Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Webshop Fischerei- und Jagdverwaltung Kanton Zürich (FJV).
Screenshot: https://www.efj.zh.ch/webshop (2. Mai 2018)

Der Webshop der Fischerei- & Jagdverwaltung des Kantons Zürich wird von Fischern, Jägern, Jagdaufseher und Pächtern genutzt. Bild: Rico Daniel

watson-Leser stösst auf Datenleck beim Kanton Zürich – diese Daten waren betroffen

Im Webshop der Zürcher Fischerei- & Jagdverwaltung waren die Namen der Kunden und ihre Bestellungen während rund drei Wochen frei einsehbar. Der Kanton bestätigt die Datenpanne und versucht zu beschwichtigen.



In einem Webshop des Kantons Zürichs klaffte während rund drei Wochen ein Datenleck: «Ja, es gab ein kleines Datenleck, welches unmittelbar nach Bekanntwerden behoben wurde», sagt Urs Philipp, Abteilungsleiter beim Amt für Landschaft und Natur. Betroffen war der Webshop der Fischerei- & Jagdverwaltung, der – no­men est omen – von Jägern und Fischern genutzt wird.

Die Lücke wurde am Dienstag von einem Nutzer gemeldet und ist inzwischen geschlossen. «Das Problem wurde am 1. Mai erstmals entdeckt. Es sind insgesamt 23 betroffene Nutzer des rapportierten Falles vom 1. Mai bekannt», sagt Philipp. Es sei «eher unwahrscheinlich, aber zumindest theoretisch denkbar, dass noch einige Nutzer mehr betroffen sein könnten». Die Betroffenen wurden bislang nicht informiert, auch auf der Webseite findet sich kein Hinweis zur Datenpanne.

Bei der Fischerei- & Jagdverwaltung kann man derzeit nicht gänzlich ausschliessen, dass die Lücke zuvor nicht schon von anderen entdeckt und ausgenutzt wurde. Potenziell hätte es weit mehr als 23 Nutzer treffen können, da alle Fischer und Jäger im Kanton über diesen Webshop ein Fischereipatent oder einen Jagdpass beziehen können.

So wurde das Datenleck entdeckt

Wer im Kanton Zürich fischen will, braucht für die meisten Seen und Flüsse ein Patent. Hobby-Fischer können diese Fangerlaubnis im Webshop der Fischerei- & Jagdverwaltung bestellen. Genau dies wollte am 1. Mai auch Hobby-Fischer Ric Daniel tun. Er meldete sich wie gewohnt im Webshop an und staunte nicht schlecht: Statt auf das eigene Profil hatte er Zugriff auf die aktuellen Bestellungen der Jäger und Fischer, die den Webshop nutzen.

«Ich wollte ein Patent online kaufen und konnte Namen, Rechnungsstatus usw. der anderen Shop-Nutzer einsehen», sagt Daniel. Wegen eines Software-Fehlers im Webshop hatte er Zugriff auf die Fischerei- und Jagdverwaltungssoftware, wie der folgende Screenshot zeigt. Die hier zu sehenden Patent-Bestellungen (die Namen wurden von uns geschwärzt) sollten eigentlich nur Angestellte des Kantons mit den entsprechenden Rechten einsehen können.

Bild

Frei einsehbar: Wer hat wann was im Webshop der Fischerei- & Jagdverwaltung bestellt. screenshot: Rico Daniel

Er habe kein Passwort geknackt oder irgendetwas gehackt, betont Daniel im Gespräch mit watson. Ein paar Mausklicks hätten gereicht, um in den Administratoren-Modus des Webshops zu gelangen. So waren plötzlich Kundennamen, Bestelldatum, das bestellte Produkt sowie der Rechnungsstatus einsehbar.

Urs Philipp von der Fischerei- & Jagdverwaltung sagt, dass weitere Nutzerdaten wie Geburtsdatum, Postadresse, E-Mail-Adresse, Telefonnummern etc. nicht einsehbar gewesen seien. «Es war nicht möglich irgendwelche weiteren Daten zu sehen, zu verändern oder zu speichern», sagt Philipp.

Daniel vermutet hingegen, dass er noch weit mehr Daten hätte aufrufen können: Etwa Heimatort, Nationalität und weitere Daten, welche die Nutzer bei der Registration angeben müssen. Zum Beispiel der Name der Versicherung, den die Jäger bei der Erstellung des Nutzer-Kontos angeben müssen.

Ausprobiert habe er es nicht, zumal dies auch illegal wäre. Auf seinem Screenshot des Webshops ist zumindest zu sehen, dass ihm nebst dem Webseiten-Reiter «Auftrag» – also die aktuellen Bestellungen – auch die Bereiche «Person», «Revier» und «Dokument» angezeigt wurden.

Grund für Datenpanne ist bekannt

Webshop Fischerei- und Jagdverwaltung Kanton Zürich (FJV).
Screenshot: https://www.efj.zh.ch/webshop (2. Mai 2018)

Für den Datenzugriff musste der Hobby-Fischer auf einen kleinen runden Button am unteren Seitenrand klicken. Über diesen Link erhielt er offenbar Administrator-Rechte. Bild: Rico Daniel

Wegen eines Fehlers im Webshop konnte man als normaler Nutzer in den Administrator-Modus gelangen. «Gemäss unseren Recherchen hat das Problem seit dem letzten Software-Release bestanden, also seit zirka drei Wochen», sagt Philipp. Der Webshop wurde von einer externen Firma entwickelt.

