Manipulierter Zugangscode: Hacker kommt mit Suchen und Ersetzen in die Bahn-Lounge

Ein Sicherheitsforscher mit dem Pseudonym Flüpke konnte sich durch einen manipulierten Aztec-Code Zugang zur ersten Klasse der DB-Lounge verschaffen. Dafür musste er in dem String zu seinem eigenen Zugangscode zwei Buchstaben ersetzen. Flüpke gab die Lücke auf Twitter bekannt und forderte die Deutsche Bahn auf, den Fehler zu beheben.

Im Gespräch mit Golem.de sagte Flüpke: "Das war trivial zu finden, indem man die Codes von Kunden der ersten und zweiten Klasse vergleicht." Er habe sich den Code eines Kunden der ersten Klasse geben lassen. Beim Vergleich falle nämlich auf, dass man nur an zwei Stellen den Buchstaben S durch P ersetzen müsse.

Auch Gültigkeit nicht validiert

Zudem sagt Flüpke, dass er die Gültigkeit, die in dem Aztec-Codes stehe, manipuliert habe. Auch mit falscher Gültigkeit sei er in die DB-Lounge gekommen. Seine Vermutung sei, dass das Lesegerät "nichts anderes macht, als zu schauen, ob der passende String drin ist". Zur eigenen Absicherung holte sich der Hacker vorher ein Erste-Klasse-Upgrade für 500 Statuspunkte, mit dem er rechtmäßig in die DB-Lounge darf, und ließ dieses validieren.

Er habe sich für ein Full-Disclosure-Verfahren auf Twitter entschieden, weil er vorher bereits schlechte Erfahrungen mit der Deutschen Bahn gemacht habe, sagte Flüpke. So habe sich das damalige Disclosure-Verfahren, für das er ein Bug Bounty erhielt, über eine zu lange Zeit hingezogen. Am Ende sei der Fehler dann doch nicht behoben worden. "Da würden für einen Fix schon einmal Jahre vergehen", sagt er.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zur Fehlerbehebung schlägt Flüpke eine Signierung der Aztec-Codes vor, wie dies auch schon bei Tickets passiere. Er schätzt, dass bei diesem kleinen Fehler kein großes finanzielles Risiko für die Bahn entstehe. Der Bug, für den er keinen Bounty möchte, sei eher "trivial und absolut vermeidbar".

Die Bahn wirbt für die DB-Lounge der ersten Klasse mit einem "angenehmen Aufenthalt: elegante Sitzlandschaften, stilvolles Ambiente und aufmerksamer Service."

Wir haben bei der Deutschen Bahn kurzfristig angefragt, bei welchen Abteilungen der Fall gegebenenfalls vorliegt und ob sie bereits an einem Bugfix arbeiten. Wir tragen mögliche Antworten nach.