UPDATE 02.04.2015:

Seit Ende des letzten Jahres wird Österreich von einer größeren Betrugswelle heimgesucht, bei der sich die sogenannten Telefonkeiler meist unter dem Vorwand eines “Euromillionen-Gewinn-Anrufs” melden.

Als sich im Oktober 2014 erstmals Kunden bei uns mit der Vermutung gemeldet haben, dass unser Unternehmen damit im Zusammenhang stehen könnte, haben wir umgehend, Wochen vor der medialen Berichterstattung, ein IT-Unternehmen mit einem umfassenden Systemscreening beauftragt. Die IT-Sicherheits-Experten haben im Zuge dessen eine ganze Serie von Security-Checks ausgeführt. In keinem dieser Checks war ein Datenabfluss oder ein Hacker-Angriff auf unser System nachweisbar. Da wir die vorgebrachten Anschuldigungen sehr ernst nehmen, haben wir ein eigenes Security Team gebildet, welches allen eingehenden Beschwerden nachgeht. Da alle Beschwerden der letzten 5 Monate gemeinsam weniger als 0,1% unseres Kundenstocks betreffen, gehen wir davon aus, dass die Telefonkeiler Ihre Daten aus anderen Quellen erhalten haben müssen.

Diese Annahme wird auch durch die Tatsache gestützt, dass die tatsächlich betroffene Anzahl an Mjam-Nutzern im Verhältnis zur Anzahl an offenbar kontaktierten Menschen in Österreich sehr gering ist. Selbst bei uns haben sich betroffene Personen gemeldet, die unseren Service noch nie in Anspruch genommen haben und trotzdem von Keileranrufen belästigt werden. Offenbar kommt es aufgrund der Tatsache, dass die ungebetenen Anrufe bei einer Vielzahl von Menschen in Österreich stattfinden, zwangsläufig auch zu Überschneidungen mit unserem Kundenstock.

Da wir die Beschwerden unserer Nutzer ernst nehmen, werden seit Mitte Januar 2015 präventiv die Telefonnummern aller Nutzer nach der Übermittlung an das gewünschte Restaurant, pseudonymisiert. Des Weiteren haben wir den Sachverhalt unter der GZ BMVIT-631.540/0980-III/FBW/2014 beim Fernmeldebüro Wien gemeldet. Voraussetzung für die proaktive, rechtliche Verfolgung der Telefonbetrüger ist jedoch die Identifizierung derselben.

Aufgrund der Tatsache, dass die Anrufe jedoch durchwegs mit unterdrückter Nummer erfolgt sind, ist dies bislang noch nicht gelungen. Aus diesem Grund möchten wir jedem betroffenen, registrierten Mjam-Nutzer anbieten, im Rahmen eines gemeinsamen Vorgehens die Kosten einer Fangschaltung* (Malicious Caller Identification) für 14 Tage zu übernehmen.

Durch die Fangschaltung kann es uns gelingen, die Identität der Betrüger in Erfahrung zu bringen. Sobald wir über diese Information verfügen, können wir rechtliche Schritte folgen lassen. Auch hier möchten wir registrierte Mjam-Nutzer begleiten. Daher bieten wir an, im Anschluss an eine mit uns koordinierte Fangschaltung, die Kosten der rechtlichen Verfolgung der Betrüger zu übernehmen.**

Wir kümmern uns um jeden betroffenen Mjam-Nutzer und danken allen, die uns helfen möchten, den Betrügern das Handwerk zu legen. Zur Abstimmung und Koordinierung unseres Vorgehens, bitten wir die Betroffenen sich vor Einrichtung der Fangschaltung an security[at]mjam.net zu wenden.

Mit besten Grüßen

Euer Mjam-Security-Team

 

*WICHTIG: Fangschaltungen (Malicious Caller Identification) können nur bei Vertragsanschlüssen eingerichtet werden, bei Wertkarten ist die Einrichtung einer Fangschaltung nicht möglich. Die Kosten der Fangschaltung werden von den Telefongesellschaften nicht gesondert verrechnet, sondern zur nächsten Telefonrechnung hinzugezählt. Dieses Angebot gilt nur für registrierte Mjam-Nutzer, die von Telefonkeiler-Anrufen betroffen sind und sich im Rahmen eines mit Mjam gemeinsamen Vorgehens zur Identifizierung und Verfolgung der Telefonbetrüger bereits vor Beantragung der Fangschaltung zur Abstimmung und Koordinierung an security[at]mjam.net gewendet haben. Die anschließende Rechtsverfolgung der Telefonbetrüger durch unseren Rechtsvertreter setzt dessen Bevollmächtigung durch den betroffenen Mjam-Nutzer voraus.

