Insgesamt seien mehr als 10 000 Nutzer per Brief darüber informiert worden. Ihnen sei geraten worden, den Account und ihre Bankkonten vorsichtshalber auf verdächtige Transaktionen zu überprüfen. Oft seien Namen, Postadresse, Mailadresse und Bankverbindung einzusehen gewesen. Die Zahl der Daten sei höher als die der informierten Kunden, Daten aber nicht in jedem Fall vollständig gewesen. »Hinweise von außen auf das potenzielle Datenleck gab es nicht«, hieß es. »Auch gibt es aktuell keine Hinweise darauf, dass auf die Daten von unberechtigten Dritten zugegriffen wurde.«
Die Webadresse mit den Daten sei nicht öffentlich bekannt, nicht über Suchmaschinen auffindbar und auch nicht mit anderen Internetinhalten via Link verbunden gewesen, hieß es weiter. »Untersuchungen brachten zudem keine Hinweise darauf, dass Betroffenendaten im Internet verbreitet wurden.« Kunden mit stets aktivem Handyticket-Zugang seien nicht betroffen, auch nicht Kunden anderer Vertriebswege.
Der externe App-Dienstleister habe seinen versehentlichen Einstellungsfehler selbst entdeckt, die Verkehrsverbünde informiert und den Fehler behoben.