Klarstellung

UPDATE 02.04.2015:

Seit Ende des letzten Jahres wird Österreich von einer größeren Betrugswelle heimgesucht, bei der sich die sogenannten Telefonkeiler meist unter dem Vorwand eines „Euromillionen-Gewinn-Anrufs“ melden.

Als sich im Oktober 2014 erstmals Kunden bei uns mit der Vermutung gemeldet haben, dass unser Unternehmen damit im Zusammenhang stehen könnte, haben wir umgehend, Wochen vor der medialen Berichterstattung, ein IT-Unternehmen mit einem umfassenden Systemscreening beauftragt. Die IT-Sicherheits-Experten haben im Zuge dessen eine ganze Serie von Security-Checks ausgeführt. In keinem dieser Checks war ein Datenabfluss oder ein Hacker-Angriff auf unser System nachweisbar. Da wir die vorgebrachten Anschuldigungen sehr ernst nehmen, haben wir ein eigenes Security Team gebildet, welches allen eingehenden Beschwerden nachgeht. Da alle Beschwerden der letzten 5 Monate gemeinsam weniger als 0,1% unseres Kundenstocks betreffen, gehen wir davon aus, dass die Telefonkeiler Ihre Daten aus anderen Quellen erhalten haben müssen.

Diese Annahme wird auch durch die Tatsache gestützt, dass die tatsächlich betroffene Anzahl an Mjam-Nutzern im Verhältnis zur Anzahl an offenbar kontaktierten Menschen in Österreich sehr gering ist. Selbst bei uns haben sich betroffene Personen gemeldet, die unseren Service noch nie in Anspruch genommen haben und trotzdem von Keileranrufen belästigt werden. Offenbar kommt es aufgrund der Tatsache, dass die ungebetenen Anrufe bei einer Vielzahl von Menschen in Österreich stattfinden, zwangsläufig auch zu Überschneidungen mit unserem Kundenstock.

Da wir die Beschwerden unserer Nutzer ernst nehmen, werden seit Mitte Januar 2015 präventiv die Telefonnummern aller Nutzer nach der Übermittlung an das gewünschte Restaurant, pseudonymisiert. Des Weiteren haben wir den Sachverhalt unter der GZ BMVIT-631.540/0980-III/FBW/2014 beim Fernmeldebüro Wien gemeldet. Voraussetzung für die proaktive, rechtliche Verfolgung der Telefonbetrüger ist jedoch die Identifizierung derselben.

Aufgrund der Tatsache, dass die Anrufe jedoch durchwegs mit unterdrückter Nummer erfolgt sind, ist dies bislang noch nicht gelungen. Aus diesem Grund möchten wir jedem betroffenen, registrierten Mjam-Nutzer anbieten, im Rahmen eines gemeinsamen Vorgehens die Kosten einer Fangschaltung* (Malicious Caller Identification) für 14 Tage zu übernehmen.

Durch die Fangschaltung kann es uns gelingen, die Identität der Betrüger in Erfahrung zu bringen. Sobald wir über diese Information verfügen, können wir rechtliche Schritte folgen lassen. Auch hier möchten wir registrierte Mjam-Nutzer begleiten. Daher bieten wir an, im Anschluss an eine mit uns koordinierte Fangschaltung, die Kosten der rechtlichen Verfolgung der Betrüger zu übernehmen.**

Wir kümmern uns um jeden betroffenen Mjam-Nutzer und danken allen, die uns helfen möchten, den Betrügern das Handwerk zu legen. Zur Abstimmung und Koordinierung unseres Vorgehens, bitten wir die Betroffenen sich vor Einrichtung der Fangschaltung an security[at]mjam.net zu wenden.

