Eine Person aus dem Umfeld der Digitalen Gesellschaft hat eine Sicherheitslücke im Ticket-Buchungssystem der Alliance SwissPass gefunden. Die Lücke wurde im Rahmen einer «Repsonsible Disclosure» der SBB gemeldet und behoben.
Kurzzeitig war es möglich, massenhaft die Ticketdaten der Reisenden im öffentlichen Verkehr der Schweiz abzugreifen. Dabei konnten Reisedaten (Abfahrts- und Ankunftsort) und Personendaten (Vorname, Name, Geburtstag) heruntergeladen werden.
Im Rahmen eines Proof-Of-Concepts konnte demonstriert werden, dass es möglich ist, innert kurzer Zeit sehr viele dieser Daten herunterzuladen. Die SBB hat die Lücke mit Engagement innert kürzester Zeit geschlossen und hat sichergestellt, dass die Lücke geschlossen ist. Sowohl der Eidgenössische Datenschutzbeauftragte (EDÖB) wie auch die Öffentlichkeit wurden informiert.
Dieser Datensatz hätte in den falschen Händen fatale Auswirkungen gehabt: Wird der Datensatz auf die Reisedaten auf eine Person durchsucht, ergibt sich ein Reisetagebuch. Würde der Datensatz mit Personendaten aus weiteren Datenquellen kombiniert, könnten gezielte Phishingangriffe und Identitätsdiebstahl begünstigt werden.
Die meldende Person hat verantwortungsvoll gehandelt: Die Sicherheitslücke wurde der SBB gemeldet und erst nach der vollständigen Behebung öffentlich kommuniziert. Die gewonnenen Daten wurden mit den Logfiles der SBB-Server abgeglichen, und es wurde festgestellt, dass keine weiteren Daten abgeflossen sind. Da der Meldende die Personendaten gelöscht hat, wurden die Persönlichkeitsrechte der Reisenden gewahrt.
Die SRF-Sendung «10vor10» hat über den Fall berichtet und eine schöne grafische Erklärung zum Ablauf des Angriffs erstellt:
Der vollständige Bericht ist hier zu finden: «SBB Sicherheitslücke im Ticketingsystem»