{"id":212224,"date":"2023-06-20T06:51:17","date_gmt":"2023-06-20T04:51:17","guid":{"rendered":"https:\/\/www.ifun.de\/?p=212224"},"modified":"2023-06-20T06:51:17","modified_gmt":"2023-06-20T04:51:17","slug":"deutsch-franzoesische-interrail-aktion-ein-datenschutz-fiasko","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/deutsch-franzoesische-interrail-aktion-ein-datenschutz-fiasko-212224\/","title":{"rendered":"Deutsch-franz\u00f6sische Interrail-Aktion ein Datenschutz-Fiasko"},"content":{"rendered":"

Mit dem sogenannten \u201eFreundschaftspass<\/a>\u201c haben Deutschland und Frankreich jeweils 30.000 kostenlose Interrail-Tickets f\u00fcr Bahnreisen an junge Menschen zwischen 18 und 27 Jahren verteilt. Hinter den Kulissen lief dabei so einiges schief und das Onlinesystem f\u00fcr die Ticketvergabe gab bei n\u00e4herer Untersuchung eine ganze Reihe von Schwachstellen preis. Zusammenh\u00e4ngend damit wurde sogar Publik, dass die Registrierungsdaten von 245.000 Teilnehmern an einem \u00e4hnlichen EU-Projekt bis zu diesem Wochenende ungesch\u00fctzt im Netz standen.<\/p>\n

Eine ausf\u00fchrliche Dokumentation des Sachverhalts haben die Sicherheitsexperten von Zerforschung<\/a> ver\u00f6ffentlicht, die sich zun\u00e4chst wohl vor allem deshalb f\u00fcr die der Interrail-Aktion zugrundeliegende Technik interessiert haben, weil diese bei der Ticketvergabe erst einmal klassisch versagt hatte. Die Registrierungsserver zeigten sich beim Startschuss am vergangenen Montag erstmal komplett \u00fcberlastet.<\/p>\n

\"Deutsch<\/a><\/p>\n

P\u00e4sse durch Hintert\u00fcr weiter verf\u00fcgbar<\/h2>\n

Zu allererst kam im Zusammenhang mit der Ticketaktion zutage, dass die \u201ePasswort vergessen\u201c-Funktion des Angebots nicht funktionsf\u00e4hig war und sich Kriminelle ohne Aufwand eine Phishing-Hintert\u00fcr h\u00e4tten basteln k\u00f6nnen, um auf diesem Weg Benutzerdaten zu sammeln.<\/p>\n

Das Hacker-Team hat auch diesen Sachverhalt dann auch unverz\u00fcglich gemeldet, um direkt danach auf eine M\u00f6glichkeit zu sto\u00dfen, auch dann noch an einen der kostenlosen Interrail-P\u00e4sse zu gelangen, wenn diese laut der offiziellen Webseite l\u00e4ngst vergeben waren.<\/p>\n

\n

Alle P\u00e4sse wurden verteilt! Zur Erinnerung: Die Anmeldung wurde nach dem Prinzip "Wer zuerst kommt, mahlt zuerst" durchgef\u00fchrt. Wenn du dich angemeldet hast, wirst du bald eine Best\u00e4tigungs-E-Mail erhalten. Vielen Dank f\u00fcr dein Interesse und deine Geduld.<\/p>\n<\/blockquote>\n

Obige Meldung wurde zwar vom Vergabesystem angezeigt, doch konnten Wissende eine Hintert\u00fcr daf\u00fcr verwenden, die kostenlosen Fahrkarten auch dann noch automatisiert zu erhalten, wenn die die Gesamtzahl von 30.000 St\u00fcck l\u00e4ngst \u00fcberschritten war. Und dies gleich doppelt: Auf den Hinweis \u00fcber die Schwachstelle hin wurde dieser Zugang n\u00e4mlich nur notd\u00fcrftig und wohl eher ohne tats\u00e4chliche Fachkenntnisse vernagelt. Eine weitere – den Zerforschern zufolge wenig kooperativ aufgenommene – Kontaktaufnahme war n\u00f6tig, um diese Schwachstelle komplett zu beseitigen.<\/p>\n

