Sicherheitslücke gestopft
24.01.2022, 13:36 Uhr
Leck bei der SBB: IT-Spezialist kann eine Million Datensätze abgreifen
Das hätte böse enden können. Einem IT-Sicherheitsexperten war es gelungen, eine grosse Menge persönlicher Daten von SBB-Fahrgästen herunterzuladen. Inzwischen sei die Lücke geschlossen worden, heisst es seitens der SBB
Auch Daten aus Billett-Automaten waren Teil des SBB-Datenlecks
(Quelle: Sbb)
Ein externer IT-Security-Spezialist ist Anfang Januar 2022 auf eine Schwachstelle bei der SBB gestossen und konnte in der Folge innert weniger Tage automatisiert 0,2 Prozent aller im Swisspass-Verbund gespeicherten Datensätze abfragen, was rund einer Million Datensätze entspricht, wie die SBB selbst auf ihrer Webseite schreibt.
Die Daten enthielten demnach Informationen über gekaufte Billette und/oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kundinnen und -Kunden. Die Datensätze enthielten laut Angaben der SBB aber keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetten.
Da der IT-Spezialist die SBB umgehend über die Lücke informiert habe, sei diese inzwischen geschlossen worden, versichert die Bahngesellschaft. Auch seien die Daten seitens des Security-Spezialisten unwiderruflich gelöscht worden, wird beruhigt. «Die SBB konnte dank der Meldung die Schwachstelle umgehend schliessen. Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich. Den Kundinnen und Kunden entstand kein Schaden», ist auf der SBB-Seite zu lesen.
Die Schwachstelle war laut SBB-Angaben dadurch möglich, weil man nach der Einführung der zentralen Vertriebsplattform «Nova» (Netzweite ÖV-Anbindung) im Dezember 2021 den Zugang mit dem alten Mechanismus wieder ermöglicht hat. Damit wollte man gemäss SBB jenen Kundinnen und Kunden mehrerer ÖV-Unternehmen entgegenkommen, die nach der Umstellung Ende 2020 ihr Abonnement nicht mehr «auf einfache Art und Weise» erneuern konnten. Diese Wiederermöglichung der alten Methode sei ein Fehler gewesen, denn dadurch sei eine Schwachstelle entstanden, heisst es.
Ausnützung der Schwachstelle war offenbar nicht schwierig
Wie der Entdecker der Lücke in einem Interview mit dem Schweizer Fernsehen SRF in der Sendung «Rundschau» erklärt, sei das Ausnützen der Lücke offenbar keine Hexerei gewesen. «Man braucht nicht einmal besonderes Fachwissen. Das hätte jeder gekonnt», wird der White Hat in einem SRF-News-Artikel zitiert. «Die sensiblen Daten lagen praktisch öffentlich im Netz.» Theoretisch hätte er wohl hunderte Millionen Ticketdaten herunterladen können, so der Informatiker weiter.
Gemäss SBB sind auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) und die beteiligten ÖV-Unternehmen informiert worden. «Auch ist eine interne Untersuchung eingeleitet worden, um die Ursache des Fehlers zu eruieren», schreibt die SBB weiter und entschuldigt sich zusammen mit der Alliance SwissPass als Auftraggeberin der Plattform bei allen ÖV-Kundinnen und -Kunden.
