Der schwedische Elektro-Tretroller Verleiher Voi ist von einem Datenleck betroffen. Die Benutzerdaten von Hundertausenden Kunden ließen sich per Internet abrufen.
Ich blogge ja so nebenbei drüben im eScooter-Blog über die Tollheiten dieser neue Fahrzeuggattung und der eScooter-Piloten. Da geht einem der Stoff niemals aus – vom Suffkopp, der gegen ein Polizeiauto donnert bis hin zu Dieter Bohlen, der Werbung für einen E-Tretroller macht, aber mit einem nicht versichterten und nicht zugelassenen eScooter auf öffentlichen Straßen fährt und das auch noch per Videobeweis dokumentiert, ist alles dabei. Hältste teilweise im Kopf nicht aus, was da so ab geht. Aber das Thema Datenleck ist was für den IT-Blog.
(eScooter Quelle: VOI)
Aktuell geht es um das schwedische Startup Voi Technologies, welches in europäischen Ländern seine Elektro-Tretroller verleiht. Voi ist auch in Deutschland in größeren Städten wie Berlin, München, Hamburg etc. aktiv. Gerade hat Voi noch 85 Millionen US-Dollar an Wagniskapital eingeworben (Voi Technology bekommt 85 Millionen US $ Finanzierung).
Zur Ausleihe der eScooter muss sich der Kunde bei Voi registrieren und das Fahrzeug per App buchen. Dabei fließen eine ganze Menge persönlicher Daten ab. Während der Fahrt sammeln alle Anbieter weitere Daten über die Fahrstrecke und die Dauer der Fahrt. Am Ende der Fahrt wird diese über die Zahlungsinformationen des Kunden abgerechnet. Da kommt es auf den Datenschutz an.
Im Dezember 2017 gab es bereits einen Datenskandal bei Anbietern von Leihfahrrädern. Ich hatte im Beitrag oBike-Nutzerdaten per Social Media abrufbar darüber berichtet. Jetzt trifft es den eScooter-Verleiher Voi.
Datenleck bei Voi
Datenjournalisten des Bayrischen Rundfunks (BR) sind bei Recherchen zum Datenschutz bei E-Tretroller-Vermietern beim Anbieter Voi fündig geworden. Sie haben festgestellt, dass der Anbieter die Daten seiner Kunden nur unzureichend schützt. Die Journalisten des BR-Rechercheverbunds konnten laut diesem Beitrag Daten von 460.000 Nutzern einsehen: Namen, Mail-Adressen und auch Handynummern waren frei im Netz abrufbar.
Laut BR waren nur wenige Klicks nötig, Sicherheitsvorkehrungen zum Schutz der Daten waren nicht vorhanden. Die Journalisten benachrichtigten Voi über das Datenleck, welches nach wenigen geschlossen wurde. Allerdings gibt der BR-Artikel nicht wirklich viele Details preis.
Der Anbieter Voi hat selbst eine Pressemitteilung herausgegeben, in der das Unternehmen das Datenleck bestätigt. Voi hat den Vorfall der schwedischen Datenschutzaufsicht gemeldet. Aus der Pressemitteilung geht hervor, dass ein Benutzer einen Weg gefunden hat, um Zugang zu einem Teil des Voi IT-Systems zu erhalten, in dem die Belege der Kunden gespeichert werden. Die Person nutzte dies, um ihre eigenen Belege herunterzuladen. Dabei stellte die Person wohl fest, dass sie auch Zugriff auf die Belegen anderer Kunden erhalten konnte. Von der betreffenden Person wurden aber keine anderen Kundendaten heruntergeladen oder anderweitig öffentlich zugänglich gemacht.
Nachdem Voi über die Datenschutzverletzung informiert wurde, leitete das Unternehmen sofort Maßnahmen ein und die Schwachstelle wurde innerhalb einer Stunde behoben. Gemäß der Allgemeinen Datenschutzverordnung der EU (GDPR) haben die Verantwortlichen von Voi die schwedische Datenschutzaufsicht DPA (Datainspektionen) über den Vorfall informiert und sind dabei, die Nutzer über den Vorfall zu informieren. Weitere Maßnahmen sollen sicherzustellen, dass sich dies in Zukunft nicht wiederholt.
Glücklicherweise sind keine Kreditkartendaten vom Datenleck betroffen. Voi dazu: Aufgrund der Art des Problems können wir bestätigen, dass zu keinem Zeitpunkt Kreditkarten- oder Paypal-Kontoangaben oder Passwörter offengelegt wurden. Alle Kartendaten werden immer von unseren Zahlungsanbietern Stripe und Paypal verarbeitet, zwei der größten und sichersten Zahlungsanbieter der Welt.
Der Landesbeauftragte für Datenschutz in Baden-Württemberg, Stefan Brink, stuft das Ganze als gravierenden Vorfall ein. Zitat: ‘Da würde ich grundsätzlich schon von einem hohen Risiko ausgehen, weil man mit solchen Daten zum Beispiel so etwas wie einen Identitätsdiebstahl begehen kann.’ Die Datenschutzaufsicht wird dann auch über eine Geldbuße wegen des DSGVO-Verstoßes entscheiden müssen.
Ähnliche Artikel
oBike-Nutzerdaten per Social Media abrufbar
oBike-Datenschutzskandal hat Nachspiel
Aufstieg und Fall der asiatischen Fahrradverleiher
(e)Scooter: Chance oder einfach nur Bullshit?
…schöne neue (mobile) Welt
…mit einsehbaren KK-nummern wäre diese noch schöner geworden
stichwort: Social Engineering
;-)))
>>über die Tollheiten dieser neue Fahrzeuggattung und der eScooter-Piloten.
Da hast du aber wirklich ausgetobt :-)
Es besteht gerade mal aus 3 Stangen und 2 Räder :))
Nochmals genau nachzählen und dann mit den 289 Beiträgen multiplizieren, die da schon im Blog sind ;-)