A1-Kunden sahen fremde Kundendaten auf ihrem Handy

In der Nacht von Dienstag auf Mittwoch staunten einige A1-Kunden nicht schlecht. Denn nach einem Ausfall des mobilen Internet wurde diesen beim Log-in in ihren A1-Account die Daten einer fremden Person angezeigt. Ein Kunde der A1-Marke bob berichtet der futurezone, dass er nach dem Neustart seines Handys und dem Einloggen in seine bob-App einen fremden Namen inklusive Telefonnummer angezeigt bekam.

Auch Einzelverbindungen einsichtig

Auch die Adresse sowie sämtliche Rechnungen mit Einzelverbindungsnachweis wurden angezeigt. "Ich habe das Smartphone daraufhin wieder neu gestartet. Nach dem selben Prozedere wurde mir nun eine weitere fremde Rufnummer mit Adresse und Namen angezeigt. Nach weiteren Neustarts mit dem gleichen Ausgang habe ich das Ganze beendet", erklärt der bob-Kunde der futurezone. Beim Kundensupport von bob sei das Problem nicht bekannt gewesen.

Auf Nachfrage der futurezone hat A1 den Vorfall bestätigt: "In der Nacht vom 14. auf den 15. April kam es zu einem Netzausfall im A1-Netz. Dadurch verursacht kam es auch zu Problemen in einem Support-System, was dazu führte, dass es unter bestimmten Konstellationen zu einer falschen Verknüpfung von Benutzerkonten kam."

A1 verständigt betroffene Kunden

Betroffen dürften Kunden gewesen sein, die sich mittels Auto-Login in ihren Account einloggten. Bei diesen konnte es A1 zufolge von Mitternacht bis 9 Uhr Früh dazu kommen, dass ihnen der Account einer anderen Person angezeigt wurde, und sie somit unberechtigt Einsicht in personenbezogene Daten dieser fremden Person hatten.

"Diese Daten umfassten insbesondere Stammdaten, Produkte, und Rechnungen. Finanzdaten (IBAN) waren nicht bzw. nur in verkürzter Form einsichtig. Bis dato wurden uns ganz wenige Fälle durch Kundenbeschwerden zur Kenntnis gebracht. Wir gehen daher von einer sehr geringen Anzahl an Betroffenen aus. Wir haben bereits begonnen, die uns bekannten Betroffenen zu informieren", teilte A1 der futurezone mit.

Auch Datenschützerin betroffen

Auch die Datenschützerin und Softwareentwicklerin Barbara Ondrisek, Gründerin von papierwahl.at und womenandcode.org, war von dem Datenleck betroffen, wie sie der futurezone nun berichtet. Sie habe von dem Vorfall in der besagten Nacht nichts mitbekommen, sei nun aber von A1 verständigt worden, dass offenbar auch ihre Daten kompromittiert, also einer fremden Person angezeigt wurden.

"Ein derartiges Leck ist ärgerlich und besorgniserregend zugleich. Denn neben meinem vollständigen Namen, meiner Adresse und Telefonnummer waren auch meine E-Mail-Adresse, die ersten 4 und die letzten 4 Stellen meines IBAN-Codes sowie der BIC ersichtlich. Über die bob-App lässt sich auch das Kundenkennwort ändern, um sich auf bob.at einzuloggen und dort dann alle Daten einzusehen", kritisiert Ondrisek.

A1: Selbstanzeige bei Datenschutzbehörde

Mit all diesen Daten sei es gerade in Corona-Zeiten ein leichtes, Identitätsdiebstahl zu betreiben und in betrügerischer Absicht bei der Bank anzurufen. "Es ist nicht der erste Datenschutzskandal und Fehler können natürlich immer passieren. Aber gerade jetzt ist es umso wichtiger, auf Datenschutz und die korrekte Programmierung zu achten", sagt Ondrisek im Gespräch mit der futurezone.

Die ihr von A1 mitgeteilte Zahl von nur 20 Betroffenen stellt Ondrisek in Frage. Auch 3 Monate Entschädigung bei der Grundgebühr sieht sie als geringen Trost für das Datenleck. "Man sieht nun immerhin, wieviel die eigenen Daten wert sind. In meinem Fall 35 Euro." Der A1-Mitarbeiter teilte Ondrisek mit, man habe bereits Selbstanzeige bei der Datenschutzbehörde erstattet.