** Voraussetzung für die Kostenübernahme der Rechtsverfolgung der Betrüger, ist die Bevollmächtigung unseres Rechtsvertreters.

 

UPDATE, 22.1.2015
Wir arbeiten gemeinsam mit den österreichischen Behörden daran die Verantwortlichen für die Anrufe zu finden. Solange die Ermittlungen laufen ist unsere Kommunikation nur eingeschränkt möglich.

UPDATE, 5.1.2015

Wir haben versprochen euch am Laufenden zu halten und das machen wir natürlich auch. Hier also eine Zusammenfassung der letzten 2 Wochen:

Viele von euch haben uns sehr detaillierte Angaben zu den Anrufen machen können. Diese haben wir an das Fernmeldebüro für Wien weitergeleitet und dort unter der GZ BMVIT-631.540/0980-III/FBW/2014 Anzeige erstattet. Damit die Behörde tätig werden kann werden folgende Daten benötigt:

• Name und Anschrift des/der Anzeigers/Anzeigerin
• Datum und Uhrzeit des Anrufes
• Nummer des angerufenen Anschlusses
• Nummer des Anrufers (sofern bekannt/angezeigt/mitgesendet)
• Möglichst detaillierte Angaben über den Inhalt des Anrufes

Anrufe mit unterdrückter Nummer sind in Österreich zwar verboten, leider ist es aber mangels gesetzlicher Ermächtigungen nicht möglich eine unterdrückte Rufnummer ausheben zu lassen. Dennoch, jede Information hilft. Bitte meldet uns weiter alle Anrufe, die ihr mit einer Bestellung bei Mjam in Verbindung bringt. Und ein aufrichtiges Danke an alle, die uns bei der Suche unterstützen.

Wir erhielten von euch einige Rückfragen zu der Github-Thematik. Ganz klar, die Github-Geschichte ist sicher nichts, worauf man stolz sein kann, aber konkret betroffen waren hier lediglich E-Mail-Adressen ohne Namensbezug von Pizzaportal-Kunden aus dem Jahr 2010. Da wir selbst die Identität der betroffenen Kunden nicht hinlänglich bestimmen konnten, haben wir von einer “Benachrichtigung” abgesehen. Wie bereits gesagt: Der Ursprung des Datenlecks war Github ganz sicher nicht.

Einige Kunden vermuten, dass es noch immer ein Datenleck gibt, da sie glauben, dass auch neu übermittelte Telefonnummern betroffen sind. Wir nehmen solche Vermutungen sehr ernst und haben unsere Security Firma beauftragt mit Hilfe der nun vorliegenden Kundendaten zu erforschen, ob sich dieser Verdacht erhärten lässt. Über Ergebnisse werden wir euch natürlich informieren.

Als interimistische Sofortmaßnahme werden wir zukünftig eure Telefonnummer in den E-Mail-Bestätigungen anonymisieren und SMS-Bestätigungen bis auf weiteres einstellen.

Wir wollen euch hier transparent informieren und arbeiten mit Volldampf daran der Sache auf den Grund gehen. Seriöse Lösungen in so komplexen IT-Fragen sind aber in der Regel nicht über Nacht zu finden, sondern bedürfen einiger Zeit. Wir werden jedenfalls so lange weiter dran bleiben, bis es eine vernünftige Erklärung für den mutmaßlichen Datenabfluss gibt.

UPDATE, 17.12.2014
Wie versprochen halten wir euch hier auf dem Laufenden und versuchen eure Fragen zu beantworten. Wir können den Ärger über diese lästigen Telefonanrufe 100% verstehen (niemand wird gerne belästigt), und wollen einen ganz offenen Dialog mit euch führen.

Wir können nicht oft genug betonen, dass wir keine Daten verkauft oder weitergegeben haben. Dies würde unserer Unternehmenskultur und unserem Geschäftsmodell völlig entgegenlaufen und überhaupt keinen Sinn machen.

Gerade deswegen nehmen wir das Thema sehr ernst und haben nach den ersten beiden Beschwerden von Kunden umgehend die renommierte Security-Firma SEC Consult beauftragt, um unsere Datensicherheit zu prüfen. Die Experten von SEC Consult haben daraufhin über einen Zeitraum von drei Wochen eine ganze Serie von Security-Audits ausgeführt. In keinem dieser Security-Audits war ein Datenabfluss nachweisbar. Nach diesen intensiven Nachforschungen gehen wir davon aus, dass die Telefonkeiler ihre Daten aus anderen Quellen erhalten haben müssen. Dann sind wir auch Hinweisen nachgegangen, dass die Daten von einer CSV-Datei aus dem Jahr 2010 von pizzaportal.at stammen könnten, die eine Zeit lang bei Github einsehbar war. Auch dieser Verdacht hat sich nicht bestätigt.

