Seoul Bike: Teenager stehlen Daten von 4,6 Millionen Nutzern

Die Seouler Polizei nahm zwei Jugendliche wegen eines massiven Datendiebstahl beim Fahrradverleih Seoul Bike fest. Die Täter erbeuteten vor fast zwei Jahren persönliche Daten von 4,62 Millionen Nutzern. Der Betreiber verschwieg den Vorfall jedoch bis heute.

Der massive Datendiebstahl bei Seoul Bike zeigt drastisch, wie schnell Sicherheitslücken in Apps zu fatalen Datenlecks führen können. Dieser kostenlose Experten-Guide unterstützt Unternehmen dabei, branchenspezifische Gefahren frühzeitig zu erkennen und wirksame Schutzmaßnahmen zu etablieren. In 4 Schritten zur erfolgreichen Hacker-Abwehr

App-Sicherheitslücke als Einfallstor

Zwischen dem 28. und 29. Juni 2024 nutzten die beiden damaligen Mittelschüler Schwachstellen in der Authentifizierung der Seoul Bike App aus. So gelangten sie unbemerkt auf die Server der städtischen Betreibergesellschaft und extrahierten die gesamte Nutzerdatenbank.

Die gestohlenen Daten umfassen obligatorische Angaben wie Nutzer-ID und Handynummer sowie freiwillig hinterlegte Informationen wie E-Mail-Adressen, Wohnorte, Geburtsdaten und sogar Körpergewicht. Klarnamen oder nationale Identifikationsnummern waren laut Behörden nicht betroffen. Die Jugendlichen hatten sich das nötige Hacker-Wissen selbst beigebracht und die Aufgaben untereinander aufgeteilt.

Zufallsfund bei anderen Ermittlungen

Der Datendiebstahl kam nur durch einen Glücksfall ans Licht. Einer der Verdächtigen war bereits im April 2024 durch einen DDoS-Angriff auf einen anderen Mobilitätsanbieter aufgefallen. Bei der Untersuchung dieses Falls entdeckten Forensiker im Juli 2025 auf seinem Gerät Dateien aus der Seoul-Bike-Datenbank.

Eine digitale Spurensuche führte die Ermittler schließlich im Januar 2026 zum Haupttäter. Die Polizei beantragte Haftbefehle, die Staatsanwaltschaft lehnte diese jedoch mit Verweis auf das jugendliche Alter der Beschuldigten ab. Das Verfahren läuft nun ohne Untersuchungshaft.

Betreiber wusste zwei Jahre lang Bescheid

Das eigentliche Skandalon: Die zuständige Seoul Facilities Corporation wusste seit dem Angriff im Juni 2024 von dem Datenleck. Fast zwei Jahre lang ergriff das Unternehmen keine Maßnahmen und informierte weder die betroffenen Nutzer noch die Datenschutzbehörden.

Die Stadtregierung zeigte die verantwortlichen Manager daraufhin an. Die Polizei leitete eine Voruntersuchung wegen Verstoßes gegen das Datenschutzgesetz ein. Auch nationale Aufsichtsbehörden prüfen nun das institutionelle Versagen.

Dass die Verantwortlichen das Datenleck jahrelang verschwiegen, verdeutlicht die massiven Risiken bei der Verletzung von DSGVO-Dokumentationspflichten. Mit diesem kostenlosen E-Book inklusive Vorlagen können Unternehmen ihre Prozesse rechtssicher dokumentieren und Bußgelder von bis zu 2% des Jahresumsatzes vermeiden. Kostenloses E-Book zur rechtssicheren Dokumentation sichern

Alarmzeichen für alle Mobilitäts-Apps

Der Fall betrifft über 90 Prozent aller Seoul-Bike-Nutzer und sendet ein deutliches Warnsignal an die gesamte Branche. Wie konnte eine kritische städtische Infrastruktur von zwei autodidaktischen Teenagern geknackt werden?

Cybersicherheitsexperten warnen vor den Risiken: Die Kombination aus Handynummern, Adressen und Geburtsdaten ist ideal für gezielte Phishing-Angriffe. Bisher gibt es keine Hinweise auf einen Missbrauch der Daten, doch die Gefahr für die Verbraucher bleibt hoch. Einer der Täter gab an, aus Neugier und Geltungsdrang gehandelt zu haben.

Stadt kündigt Sicherheits-Offensive an

Als Reaktion auf den Skandal plant Seoul eine grundlegende Überprüfung aller städtischen Digitalanwendungen. In Zusammenarbeit mit nationalen Sicherheitsbehörden sollen die IT-Strukturen durchleuchtet und abgehärtet werden.

Betroffenen Nutzern raten Experten zu erhöhter Wachsamkeit, besonders bei unerwarteten Nachrichten oder Zahlungsaufforderungen. Langfristig dürfte der Vorfall zu schärferen gesetzlichen Vorgaben für Datenspeicherung und Meldepflichten führen.