Die Fischerei- & Jagdverwaltung erklärt die Datenlücke wie folgt:

«Das Problem trat auf, weil ein ‹normaler› Benutzer im Webshop den Regelsteuerelemente-Admin-Modus aktivieren konnte und dann ins eFJ (Hauptanwendung) gewechselt hat, ohne den Browser zu schliessen. In diesem Fall hat er einige Daten gesehen, für welche er eigentlich keine Berechtigung hätte. Das Wechseln in den Regelsteuerelemente-Admin-Modus war für ‹normale› Benutzer nie vorgesehen, aber infolge eines Fehlers in der Konfiguration der Steuerelemente möglich (dies war der Bug). Selbstverständlich wurde der Fehler umgehend korrigiert.»

Urs Philipp, Abteilungsleiter Fischerei & Jagd

«Ein Betreiber eines Angler-Shops wäre vermutlich äusserst interessiert an diesem Datenschatz», sagt Daniel. Er habe die Nutzerdaten selbstverständlich nicht geklaut, sondern das Datenleck der Fischerei- & Jagdverwaltung gemeldet.

Beim Kanton hat man umgehend reagiert. Ein Test am Mittwoch zeigte, dass die Lücke im Webshop inzwischen geschlossen ist. Zumindest diese Lücke, denn bei unseren Tests traten gleich zwei Mal «unerwarteter Fehler» auf. Der Webshop spukte Zeilenweise Fehlercode aus.

Richtig vertrauenserweckend ist dies nicht. Auch der Umstand, dass man es beim Amt für Landschaft und Natur nicht als notwendig erachtet, die Jäger und Fischer über das Datenleck zu informieren, auch wenn vielleicht gar keine Daten abgeflossen sind, ist ebenfalls wenig vertrauenserweckend.

Die Vermutung liegt nahe, dass man in der aktuellen Diskussion um die Einführung des E-Votings in der Schweiz eine gravierende Schwachstelle im Webshop des Kantons Zürich nicht an die grosse Glocke hängen will.

Er habe auch die Nutzer eines Fischerforums auf Facebook über die Datenpanne informiert, sagt Daniel. Ein ihm nicht bekannter Nutzer habe sich zuerst amüsiert gezeigt. «Als ich ihm sagte, welches Patent er für welches Gewässer wann gekauft hat, fand er die Sache nicht mehr ganz so witzig.

Das könnte dich auch interessieren:

Wie ansteckend sind Kinder wirklich? Was die Wissenschaft bis jetzt dazu weiss

Link zum Artikel

Corona International: EU beschliesst Einreisestopp ++ Italien mit 345 neuen Todesopfern

Link zum Artikel

Die Schweiz befindet sich im Notstand – die 18 wichtigsten Antworten zur neuen Lage

Link zum Artikel

BAG meldet 8616 neue Fälle

Link zum Artikel

Magic Johnson vs. Larry Bird – ein College-Final als Beginn einer grossen Sportrivalität

Link zum Artikel

Wie ich nach 3 Stunden Möbelhaus von Wolke 7 plumpste

Link zum Artikel

Lasst meinen Sex in Ruhe, ihr Ehe- und Kartoffel-Fanatiker!

Link zum Artikel

So lief Tag 1 nach Bekanntgabe der «ausserordentliche Lage» für die Schweiz

Link zum Artikel

Das iPad kriegt Radar? Darum ist der Lidar-Sensor eine kleine Revolution

Link zum Artikel

Der Mann, der es wagt, Trump zu widersprechen

Link zum Artikel

Die Fallzahlen steigen wieder leicht an – so sieht's in deinem Kanton aus

Link zum Artikel

4 Gründe, weshalb die Corona-Zahlen des BAG wenig mit der Realität zu tun haben

Link zum Artikel

Ein Virus beendet Jonas Hillers Karriere: «Es gäbe noch viel schlimmere Szenarien»

Link zum Artikel
Alle Artikel anzeigen
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

16 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
fischbrot
03.05.2018 12:14registriert June 2014
Gott sei Dank, dass diese hochsensiblen Daten nicht in die falschen Hände gerieten. Man stelle sich vor was geschehen wäre, wenn die Russen erfahren würden, dass Herr Stöckli eine Jagdpacht im Hürniwald hätte 😁
14230
Melden
Zum Kommentar
Der Teufel auf der Bettkante
03.05.2018 12:08registriert March 2018
Datenleck beim Kanton Zürich - aber eVoting soll sicher sein?
9621
Melden
Zum Kommentar
aglio e olio
03.05.2018 12:24registriert July 2017
"Die Vermutung liegt nahe, dass man in der aktuellen Diskussion um die Einführung des E-Votings in der Schweiz eine gravierende Schwachstelle im Webshop des Kantons Zürich nicht an die grosse Glocke hängen will."
Die grosse Glocke würde mir aber zeigen, dass offen kommuniziert wird und man nicht geneigt ist so einen Vorfall zu verschweigen.
So aber wird Skepsis zu Misstrauen.
344
Melden
Zum Kommentar
16

Kantonspolizei Zürich testete neue Blitzkästen – mit interessantem Design 🤔

Im Kanton Zürich wurden in den letzten zwei Wochen neue Blitzkästen getestet. Wie die Kantonspolizei Zürich auf Anfrage bestätigt, wurden diese «an bekannten Raserstrecken im Kanton» aufgestellt.

Verschiedene User haben watson Bilder von den neuen Geräten gesendet. Grund dürfte das kuriose Aussehen der Blitzkästen sein. Ihr Erscheinungsbild ähnelt dem eines Stromkastens sehr.

Die gut getarnten Blitzkästen haben einen sehr spezifischen Einsatzbereich, wie Stefan Oberlin von der Kantonspolizei …

Artikel lesen
Link zum Artikel