Gut zu wissen: Wir speichern keine sensiblen Daten wie Kreditkartennummern oder ähnliches! Als Bestellplattform ist es unsere ureigene Aufgabe, bestellrelevante Informationen, wie Name, Telefonnummer und Adresse, an die Restaurants weiterzuleiten. Die Onlinezahlung aber erfolgt beim jeweiligen Zahlungsdienst.

Was tun? Betroffenen Usern können wir aktuell nur raten, diese Anrufe bei der Arbeiterkammer oder auch beim eigenen Netzbetreiber zu melden. Der Verein VPT stellt Musterformulare zur Anzeige unerlaubter Werbeanrufe zur Verfügung. Es gibt außerdem die Möglichkeit anonyme Anrufe direkt am Handy sperren zu lassen (bei Android und unter iOS). Gerne können sich Betroffene bei Fragen und Anregungen auch mit uns per E-Mail in Verbindung setzen, (security (at) mjam.net). Wir helfen, so gut wir können!

Weiters sind wir natürlich – so wie ihr auch – an einer vollständigen Aufklärung interessiert, wollen uns jedoch nicht an Spekulationen beteiligen, sondern euch mit konkreten Fakten auf dem Laufenden halten. Außerdem möchten wir uns bei unserer tollen Community und bei den vielen Usern bedanken, die uns hilfreiche Hinweise haben zukommen lassen und mit uns an einem Strang ziehen. Sobald es weitere Informationen zu diesem Thema gibt, werden wir diese hier publizieren. Vielen lieben Dank für euer Vertrauen!

Update, 17.12.2014
In den letzten Stunden sind bei uns viele Fragen eingegangen, die wir hier offen und transparent für alle beantworten möchten:

Wurden die Daten von Mjam-Mitarbeitern verkauft?
Dafür haben wir keinerlei Hinweise gefunden. Würden wir so etwas in Erfahrung bringen, würden wir natürlich dementsprechend reagieren und Mitarbeiter fristlos entlassen, Aktuell besteht jedoch nach unseren Untersuchungen keinerlei Verdacht dazu.

Gibt Mjam Daten weiter?
Wir geben Daten nur an unsere Restaurant-Partner weiter, und auch nur solche Daten, die unbedingt für die Ausführung der Bestellung gebraucht werden, also Name, Telefonnummer und Adresse. Im rechtlichen Sinne “sensible Daten” wie Kreditkartennummern etc. speichern wir nicht.

Liegt das Datenleck bei einem eurer Partnerrestaurants?
Wir wollen uns nicht an Spekulationen beteiligen, ermitteln aber natürlich in verschiedene Richtungen.

Wie werdet ihr hier weiter vorgehen?
Wir versuchen mit allen uns zur Verfügung stehenden Mitteln Aufklärung zu betreiben und halten euch hier auf dem Laufenden. Fragen aller Art versuchen wir natürlich so gut wie möglich zu beantworten.

Was kann ich tun, damit diese Anrufe wieder aufhören?
Leider haben wir auf diese Frage noch keine ultimativen Antworten, werden uns jedoch über Möglichkeiten informieren. Anrufe dieser Art können bei der Arbeiterkammer oder bei deinem Netzbetreiber gemeldet werden. Anonyme Anrufe lassen sich auch direkt am Handy sperren. Auch wir sammeln jeden Hinweis, um die Vorfälle baldmöglichst aufzuklären.

Ich habe konkrete Fragen, an wen kann ich mich wenden?
Bitte wende dich direkt an uns, damit wir dir all deine Fragen so gut wie möglich beantworten und deinen Hinweisen nachgehen können. Schick uns am besten direkt eine E-Mail an security@mjam.net

UPDATE, 16.12.2104
Aus gegebenem Anlass und weil uns sowohl das Thema, als auch ihr wichtig seid, möchten wir hier kurz etwas klar stellen: Mjam verkauft keine Kundendaten! Das haben wir nie gemacht und werden wir auch nie machen.

Wir wissen von einigen Kunden, deren Kundendaten in die Hände einer Firma für Telefonwerbung gelangt sind. Als wir davon erfahren haben, wurde sofort SEC CONSULT GmbH eingeschaltet, eine international renommierte Security-Firma. Die Analyse hat ergeben, dass es bei Mjam kein Datenleck gibt. Deswegen ist davon auszugehen, dass die Daten aus anderen Quellen stammen. Selbstverständlich bleiben wir am Thema dran, bis alles lückenlos aufgeklärt ist und halten euch auch hier auf dem Laufenden!

Bei konkreten Fragen zum Thema oder Hinweisen könnt ihr euch selbstverständlich direkt mit uns in Verbindung setzen und uns eine E-Mail zukommen lassen.

Danke für euer Verständnis und für eure Hilfe!
Euer Mjam-Team.