Tausende Tickets von Swisspass-Kunden öffentlich zugänglich
Ein IT-Experte konnte sich einfach Zugang zu persönlichen Daten tausender Swisspass-Kunden verschaffen. Die SBB hat das Datenleck behoben.
Das Wichtigste in Kürze
- Ein IT-Experte lud persönliche Daten von einer Million Swisspass-Kunden herunter.
- Die Daten seien einfach zugänglich im Netz gewesen.
- Die SBB gibt an, die Sicherheitslücke mittlerweile behoben zu haben.
Die SBB wurde gehackt. Ein IT-Experte konnte sich Zugang zu persönlichen Daten von Kunden verschaffen. Rund eine Million Kunden des Swisspass-Verbundes sind betroffen.
Gegenüber der «SRF Rundschau» erklärte er: «Die sensiblen Daten lagen praktisch öffentlich im Netz». Er hätte problemlos noch mehr herunterladen können, aber nach einer Million habe er damit aufgehört.
Brisant: Laut dem Experten sei für den Hack kein Fachwissen nötig gewesen. «Das hätte jeder gekonnt», verriet der Informatiker.
Kein Schaden für Kunden
Die SBB sind über die Sicherheitslücke informiert. In einer Mitteilung schreibt das Unternehmen, dass der «Datenabfluss» behoben wurde.
Rund 0,2 Prozent der Datensätze seien vom Leck betroffen, sie erleiden dadurch jedoch keinen Schaden. Der IT-Sicherheitsexperte habe laut Medienmitteilung sämtliche Daten gelöscht.
Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements, wie es im Communiqué hiess. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Namen, Vornamen und Geburtsdatum von Kunden. Keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und Mail-Adressen ab. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.
Fehler bei Abo-Erneuerung führte zu Leak
SBB und Alliance Swisspass baten in der Mitteilung die Kundschaft um Entschuldigung. Die Schwachstelle sei entstanden, weil zunächst die Sicherheit für die Abo-Erneuerung über die Plattform erhöht worden sei, schrieben sie.
Danach hätten aber Kunden mehrerer ÖV-Unternehmen ihre Abonnements nicht mehr auf «einfache Art und Weise» erneuern können. Deshalb hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Ein Fehler: Denn damit sei die Schwachstelle entstanden.
Die Behörden wurden durch die SBB informiert. Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet.