DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Beim Falschfahrer-Register gabs eine heikle Datenpanne.
Beim Falschfahrer-Register gabs eine heikle Datenpanne.Bild: KEYSTONE

Leck bei Postauto: Falschfahrer-IT war alles andere als idiotensicher

Bei der Postauto-Webseite «ticketcontrol.ch» gabs eine schwerwiegende Datenpanne. Angreifer konnten sensible Dokumente sehen, ohne dafür «hacken» zu müssen.
26.01.2022, 18:5327.01.2022, 12:14

Kennst du die Webseite «ticketcontrol.ch»? Falls nicht, dürftest du Glück haben. Es ist nämlich der Internet-Auftritt des Schwarzfahrer-Registers von Postauto. Wer ohne gültiges Billett erwischt wird, kann dort Zahlungsaufschub oder Fristverlängerung beantragen und ein vergessenes Generalabonnement vorweisen. Diese Plattform wird gerne für berechtigte oder unberechtigte Ausreden genutzt: Schwarzfahrerinnen und Schwarzfahrer reichen dort alles Mögliche ein, um nicht «gebüsst» zu werden.

Diese Daten waren alles andere als gut geschützt. Eine externe IT-Sicherheitsfirma fand eine gravierende Sicherheitslücke, die ohne besondere Fachkenntnisse ausgenutzt werden konnte: Die Postauto-Plattform speicherte Bilddateien mit einer Laufnummer ab. Wer den Link zu einem Bild hatte, konnte auch alles andere herunterladen. Und zwar ohne, dass der Webserver kontrollierte, ob man dazu berechtigt war.

Die Sicherheitsfirma dokumentierte dieses Datenleck und machte es bei SRF publik, nachdem es von Postauto gestopft wurde. Ihr Bericht zeigt, wie einfach der Zugriff auf Hunderte bis Tausende fremde Daten ermöglicht wurde: Es reichte ein sogenannter «Get»-Befehl. Solche Befehle senden unsere Internetbrowser täglich tausendfach und heissen einfach ausgedrückt: «Lieber Server, gib' mir bitte diese Datei».

GET /data/docs/de/1975/iscroll.js?v=1.0 HTTP/2
Host: www.ticketcontrol.ch
Accept: */*

Der Server beantwortete die Anfrage mit der gewünschten Datei, ohne auch nur ein Cookie oder eine Authentifizierung zu verlangen. Im öffentlichen Bereich des Internets ist das kein Problem. Handelt es sich aber um private Daten, die nicht jeder und jede einsehen darf, gilt die korrekte Umsetzung von Serveranfragen als «Idiotentest». Postauto hat diesen nicht bestanden.

Angreifer konnten Passdaten lesen

In der Fachsprache wird dieses Problem nüchtern als «Insecure-Direct-Object-Reference» bezeichnet, für die Betroffenen hatte das aber schwerwiegende Konsequenzen. Postauto fand in der Zwischenzeit heraus, dass seit Mai 2021 die ungeschützten Daten 745-mal unberechtigt heruntergeladen wurden. Es habe sich dabei um automatisierte Zugriffe «hauptsächlich» von zwei IT-Sicherheitsfirmen gehandelt.

Das heisst: Nebensächlich gab es auch andere fremde Zugriffe. Sie konnten verschiedene sensible Informationen einsehen. Laut SRF habe es darunter auch abfotografierte Spitalberichte und Kesb-Dokumente gehabt. Ein absolutes No-Go, was auch Postauto zugibt. In einer Stellungnahme heisst es zwar zunächst und allgemein:

«Postauto legt grossen Wert auf den Datenschutz.»
Stellungnahme von Postauto

Die Postauto-Kommunikationsabteilung relativiert aber so gleich diese Haltung: «In diesem Fall waren Daten nicht ausreichend geschützt, was nicht unseren internen Vorgaben entspricht. Wir bedauern diesen Fehler sehr und entschuldigen uns bei den Kundinnen und Kunden, deren Daten wir nicht ausreichend geschützt haben.» Das Unternehmen wird sich nun auch gegenüber dem eidgenössischen Datenschützer erklären müssen.

Für diesen ist der Postauto-Fail nicht das erste Dossier, mit dem er sich im Januar auseinandersetzen muss. Er fordert deshalb: «Die Betreiber müssen mehr Ressourcen für einen sicheren Betrieb aufbringen.» Zudem will er untersuchen, ob «weitergehende Mängel systemischer Natur» bestehen.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Sieben eindrückliche Hacker-Attacken

1 / 10
Sieben eindrückliche Hacker-Attacken
quelle: jordan strauss/invision/ap/invision / jordan strauss
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Hacker finden Schwachstelle im E-Voting-System

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

29 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
HugiHans
26.01.2022 19:15registriert Juli 2018
Wäre wohl billiger Passagieren ohne Ticket ein Gratis Ticket abzugeben, als irgend welcher unfähigen IT Firmen Geld nach zu werfen …
604
Melden
Zum Kommentar
avatar
Peiniger
26.01.2022 19:33registriert Oktober 2020
Ist recht peinlich für PostAuto und die Verantwortung müssen sie auf jeden Fall übernehmen.

Aber bei all den Datenlecks (SBB Swisspass, Swiss Transplant, MeineImpfungen,usw. ) wäre es mal spannend zu erfahren, wer den so dilettantische Applikationen entwickelt. Meist werden ja solche Webapplikationen und Apps von externen IT-Firmen entwickelt und betrieben. Die sollten auch mal bekannt werden, so dass sich dann die Spreu vom Weizen trennen kann.
563
Melden
Zum Kommentar
avatar
_andreas
26.01.2022 19:41registriert April 2020
🤦‍♂️
Da war ja ein richter Profi-Entwicker am Werk 🤣🤷‍♂️
Manchmal fragt man sich schon wie in gewissen Firmen gearbeitet wird und wieso sowas nicht affällt...
441
Melden
Zum Kommentar
29
Swissmedic prüft Moderna-Impfstoff für Kinder bis fünf Jahre

Das Heilmittelinstitut Swissmedic prüft die Indikationserweiterung des Covid-19-Impfstoffs Spikevax von Moderna für Kinder bis fünf Jahre. Moderna Switzerland habe ein entsprechendes Gesuch eingereicht, teilte Swissmedic am Mittwoch auf Twitter mit.

Zur Story