Kennst du die Webseite «ticketcontrol.ch»? Falls nicht, dürftest du Glück haben. Es ist nämlich der Internet-Auftritt des Schwarzfahrer-Registers von Postauto. Wer ohne gültiges Billett erwischt wird, kann dort Zahlungsaufschub oder Fristverlängerung beantragen und ein vergessenes Generalabonnement vorweisen. Diese Plattform wird gerne für berechtigte oder unberechtigte Ausreden genutzt: Schwarzfahrerinnen und Schwarzfahrer reichen dort alles Mögliche ein, um nicht «gebüsst» zu werden.
Diese Daten waren alles andere als gut geschützt. Eine externe IT-Sicherheitsfirma fand eine gravierende Sicherheitslücke, die ohne besondere Fachkenntnisse ausgenutzt werden konnte: Die Postauto-Plattform speicherte Bilddateien mit einer Laufnummer ab. Wer den Link zu einem Bild hatte, konnte auch alles andere herunterladen. Und zwar ohne, dass der Webserver kontrollierte, ob man dazu berechtigt war.
Die Sicherheitsfirma dokumentierte dieses Datenleck und machte es bei SRF publik, nachdem es von Postauto gestopft wurde. Ihr Bericht zeigt, wie einfach der Zugriff auf Hunderte bis Tausende fremde Daten ermöglicht wurde: Es reichte ein sogenannter «Get»-Befehl. Solche Befehle senden unsere Internetbrowser täglich tausendfach und heissen einfach ausgedrückt: «Lieber Server, gib' mir bitte diese Datei».
Der Server beantwortete die Anfrage mit der gewünschten Datei, ohne auch nur ein Cookie oder eine Authentifizierung zu verlangen. Im öffentlichen Bereich des Internets ist das kein Problem. Handelt es sich aber um private Daten, die nicht jeder und jede einsehen darf, gilt die korrekte Umsetzung von Serveranfragen als «Idiotentest». Postauto hat diesen nicht bestanden.
In der Fachsprache wird dieses Problem nüchtern als «Insecure-Direct-Object-Reference» bezeichnet, für die Betroffenen hatte das aber schwerwiegende Konsequenzen. Postauto fand in der Zwischenzeit heraus, dass seit Mai 2021 die ungeschützten Daten 745-mal unberechtigt heruntergeladen wurden. Es habe sich dabei um automatisierte Zugriffe «hauptsächlich» von zwei IT-Sicherheitsfirmen gehandelt.
Das heisst: Nebensächlich gab es auch andere fremde Zugriffe. Sie konnten verschiedene sensible Informationen einsehen. Laut SRF habe es darunter auch abfotografierte Spitalberichte und Kesb-Dokumente gehabt. Ein absolutes No-Go, was auch Postauto zugibt. In einer Stellungnahme heisst es zwar zunächst und allgemein:
Die Postauto-Kommunikationsabteilung relativiert aber so gleich diese Haltung: «In diesem Fall waren Daten nicht ausreichend geschützt, was nicht unseren internen Vorgaben entspricht. Wir bedauern diesen Fehler sehr und entschuldigen uns bei den Kundinnen und Kunden, deren Daten wir nicht ausreichend geschützt haben.» Das Unternehmen wird sich nun auch gegenüber dem eidgenössischen Datenschützer erklären müssen.
Für diesen ist der Postauto-Fail nicht das erste Dossier, mit dem er sich im Januar auseinandersetzen muss. Er fordert deshalb: «Die Betreiber müssen mehr Ressourcen für einen sicheren Betrieb aufbringen.» Zudem will er untersuchen, ob «weitergehende Mängel systemischer Natur» bestehen.
Aber bei all den Datenlecks (SBB Swisspass, Swiss Transplant, MeineImpfungen,usw. ) wäre es mal spannend zu erfahren, wer den so dilettantische Applikationen entwickelt. Meist werden ja solche Webapplikationen und Apps von externen IT-Firmen entwickelt und betrieben. Die sollten auch mal bekannt werden, so dass sich dann die Spreu vom Weizen trennen kann.
Da war ja ein richter Profi-Entwicker am Werk 🤣🤷♂️
Manchmal fragt man sich schon wie in gewissen Firmen gearbeitet wird und wieso sowas nicht affällt...