245.000 Datens\u00e4tze ungesch\u00fctzt im Netz<\/h2>\n

Nachdem in diesem Zusammenhang derart viel Verantwortungslosigkeit und Unwissenheit an den Tag gekommen ist, haben sich die Sicherheitsforscher weitere Projekte angeschaut, die von den gleichen Agenturen mit \u00f6ffentlichen Geldern ausgef\u00fchrt wurden. Hierbei kam dann ans Licht, dass sich die Daten von 245.971 EU-B\u00fcrgern, die sich f\u00fcr das bereits 2018 angelaufene Projekt DiscoverEU<\/a> registriert haben, ohne Aufwand abrufen lie\u00dfen.<\/p>\n

Bei DiscoverEU handelt es sich um ein Projekt, bei dem Interrail-P\u00e4sse f\u00fcr Europa verlost werden und aus der angebundenen Datenbank lie\u00dfen sich neben den Namen der Personen auch die E-Mail-Adresse, das Herkunftsland, der Zustand der Anmeldung, die Art des Tickets und die Bestellnummer bei Interrail auslesen.<\/p>\n

Wer Daten verarbeitet, muss sie auch sch\u00fctzen<\/h2>\n

Die Sicherheitsforscher sehen die beiden Projekte als weiteren Beleg f\u00fcr Versagen und verantwortungsloses Handeln im \u00f6ffentlichen Auftrag:<\/p>\n

\n

Solche halbgaren L\u00f6sungen w\u00e4ren schon unzureichend, wenn ein Ticketanbieter ein paar Konzertkarten verkaufen will. Doch wenn ein Bundesministerium sich hinstellt und Zugtickets verschenkt, dann muss nochmal besonderes Augenmerk darauf gelegt werden, dass alles gut getestet ist.
Noch schlimmer wird es dann, wenn wir nicht nur neue P\u00e4sse anlegen, sondern sogar mehr als 245.000 Datens\u00e4tze des DiscoverEU-Programms abrufen k\u00f6nnen. Wir sagen mal wieder: Wenn eine Website marktreif genug ist, um Daten zu verarbeiten, muss sie auch reif genug sein, diese f\u00fcr sich zu behalten.
Es ist ersch\u00fctternd, dass hier so nachl\u00e4ssig gearbeitet wurde \u2013 und das anscheinend einfach so hingenommen wird.<\/p>\n<\/blockquote>\n

\"\"<\/p>\n","protected":false},"excerpt":{"rendered":"\"Reise<\/a>

Mit dem sogenannten \u201eFreundschaftspass\u201c haben Deutschland und Frankreich jeweils 30.000 kostenlose Interrail-Tickets f\u00fcr Bahnreisen an junge Menschen zwischen 18 und 27 Jahren verteilt. Hinter den Kulissen lief dabei so einiges schief und das Onlinesystem f\u00fcr die Ticketvergabe gab bei n\u00e4herer Untersuchung eine ganze Reihe von Schwachstellen preis. Zusammenh\u00e4ngend damit wurde sogar Publik, dass die Registrierungsdaten […]<\/p>\n","protected":false},"author":2,"featured_media":212230,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1],"tags":[990,92,6191],"class_list":["post-212224","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","tag-datenschutz","tag-sicherheit","tag-zerforschung"],"acf":[],"aioseo_notices":[],"subheadline":["Datenlecks und Hintert\u00fcren"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2023\/06\/reise-feature-pexels.jpg"],"rest_api_enabler":{"subheadline":"Datenlecks und Hintert\u00fcren","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2023\/06\/reise-feature-pexels.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/212224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=212224"}],"version-history":[{"count":7,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/212224\/revisions"}],"predecessor-version":[{"id":212233,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/212224\/revisions\/212233"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/212230"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=212224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=212224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=212224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}