Digital Life
17.12.2014

Daten von Mjam-Usern sind bei Telefonkeilern gelandet

Mjam verneint Vorwürfe der Kunden, dass Daten verkauft wurden. Gleichzeitig ist ein früheres Datenleck bekannt geworden, aber: „Es hat keinen Anlass gegeben, Leute zu warnen.“

In den vergangenen Monaten ist es in Österreich vermehrt zu unerwünschter Telefonwerbung gekommen. In einigen Fällen werden Betroffene mehrmals am Tag, über Wochen hinweg, von anonymen Nummern angerufen. Die Telefonkeiler stellen sich als Mitarbeiter einer Lotterie vor. Gegen eine kleine Gebühr soll man an einem Gewinnspiel mitmachen. In einigen Fällen habe man laut den, meist mit deutschem Akzent sprechenden, Personen sogar schon mitgemacht und müsse nur noch die Gebühr entrichten, um hohe Geldbeträge zu bekommen.

Zwar kann man eine Anzeige beim österreichischen Fernmeldebüro (Link zum Musterbrief) machen, diese sind aber nahezu machtlos. Wie eine Betroffene gegenüber der futurezone ihr Gespräch mit der Fernmeldebehörde schildert, könne man dort nur etwas gegen die Keiler unternehmen, wenn diese ihre tatsächlichen Telefonnummern und Firmennamen preisgeben – was sie nicht machen.

Mjam wird verdächtigt

Wie Vice berichtet, vermuten einige User die Quelle des Übels gefunden zu haben: Mjam.at. Vice-Autorin Verena Bogner hat nach einem Artikel Ende November zum Thema Telefonkeiler mehrere Hinweise darauf bekommen, dass die Daten von dem Essens-Bestelldienst Mjam weitergegeben wurden.

Die futurezone hat mehrere Betroffene Mjam-Kunden kontaktiert und dabei Fälle gefunden, die nahelegen, dass die Telefonkeiler tatsächlich auf Daten von Mjam zurückgegriffen haben. In vielen Fällen ist es nämlich so, dass die bei Mjam verwendete Kombination aus Telefonnummer, Adresse und Name von unseren Informanten nirgendwo sonst eingesetzt wurde. Der Nutzer Gregor S. etwa schreibt, dass er während eines kurzen Praktikums über Mjam Essen ins Büro bestellt hat. Diese Adresse hat er sonst nie irgendwo angegeben. Einen Monat später hat Gregor die ersten Spam-Anrufe erhalten, in deren Verlauf er auch nach der Praktikums-Adresse gefragt wurde.

Valentin F. erzählt der futurezone, dass er öfter gemeinsam mit einem Freund bei Mjam bestellt hat. Dabei wurden regelmäßig Kombinationen aus den Namen und Telefonnummern des Duos verwendet und zwar ausschließlich bei Mjam. Kurz danach haben beide Anrufe von Keilern erhalten, die Sie jeweils mit dem Namen des Freundes angesprochen haben. Das beweist zwar nicht, dass das Datenleck bei Mjam liegt - es könnte theoretisch auch bei den genutzten Restaurants Informationen abhanden gekommen sein - bei der Zahl der Nutzer, die sich gemeldet haben, ist es aber weitaus wahrscheinlicher, dass die Daten aus Mjam-Beständen stammen.

Keine Daten weitergegeben

Auf der Facebook-Seite von Mjam.at haben sich mittlerweile mehrere Betroffene gemeldet. Wie Vice berichtet, haben sich einige davon per Mail bei Mjam beschwert. Diese bekamen meist standardisiert wirkende Antwort-Mails, in denen versichert wurde, dass Mjam den Datenschutz ernst nimmt und kein Datenmissbrauch festgestellt werden konnte.

Bei einer telefonischen Beschwerde wurde laut Vice einer Betroffenen versichert, dass keine Daten weitergegeben wurden, aber ein Datenleck nicht ausgeschlossen werden könnte.

