Das nenne ich mal “Service” der Bahn für Leute, die Interesse an Kundendaten haben. Eine Sicherheitslücke bei der deutschen Bahn im Bereich Bahn.business-Kunden ermöglicht es, Geschäftskundendaten frei per Internet abzurufen.
Die Geschichte findet sich bei correctiv.ruhr in diesem exklusiven Artikel von Simon Wörpel. Geschäftskunden (Bahn.business-Kunden) erhalten von der Bahn einen speziellen Link, über den sich Mitarbeiter als „Selbstbucher“ registrieren können. Die bestellten Tickets werden über die Kreditkarte der Firma oder des Mitarbeiters abgerechnet.
Im Link zum Firmenkonto gibt es, laut Artikel, einen Parameter fimenid mit der Identifikationsnummer des Kunden. Ändert man nun diese ID, gelangt man zur Buchungsseite der betreffenden Firma und kann oftmals Kontaktdaten, Rechnungsadresse und weitere Daten einsehen.
Bei correctiv.ruhr hat man ein kleines Programm geschrieben und konnte binnen kurzer Zeit über 10.000 Datensätze abrufen. Die Kundenkonten reichten, laut Wörpel, von der Elterninitiativem an Schulen über Mittelständler bis hin zu Konzernen, Landesministerien und politischen Fraktionen. Wie Wörpel schreibt, dürften diese Datensätze für Werbetreibende und die Konkurrenz der Bahn im Mobilitätssektor sehr interessant sein. Aber auch Cyber-Kriminelle erhalten so quasi Informationen über Firmen auf dem Präsentierteller, die sich in Phishing-Angriffen verwenden können.
Nach der von mir im Beitrag Sicherheitsinfos 21.10.2016 adressierten – und jetzt geschlossenen – Lücke im WLAN der Deutsche Bahn-Züge fällt die IT der Bahn ein weiteres Mal extrem unangenehm auf.
Da muss sich ein Hacker fremdschämen, so eine Lücke im Jahre 2016 gefunden zu haben. Die konnte man 1998 erwarten.
Oha, IT-Probleme bei der Deutschen Bahn. Ich bin sicher, mit ein wenig Fabulierkunst kann man dafür ganz locker Microsoft bzw. Windows 10 die Verantwortung zuschieben. Freue mich auf das, was noch kommt!