ifun.de — Apple News seit 2001. 38 033 Artikel

Datenlecks und Hintertüren

Deutsch-französische Interrail-Aktion ein Datenschutz-Fiasko

Artikel auf Mastodon teilen.
9 Kommentare 9

Mit dem sogenannten „Freundschaftspass“ haben Deutschland und Frankreich jeweils 30.000 kostenlose Interrail-Tickets für Bahnreisen an junge Menschen zwischen 18 und 27 Jahren verteilt. Hinter den Kulissen lief dabei so einiges schief und das Onlinesystem für die Ticketvergabe gab bei näherer Untersuchung eine ganze Reihe von Schwachstellen preis. Zusammenhängend damit wurde sogar Publik, dass die Registrierungsdaten von 245.000 Teilnehmern an einem ähnlichen EU-Projekt bis zu diesem Wochenende ungeschützt im Netz standen.

Eine ausführliche Dokumentation des Sachverhalts haben die Sicherheitsexperten von Zerforschung veröffentlicht, die sich zunächst wohl vor allem deshalb für die der Interrail-Aktion zugrundeliegende Technik interessiert haben, weil diese bei der Ticketvergabe erst einmal klassisch versagt hatte. Die Registrierungsserver zeigten sich beim Startschuss am vergangenen Montag erstmal komplett überlastet.

Deutsch Franzoesischer Freundschaftspass Interrail

Pässe durch Hintertür weiter verfügbar

Zu allererst kam im Zusammenhang mit der Ticketaktion zutage, dass die „Passwort vergessen“-Funktion des Angebots nicht funktionsfähig war und sich Kriminelle ohne Aufwand eine Phishing-Hintertür hätten basteln können, um auf diesem Weg Benutzerdaten zu sammeln.

Das Hacker-Team hat auch diesen Sachverhalt dann auch unverzüglich gemeldet, um direkt danach auf eine Möglichkeit zu stoßen, auch dann noch an einen der kostenlosen Interrail-Pässe zu gelangen, wenn diese laut der offiziellen Webseite längst vergeben waren.

Alle Pässe wurden verteilt! Zur Erinnerung: Die Anmeldung wurde nach dem Prinzip "Wer zuerst kommt, mahlt zuerst" durchgeführt. Wenn du dich angemeldet hast, wirst du bald eine Bestätigungs-E-Mail erhalten. Vielen Dank für dein Interesse und deine Geduld.

Obige Meldung wurde zwar vom Vergabesystem angezeigt, doch konnten Wissende eine Hintertür dafür verwenden, die kostenlosen Fahrkarten auch dann noch automatisiert zu erhalten, wenn die die Gesamtzahl von 30.000 Stück längst überschritten war. Und dies gleich doppelt: Auf den Hinweis über die Schwachstelle hin wurde dieser Zugang nämlich nur notdürftig und wohl eher ohne tatsächliche Fachkenntnisse vernagelt. Eine weitere – den Zerforschern zufolge wenig kooperativ aufgenommene – Kontaktaufnahme war nötig, um diese Schwachstelle komplett zu beseitigen.

245.000 Datensätze ungeschützt im Netz

Nachdem in diesem Zusammenhang derart viel Verantwortungslosigkeit und Unwissenheit an den Tag gekommen ist, haben sich die Sicherheitsforscher weitere Projekte angeschaut, die von den gleichen Agenturen mit öffentlichen Geldern ausgeführt wurden. Hierbei kam dann ans Licht, dass sich die Daten von 245.971 EU-Bürgern, die sich für das bereits 2018 angelaufene Projekt DiscoverEU registriert haben, ohne Aufwand abrufen ließen.

Bei DiscoverEU handelt es sich um ein Projekt, bei dem Interrail-Pässe für Europa verlost werden und aus der angebundenen Datenbank ließen sich neben den Namen der Personen auch die E-Mail-Adresse, das Herkunftsland, der Zustand der Anmeldung, die Art des Tickets und die Bestellnummer bei Interrail auslesen.

Wer Daten verarbeitet, muss sie auch schützen

Die Sicherheitsforscher sehen die beiden Projekte als weiteren Beleg für Versagen und verantwortungsloses Handeln im öffentlichen Auftrag:

Solche halbgaren Lösungen wären schon unzureichend, wenn ein Ticketanbieter ein paar Konzertkarten verkaufen will. Doch wenn ein Bundesministerium sich hinstellt und Zugtickets verschenkt, dann muss nochmal besonderes Augenmerk darauf gelegt werden, dass alles gut getestet ist.
Noch schlimmer wird es dann, wenn wir nicht nur neue Pässe anlegen, sondern sogar mehr als 245.000 Datensätze des DiscoverEU-Programms abrufen können. Wir sagen mal wieder: Wenn eine Website marktreif genug ist, um Daten zu verarbeiten, muss sie auch reif genug sein, diese für sich zu behalten.
Es ist erschütternd, dass hier so nachlässig gearbeitet wurde – und das anscheinend einfach so hingenommen wird.

20. Jun 2023 um 06:51 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    9 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Mal sehen was ANSSI und BSI dazu sagen.
    Zumindest Frankreich hat deutlich klarere Vorgaben und Gesetze als Deutschland

  • Wie ist das eigentlich im Lichte der DSGVO zu sehen – die ist ja an sich auch ziemlich klar formuliert.
    Es drängt sich immer wieder der Verdacht auf, dass es in deutschen Ministerien und Ämtern mit „Verantwortung übernehmen und Konsequenzen ziehen“ nicht weit her ist – schon gar nicht „zur Verantwortung gezogen zu werden“.
    Ich mutmaße, das könnte weggelächelt und auf mögliche Erinnerungslücken verwiesen werden.

  • Ich und viele meiner Freunde konnte diese gesamte Aktion überhaupt nicht nutzen. Zum Freischaltzeitpunkt der Website war sie nicht erreichbar. Das zog sich dann über etliche Stunden. Wir haben alle dann aufgegeben.

  • Heißt ja nicht umsonst „DiscoverEU“ … da kann man die Daten von hunderttausenden EU-Bürgern entdecken …

  • Dazu das Luxottica (RayBan)-Datenleck von vor zwei Jahren welches aber erst vor kurzem laut „haveibeenpwned.com“ kommuniziert wurde. Und da frage ich mich wieso ich seit zwei Jahren nur noch wilde Pinganrufe und Spam bis unter die Decke erhalte… habe mittlerweile alle unbekannten Anrufe stumm geschaltet und muss 98% davon direkt blocken.
    Das waren im Nachhinein dann doch sehr teure Sonnenbrillen.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38033 Artikel in den vergangenen 8219 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven