Cyberangriff: EasyPark bestätigt unbefugten Zugriff auf Kundendaten

Marc Stöckel
57 Kommentare
Cyberangriff: EasyPark bestätigt unbefugten Zugriff auf Kundendaten
Bild: pixabay.com / fill

Das Unternehmen hinter der weitverbreiteten Park-App EasyPark ist nach eigenen Angaben Opfer eines Cyberangriffs geworden. Die Angreifer konnten wohl einige Kundendaten wie Namen, Rufnummern, Anschriften, E-Mail-Adressen und Teile von Zahlungsinformationen abgreifen. Der Anbieter bezeichnet die Daten als „nicht sensibel“.

Angreifer haben „nicht sensible“ Kundendaten abgegriffen

Festgestellt hat die EasyPark Group den Angriff angeblich am 10. Dezember. Auch im ComputerBase-Forum wurde dieser bereits thematisiert. Das Unternehmen behauptet in einer Mitteilung auf seiner Webseite, „schnell gehandelt“ und verschiedene Maßnahmen ergriffen zu haben, um den Cyberangriffsofort“ zu stoppen. Wann genau der Angriff begonnen hat und über welche Schwachstelle er ermöglicht wurde, lässt der Anbieter allerdings offen. Ebenso ist noch unklar, wer genau hinter dem Angriff steckt und ob es eine Lösegeldforderung gegenüber EasyPark gibt. Die zuständigen Behörden wurden aber wohl über die Datenschutzverletzung informiert.

Zu den abgegriffenen Daten zählen laut EasyPark Kontaktinformationen einiger Nutzer, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen. Aber auch auf unvollständige Zahlungsinformationen in Form von „einigen Ziffern“ in der EasyPark-App hinterlegter Kredit- oder Debitkartennummern sowie IBANs hatten die Angreifer wohl Zugriff. Das Unternehmen spricht in diesem Zusammenhang von „nicht sensiblen Kundendaten“ und verweist für diese Einschätzung auf eine Informationsseite der Europäischen Kommission.

Bezüglich der unvollständigen Zahlungsdaten betont die EasyPark Group, dass es damit nicht möglich sei, Zahlungen vorzunehmen. „Keine Kombination dieser gestohlenen Daten kann zur Durchführung von Zahlungen verwendet werden“, so das Unternehmen. Generell warnt der Anbieter seine Kunden vor möglichen Phishing-Angriffen auf Basis der abgeflossenen Daten.

Daten zu Parkvorgängen sind wohl nicht betroffen

Die von EasyPark angebotenen Dienste wurden durch den Angriff angeblich nicht beeinträchtigt und sollen „wie gewohnt weiterlaufen“. Zusammen mit externen Sicherheitsexperten arbeite das Sicherheitsteam des Anbieters bereits daran, „wirksame Sicherheits- und Datenschutzmaßnahmen zu ergreifen“. Außerdem erklärt EasyPark, der Cyberangriff habe keine unberechtigten Parkvorgänge zur Folge gehabt. Daten zu früheren Parkvorgängen der Nutzer inklusive Standortinformationen sowie Fahrzeugregistrierungen seien ebenfalls nicht von dem Datenabfluss betroffen.

Betroffene Kunden werden anscheinend nur per App informiert

Die EasyPark Group behauptet, betroffene Kunden bereits über die Datenschutzverletzung informiert zu haben. Bisher scheint dieser Vorgang aber nur über einen Banner innerhalb der App des Anbieters erfolgt zu sein, der auf die Webseite des Unternehmens verweist. „Wenn du wissen willst, ob du betroffen bist, öffne bitte die EasyPark-App auf deinem Smartphone“, erklärt das Unternehmen. Diese Vorgehensweise mutet allerdings fragwürdig an, da es durchaus einige Nutzer geben dürfte, die zwar bei EasyPark registriert sind, die App aber gar nicht aktiv verwenden und sie daher längst wieder deinstalliert haben oder sehr selten darauf zugreifen. Eine zusätzliche Benachrichtigung per E-Mail wäre also wünschenswert.

Die EasyPark-App gibt es sowohl im Google Play Store als auch im Apple App Store und wurde darüber millionenfach installiert. Der Anbieter selbst bezeichnet die App auf seiner Webseite als „die Park-App Nr. 1 in Europa“. Sie soll Anwendern die Parkplatzsuche in über 2.500 europäischen Städten erleichtern und auch eine Zahlungsabwicklung für etwaige Parkvorgänge direkt auf dem Smartphone ermöglichen.