Stellungnahme von Mjam

Update 21:56 (16.12.): Mjam hat auf seinem Blog eine "Klarstellung" veröffentlicht. "Mjam verkauft keine Kundendaten! Das haben wir nie gemacht und werden wir auch nie machen. Wir wissen von einigen Kunden, deren Kundendaten in die Hände einer Firma für Telefonwerbung gelangt sind. Als wir davon erfahren haben, wurde sofort SEC CONSULT GmbH eingeschaltet, eine international renommierte Security-Firma. Die Analyse hat ergeben, dass es bei Mjam kein Datenleck gibt. Deswegen ist davon auszugehen, dass die Daten aus anderen Quellen stammen."

Kunden, die Fragen zu dem Thema haben, sollen laut Blog-Eintrag eine E-Mail an security@mjam.net schicken. Weiters verspricht Mjam: "Selbstverständlich bleiben wir am Thema dran, bis alles lückenlos aufgeklärt ist und halten euch auch hier auf dem Laufenden!"

Userdaten bei GitHub

Im Rahmen der Berichterstattung haben User auf eine Anordnung zum Löschen zweier GitHub-Einträge, ausgestellt von der Mjam GmbH, hingewiesen. Laut dem Antrag vom 10. 12. 2014 enthielten die GitHub-Beiträge „Quellcode, Dokumente, Userdaten und verwandte Werke, die vertraulich sind und Mjam GmbH“ gehören. Die GitHub-Einträge waren seit Oktober 2013 öffentlich zu erreichen. Nicht bekannt ist, wie der Hacker zu der Datei gekommen ist.

Fälle nicht verwandt

Laut Bodo von Braunmühl, Pressesprecher der deutschen Mjam-Muttergesellschaft Delivery Hero, handelte es sich dabei um eine CSV-Liste. „Die Liste enthielt ältere vereinzelte Daten, die singulär sind. Es hat keinen Anlass gegeben Leute zu warnen“, so von Braunmühl.

Als Mjam erste Vorwürfe der Kunden erreichten, mittlerweile sind es laut Braunmühl 18 Fälle, wurde die Daten der Betroffenen mit den Daten der GitHub-Einträge abgeglichen. „Als wir gesehen haben, dass diese Userdaten nicht enthalten sind, wussten wir, dass es zwei unterschädliche Fälle sind.“ Dies deckt sich auch mit Berichten von Betroffenen. Eine Betroffene aus Graz hat erst vor einem halben Jahr den Nachnamen des Freundes bei Mjam angegeben, wurde aber von den Lotterie-Telefonkeilern mit diesem Namen angesprochen.

Ursachenforschung

Nach von Braunmühls Aussage sind „Mjam-Userdaten bei Telefonkeilern gelandet“. Nun gelte es herauszufinden, wie das passiert ist. „Im Moment können wir leider nicht sagen welche Ursache es ist, wir können nur sagen, was es nicht ist. Wir haben sowohl intern eine Kontrolle der Systeme gemacht als auch eine externe Firma beauftragt. Es wurden verschiedene Security Audits durchgeführt und wir sind zum Schluss gekommen, dass es kein Datenleck gibt. Technisch gesehen kann das nicht die Ursache sein“, sagt von Braunmühl. Dass Mjam die Daten verkauft hat, kann von Braunmühl ausschließen.

Leck austrocknen

Auch das Mitarbeiter von Mjam die Daten weitergegeben haben, sei sehr unwahrscheinlich: „Wir haben alle Mitarbeiter, die dafür in Frage kommen, gecheckt“, so von Braunmühl. Laut ihm könnten die Daten theoretisch auch auf andere Wege geleakt sein: „In der Theorie könnten die Computer der User oder die der Restaurantpartner gehackt worden sein.“ Man müsse „weiterforschen, bis jede Möglichkeit eines Lecks ausgetrocknet ist.“

Sollte ein Leck gefunden werden, werde man in Folge die entsprechenden Behörden kontaktieren und mit ihnen kooperieren. Anzeigen von Usern bei der österreichischen Datenschutzbehörde beunruhigen Mjam nicht: „Uns es geht darum aufzuklären was Sache ist. Wir haben in technischer Sicht schnell und umfangreich gehandelt und waren schnell und transparent. Die Daten der Kunden sind sicher.“