Touch & Travel: Sicherheitslücke bei der Anmeldung
Datenpanne beim Anmeldesystem für Touch & Travel
Screenshot: teltarif.de
Nach Angaben des
Hessischen Rundfunk
[Link entfernt]
gab es beim neuen Ticketsystem der Deutschen Bahn
für Handys ein Datenschutzproblem. Nutzer, die sich neu für Touch & Travel anmelden
wollten, haben demnach die Kundendaten anderer Nutzer gesehen. Die Deutsche Bahn
habe daraufhin die Registrierung für Touch & Travel vorübergehen abgeschaltet. Inzwischen ist die Anmeldung
aber wieder möglich.
Datenpanne beim Anmeldesystem für Touch & Travel
Screenshot: teltarif.de
Touch & Travel ermöglicht nach Abschluss der Testphase allen Nutzern mit einem iPhone
oder Android-Handy, die eine SIM-Karte von Vodafone oder der Telekom nutzen, ihre Bahn-Fahrkarte
spontan am Bahnhof über das Handy zu kaufen. Dazu muss der Nutzer vorm Ein- und nach dem
Aussteigen die App bedienen und sich an- bzw. abmelden. Im Anschluss wird nach Ablauf des Monats
per Rechnung und Lastschrift abgerechnet.
Genauer Grund der Panne nicht bekannt
Um das System nutzen zu können, muss sich der Kunde einmalig auf der Webseite von Touch & Travel anmelden. Abgefragt werden hier neben der Handynummer auch die persönlichen Daten wie Anschrift und Bankverbindung. Genau diese Daten sollen nach dem Bericht offen für andere zugänglich gewesen sein. Ein Nutzer wollte sich registrieren und ihm seien Daten eines anderen Nutzers vorgeblendet worden. Details zu dem Vorfall gibt es nicht. So ist durchaus auch denkbar, dass die Registrierung an einem öffentlichen PC erfolgte, bei dem Formularfelder im Browser gespeichert und automatisch ergänzt werden. Bei zwei unterschiedlichen Nutzern stimmen dann die vorgeblendeten Daten nicht überein. Wäre dies das Problem, wäre das nicht der Deutschen Bahn anzulasten. Kamen die Daten hingegen direkt vom Server der Bahn, so würde es sich durchaus um ein eklatantes Datenleck handeln.
Mit dem offiziellen Start von Touch & Travel hatte die Deutsche Bahn ihrem neuen System eine komplett neue Webseite gegönnt. Dadurch ist es möglich, dass sich entsprechende Fehler eingeschlichen haben, die vorher im jahrelangen Testbetrieb nicht aufgefallen waren.