Geschäftskundendaten bei der Bahn einsehbar

Das nenne ich mal "Service" der Bahn für Leute, die Interesse an Kundendaten haben. Eine Sicherheitslücke bei der deutschen Bahn im Bereich Bahn.business-Kunden ermöglicht es, Geschäftskundendaten frei per Internet abzurufen.


Anzeige

Die Geschichte findet sich bei correctiv.ruhr in diesem exklusiven Artikel von Simon Wörpel. Geschäftskunden (Bahn.business-Kunden) erhalten von der Bahn einen speziellen Link, über den sich Mitarbeiter als „Selbstbucher" registrieren können. Die bestellten Tickets werden über die Kreditkarte der Firma oder des Mitarbeiters abgerechnet.

Im Link zum Firmenkonto gibt es, laut Artikel, einen Parameter fimenid mit der Identifikationsnummer des Kunden. Ändert man nun diese ID, gelangt man zur Buchungsseite der betreffenden Firma und kann oftmals Kontaktdaten, Rechnungsadresse und weitere Daten einsehen. 

Bei correctiv.ruhr hat man ein kleines Programm geschrieben und konnte binnen kurzer Zeit über 10.000 Datensätze abrufen. Die Kundenkonten reichten, laut Wörpel, von der Elterninitiativem an Schulen über Mittelständler bis hin zu Konzernen, Landesministerien und politischen Fraktionen. Wie Wörpel schreibt, dürften diese Datensätze für Werbetreibende und die Konkurrenz der Bahn im Mobilitätssektor sehr interessant sein. Aber auch Cyber-Kriminelle erhalten so quasi Informationen über Firmen auf dem Präsentierteller, die sich in Phishing-Angriffen verwenden können.

Nach der von mir im Beitrag Sicherheitsinfos 21.10.2016 adressierten – und jetzt geschlossenen – Lücke im WLAN der Deutsche Bahn-Züge fällt die IT der Bahn ein weiteres Mal extrem unangenehm auf.


Anzeige


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Geschäftskundendaten bei der Bahn einsehbar

  1. deo sagt:

    Da muss sich ein Hacker fremdschämen, so eine Lücke im Jahre 2016 gefunden zu haben. Die konnte man 1998 erwarten.

  2. Sack Reis in China sagt:

    Oha, IT-Probleme bei der Deutschen Bahn. Ich bin sicher, mit ein wenig Fabulierkunst kann man dafür ganz locker Microsoft bzw. Windows 10 die Verantwortung zuschieben. Freue mich auf das, was noch kommt!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.