leider, dass wir an dieser Stelle einen Hinweis auf unser Abo-Angebot ausspielen. Wenn Sie weiterlesen wollen, können Sie hier unser PLUS+ Angebot testen.
Die Diskussion ist geschlossen.
Dringt ein Dieb in ein nicht ab geschlossenes Haus ein bleibt er natürlich ein Dieb. Aber ganz ungeschoren kommt der Hausbesitzer wohl auch nicht davon.
Die Anzeige, war hoffentlich eine Selbstanzeige! Es wurde hier erheblich gegen die DSGVO verstoßen.
Keinen Datenschutzbeauftragten?
Scheinbar ja nicht. Die Hacker haben ja gezielt Kunden abgrufen, da der AVV trotz Kenntnisnahme der Lücke nicht reagiert hat. Das MUSS laut DSGVO Artikel 33 eine hohe Geldbuße nach sich ziehen, da sie die Datenpanne nicht nach kenntnisname innerhalb 72 Stunden gemeldet haben.
Als Kundin des AVV wäre ich gespannt, ob der AVV seine KundInnen informiert. Da umfangreiche Kundendaten entwendet wurden und nicht nur Anmeldedaten, sind sie dazu verpflichtet. Sonst kann jeder Kunde den Landesbeauftragten für Datenschutz über diesen Vorgang informieren.