Mit besten Grüßen

Euer Mjam-Security-Team

 

*WICHTIG: Fangschaltungen (Malicious Caller Identification) können nur bei Vertragsanschlüssen eingerichtet werden, bei Wertkarten ist die Einrichtung einer Fangschaltung nicht möglich. Die Kosten der Fangschaltung werden von den Telefongesellschaften nicht gesondert verrechnet, sondern zur nächsten Telefonrechnung hinzugezählt. Dieses Angebot gilt nur für registrierte Mjam-Nutzer, die von Telefonkeiler-Anrufen betroffen sind und sich im Rahmen eines mit Mjam gemeinsamen Vorgehens zur Identifizierung und Verfolgung der Telefonbetrüger bereits vor Beantragung der Fangschaltung zur Abstimmung und Koordinierung an security[at]mjam.net gewendet haben. Die anschließende Rechtsverfolgung der Telefonbetrüger durch unseren Rechtsvertreter setzt dessen Bevollmächtigung durch den betroffenen Mjam-Nutzer voraus.

** Voraussetzung für die Kostenübernahme der Rechtsverfolgung der Betrüger, ist die Bevollmächtigung unseres Rechtsvertreters.

 

UPDATE, 22.1.2015
Wir arbeiten gemeinsam mit den österreichischen Behörden daran die Verantwortlichen für die Anrufe zu finden. Solange die Ermittlungen laufen ist unsere Kommunikation nur eingeschränkt möglich.

UPDATE, 5.1.2015

Wir haben versprochen euch am Laufenden zu halten und das machen wir natürlich auch. Hier also eine Zusammenfassung der letzten 2 Wochen:

Viele von euch haben uns sehr detaillierte Angaben zu den Anrufen machen können. Diese haben wir an das Fernmeldebüro für Wien weitergeleitet und dort unter der GZ BMVIT-631.540/0980-III/FBW/2014 Anzeige erstattet. Damit die Behörde tätig werden kann werden folgende Daten benötigt:

  • Name und Anschrift des/der Anzeigers/Anzeigerin
  • Datum und Uhrzeit des Anrufes
  • Nummer des angerufenen Anschlusses
  • Nummer des Anrufers (sofern bekannt/angezeigt/mitgesendet)
  • Möglichst detaillierte Angaben über den Inhalt des Anrufes

Anrufe mit unterdrückter Nummer sind in Österreich zwar verboten, leider ist es aber mangels gesetzlicher Ermächtigungen nicht möglich eine unterdrückte Rufnummer ausheben zu lassen. Dennoch, jede Information hilft. Bitte meldet uns weiter alle Anrufe, die ihr mit einer Bestellung bei Mjam in Verbindung bringt. Und ein aufrichtiges Danke an alle, die uns bei der Suche unterstützen.

Wir erhielten von euch einige Rückfragen zu der Github-Thematik. Ganz klar, die Github-Geschichte ist sicher nichts, worauf man stolz sein kann, aber konkret betroffen waren hier lediglich E-Mail-Adressen ohne Namensbezug von Pizzaportal-Kunden aus dem Jahr 2010. Da wir selbst die Identität der betroffenen Kunden nicht hinlänglich bestimmen konnten, haben wir von einer „Benachrichtigung“ abgesehen. Wie bereits gesagt: Der Ursprung des Datenlecks war Github ganz sicher nicht.

Einige Kunden vermuten, dass es noch immer ein Datenleck gibt, da sie glauben, dass auch neu übermittelte Telefonnummern betroffen sind. Wir nehmen solche Vermutungen sehr ernst und haben unsere Security Firma beauftragt mit Hilfe der nun vorliegenden Kundendaten zu erforschen, ob sich dieser Verdacht erhärten lässt. Über Ergebnisse werden wir euch natürlich informieren.

Als interimistische Sofortmaßnahme werden wir zukünftig eure Telefonnummer in den E-Mail-Bestätigungen anonymisieren und SMS-Bestätigungen bis auf weiteres einstellen.

Wir wollen euch hier transparent informieren und arbeiten mit Volldampf daran der Sache auf den Grund gehen. Seriöse Lösungen in so komplexen IT-Fragen sind aber in der Regel nicht über Nacht zu finden, sondern bedürfen einiger Zeit. Wir werden jedenfalls so lange weiter dran bleiben, bis es eine vernünftige Erklärung für den mutmaßlichen Datenabfluss gibt.