Suchen

Peinliche Sicherheitslücke im DB-Geschäftskundenbereich Bahn-Portal verrät Kundendaten

Autor / Redakteur: Moritz Jäger / Peter Schmitz

Journalisten fanden eine Schwachstelle im Geschäftskundenportal der Bahn, Bahn.Business, über die sich die hinterlegten Informationen der Firmen abrufen ließen. Hürden gibt es keine. Die Bahn sieht keine personenbezogenen Daten betroffen, hat die Funktion aber deaktiviert.

Firma zum Thema

Im Geschäftskundenbereich der Bahn existiert eine Sicherheitslücke, die Angreifen Zugriff auf Kundendaten gibt.
Im Geschäftskundenbereich der Bahn existiert eine Sicherheitslücke, die Angreifen Zugriff auf Kundendaten gibt.
(Bild: pixabay - hpgruesen / CC0 )

Das Recherchekollektiv Correctiv.Ruhr hat eine Sicherheitslücke im Geschäftskundenportal Bahn.Business entdeckt . Darüber lassen sich die hinterlegten Daten von zehntausenden Kunden abfragen, ohne dass Sicherheitsmechanismen ausgehebelt werden müssen. Das Problem liegt laut Correctiv.Ruhr an einem speziellen Link, den Firmen an Mitarbeiter herausgeben und über den diese dann selbst Tickets kaufen und über die Firma abrechnen können.

Dieser Link enthält einen Parameter namens “firmenid” in der URL, der sich problemlos ändern lässt. Fügt man hier eine andere ID ein, erhält man die Daten einer anderen Firma - weitere Sicherheitschecks sind nicht vorgesehen. Darüber hinaus gibt es keine Maßnahmen gegen automatisierte Abfragen, das Recherchebüro konnte mit einem relativ kleinen Skript in kurzer Zeit tausende von Daten abfragen.

Reaktion der Bahn

Die Bahn wurde von Correctiv auf das Problem hingewiesen, hält sich aber bedeckt was die Auswirkungen oder Behebung des Problems angeht. Auf unsere Anfrage bezüglich der Sicherheitslücken kam folgende Antwort von der Pressestelle:

"Den Hinweis, dass Geschäftskundendaten online abrufbar sind, nehmen wir sehr ernst. Es handelt sich um ein technisches Problem und dabei sind nach erster Einschätzung keine personenbezogenen Daten betroffen. Wir arbeiten an einer schnellstmöglichen Behebung. Wir deaktivieren zunächst die betroffene Funktionalität. Parallel dazu arbeiten wir mit Hochdruck an einer Lösung", so ein Bahn-Sprecher.

(ID:44341295)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist