Staatliche Projekte mit Technikmängeln: Kostenlose Bahntickets ohne Limit
Um die deutsch-französische Freundschaft zu stärken, haben Deutschland und Frankreich jungen Reisenden ab dem 12. Juni 2023 insgesamt 60.000 Bahntickets geschenkt(öffnet im neuen Fenster) , 30.000 je Land. Wie ein paar technikbegeisterte Forscher herausfanden, erwies sich die technische Umsetzung jedoch als unzureichend. Es war ihnen möglich, auch nach Vergabe aller Tickets noch weitere Exemplare zu ergattern. Außerdem fanden sie ein ähnliches Projekt mit einer fragwürdigen Datenpanne.
Schon zum Start gab es gravierende technische Mängel
Zunächst kritisierten die Forscher(öffnet im neuen Fenster) die Planung des ersten untersuchten Projekts. Hier galt das altbekannte Prinzip "First come, first served" , was einen derart großen Ansturm zur Folge hatte, dass die Server zum Start der Aktion überlastet waren.
Im nächsten Schritt fand das Team ein gravierendes Sicherheitsproblem in der "Passwort vergessen"-Funktion der zugehörigen Anwendung. Denn der Reset-Link, den die Nutzer per E-Mail erhielten, führte zu einem nicht registrierten Projekt bei einem Anbieter für das Hosting von Webanwendungen. Für Cyberkriminelle wäre es ein Leichtes gewesen, hier kurzfristig eine böswillige Webseite für Phishing oder die Verbreitung einer Malware bereitzustellen.
Nach 30.000 Tickets ist Schluss – oder auch nicht
Anschließend stellten die Forscher fest, dass sich auch dann noch Tickets ergattern ließen, als bereits 30.000 Bestellvorgänge abgeschlossen waren. Aufgrund der technischen Umsetzung brauchten sie dafür lediglich einen speziellen Code, um weiterhin Zugang zum Bestellformular zu erhalten. Allerdings war es ihnen möglich, diese Codes selbst zu generieren und damit auch nach Ende der Aktion weitere kostenlose Interrail-Pässe zu erhalten.
Daraufhin versuchten die Forscher, alle erdenklichen Stellen über ihre Erkenntnisse zu informieren, die für die Beseitigung der Probleme verantwortlich sein könnten. Jedoch erhielten sie zunächst weder eine verwertbare Antwort, noch kümmerte sich jemand darum, weitere Bestellvorgänge zu unterbinden. Erst im zweiten Anlauf nahm sich die Pressestelle von Eurail schließlich des Problems an und sorgte dafür, dass die Lücke geschlossen wurde.
Ähnliches Projekt machte 245.000 Datensätze frei zugänglich
Zudem fanden die Forscher ein weiteres Programm mit dem Namen DiscoverEU(öffnet im neuen Fenster) , das ganz ähnlich gestrickt war. Es waren die gleichen Agenturen mit der Umsetzung beauftragt und das Projekt lief bereits seit 2018. Zu seinem Erstaunen stellte das Forscherteam fest, dass dort insgesamt 245.971 Registrierungsdatensätze frei für jedermann abrufbar waren. Diese enthielten mitunter Namen, E-Mail-Adressen und Herkunftsland sowie Informationen zu den jeweiligen Tickets der registrierten Personen.
Da der richtige Ansprechpartner der Pressestelle von Eurail ja inzwischen bekannt war, erfolgte die Schließung der Lücke in diesem Fall wesentlich schneller – angeblich innerhalb einer Stunde. Die damit einhergehende Deaktivierung der Anmeldung des Portals dürfte zwar unerwünschte Nebeneffekte gehabt haben, aber immerhin waren die Daten damit vorerst nicht mehr frei zugänglich.