Kundendaten

Touch & Travel: Sicherheitslücke bei der Anmeldung

Neukunden konnten laut HR Daten von anderen Nutzern sehen
Von Thorsten Neuhetzki

Datenpanne beim Anmeldesystem für Touch & Travel Datenpanne beim Anmeldesystem für Touch & Travel
Screenshot: teltarif.de Nach Angaben des Hessischen Rundfunk [Link entfernt] gab es beim neuen Ticketsystem der Deutschen Bahn für Handys ein Datenschutzproblem. Nutzer, die sich neu für Touch & Travel anmelden wollten, haben demnach die Kundendaten anderer Nutzer gesehen. Die Deutsche Bahn habe daraufhin die Registrierung für Touch & Travel vorübergehen abgeschaltet. Inzwischen ist die Anmeldung aber wieder möglich.

Datenpanne beim Anmeldesystem für Touch & Travel Datenpanne beim Anmeldesystem für Touch & Travel
Screenshot: teltarif.de Touch & Travel ermöglicht nach Abschluss der Testphase allen Nutzern mit einem iPhone oder Android-Handy, die eine SIM-Karte von Vodafone oder der Telekom nutzen, ihre Bahn-Fahrkarte spontan am Bahnhof über das Handy zu kaufen. Dazu muss der Nutzer vorm Ein- und nach dem Aussteigen die App bedienen und sich an- bzw. abmelden. Im Anschluss wird nach Ablauf des Monats per Rechnung und Lastschrift abgerechnet.

Genauer Grund der Panne nicht bekannt

Um das System nutzen zu können, muss sich der Kunde einmalig auf der Webseite von Touch & Travel anmelden. Abgefragt werden hier neben der Handynummer auch die persönlichen Daten wie Anschrift und Bankverbindung. Genau diese Daten sollen nach dem Bericht offen für andere zugänglich gewesen sein. Ein Nutzer wollte sich registrieren und ihm seien Daten eines anderen Nutzers vorgeblendet worden. Details zu dem Vorfall gibt es nicht. So ist durchaus auch denkbar, dass die Registrierung an einem öffentlichen PC erfolgte, bei dem Formularfelder im Browser gespeichert und automatisch ergänzt werden. Bei zwei unterschiedlichen Nutzern stimmen dann die vorgeblendeten Daten nicht überein. Wäre dies das Problem, wäre das nicht der Deutschen Bahn anzulasten. Kamen die Daten hingegen direkt vom Server der Bahn, so würde es sich durchaus um ein eklatantes Datenleck handeln.

Mit dem offiziellen Start von Touch & Travel hatte die Deutsche Bahn ihrem neuen System eine komplett neue Webseite gegönnt. Dadurch ist es möglich, dass sich entsprechende Fehler eingeschlichen haben, die vorher im jahrelangen Testbetrieb nicht aufgefallen waren.

Mehr zum Thema Touch & Travel