Peinliche Sicherheitslücke im DB-Geschäftskundenbereich

Bahn-Portal verrät Kundendaten

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Im Geschäftskundenbereich der Bahn existiert eine Sicherheitslücke, die Angreifen Zugriff auf Kundendaten gibt.
Im Geschäftskundenbereich der Bahn existiert eine Sicherheitslücke, die Angreifen Zugriff auf Kundendaten gibt. (Bild: pixabay - hpgruesen / CC0)

Journalisten fanden eine Schwachstelle im Geschäftskundenportal der Bahn, Bahn.Business, über die sich die hinterlegten Informationen der Firmen abrufen ließen. Hürden gibt es keine. Die Bahn sieht keine personenbezogenen Daten betroffen, hat die Funktion aber deaktiviert.

Das Recherchekollektiv Correctiv.Ruhr hat eine Sicherheitslücke im Geschäftskundenportal Bahn.Business entdeckt . Darüber lassen sich die hinterlegten Daten von zehntausenden Kunden abfragen, ohne dass Sicherheitsmechanismen ausgehebelt werden müssen. Das Problem liegt laut Correctiv.Ruhr an einem speziellen Link, den Firmen an Mitarbeiter herausgeben und über den diese dann selbst Tickets kaufen und über die Firma abrechnen können.

Dieser Link enthält einen Parameter namens “firmenid” in der URL, der sich problemlos ändern lässt. Fügt man hier eine andere ID ein, erhält man die Daten einer anderen Firma - weitere Sicherheitschecks sind nicht vorgesehen. Darüber hinaus gibt es keine Maßnahmen gegen automatisierte Abfragen, das Recherchebüro konnte mit einem relativ kleinen Skript in kurzer Zeit tausende von Daten abfragen.

Reaktion der Bahn

Die Bahn wurde von Correctiv auf das Problem hingewiesen, hält sich aber bedeckt was die Auswirkungen oder Behebung des Problems angeht. Auf unsere Anfrage bezüglich der Sicherheitslücken kam folgende Antwort von der Pressestelle:

"Den Hinweis, dass Geschäftskundendaten online abrufbar sind, nehmen wir sehr ernst. Es handelt sich um ein technisches Problem und dabei sind nach erster Einschätzung keine personenbezogenen Daten betroffen. Wir arbeiten an einer schnellstmöglichen Behebung. Wir deaktivieren zunächst die betroffene Funktionalität. Parallel dazu arbeiten wir mit Hochdruck an einer Lösung", so ein Bahn-Sprecher.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44341295 / Sicherheitslücken)