Der Fahrradleasing-Anbieter Jobrad hat betroffene Kunden über einen Sicherheitsvorfall informiert, bei dem auch Kundendaten abgeflossen sind. Nicht nur die Daten der angeschlossenen Unternehmen, sondern auch von Endkunden wurden von Angreifern kopiert und kursieren nun im Darknet. Ursächlich für das Datenleck ist offenbar ein Ransomware-Angriff bei der Einhaus-Gruppe, einem nachgeordneten Dienstleister des Freiburger Unternehmens. In einer E-Mail an Betroffene, die heise Security vorliegt, drückt die JobRad-Geschäftsführung allen Betroffenen ihr Bedauern aus und gibt detaillierte Auskunft über die betroffenen Daten. So wurden die Stammdaten (Name, Anschrift, E-Mail-Adresse, Telefonnummer) sowie Vertragsdaten der Endkunden, also der Nutzer der E-Bikes kopiert. Passwörter und Bankdaten von Kunden sollen nicht kopiert worden sein. Wie aus dem Statement hervorgeht, könnten aber Zugangsdaten von betrieblichen Ansprechpartnern und Bankdaten von Arbeitgebern vom Leak betroffen sein. Der Angriff fand offenbar um den 17. März 2023 statt und beschränkte sich auf die Systeme der Einhaus-Gruppe. Die IT-Infrastruktur der JobRad GmbH sei – so der aktuelle Stand der Erkenntnisse – nicht betroffen. Lediglich das „Ratenschutzportal“, das nicht durch JobRad selbst, sondern durch die Einhaus-Gruppe betrieben wird, ist derzeit offline und wird es wohl auch vorerst bleiben. Wie für einen Ransomware-Angriff üblich kursieren die abgegriffenen Daten nun offenbar im Darknet und werden dort zum Kauf angeboten. Das ist für die Betroffenen nicht nur ärgerlich, sondern auch gefährlich: Weil die Cybergangster über umfangreiche Kontaktdaten verfügen, können sie maßgeschneiderte Phishing- oder Smishing-Kampagnen starten und allen Jobrad-Firmenkunden etwa betrügerische Lastschriften unterschieben. Wer ein Fahrrad über seinen Arbeitgeber und den Anbieter JobRad geleast hat, sollte in den nächsten Wochen und Monaten also besondere Vorsicht walten lassen. Wie die Pressestelle der JobRad GmbH mitteilt, sind nicht alle ihre Kunden vom Datenleck betroffen, sondern nur diejenigen, deren Leasingpartner die „Mercator-Leasing GmbH“ ist. JobRad-Kunden, die mit dem zweiten Leasingpartner „JobRad Leasing GmbH“ zusammenarbeiten, sowie deren Beschäftigte seien laut Jobrad-Presseprecherin nicht betroffen. Diesbezügliche Angaben im Artikel haben wir präzisiert.