Mit der Aussicht auf insgesamt 60.000 kostenlose Bahntickets riefen vergangenen Montag viele junge Menschen pünktlich zum Startschuss um 10 Uhr die Startseite des deutsch-französischen Freundschaftspasses auf. Es galt, schnell zu sein. Denn die Tickets wurden nach dem Prinzip „first come, first served“ vergeben. Doch die digitale Infrastruktur der Seite war weder dem Ansturm gewachsen noch ausreichend gesichert, wie Forscher*innen des Kollektivs zerforschung herausfanden. Bei ihren Recherchen fanden sie überraschenderweise obendrein weitere klaffende Sicherheitslücken bei einem ähnlichen Angebot.
Der Freundschaftspass ist eine Initiative zur Feier des 60. Jahrestages der Unterzeichnung des Élysée-Vertrags. Er soll die deutsch-französische Freundschaft stärken. Dafür wurden jeweils 30.000 kostenlose Tickets an deutsche und französische Bürger*innen im Alter von 18 und 27 Jahren verteilt. Zwischen Juli und Dezember können Inhaber*innen des Passes einen Monat lang im jeweils anderen Land kostenfrei Zug fahren.
Großer Ansturm, miserable Umsetzung
Die Server waren durch den großen Ansturm am Montag jedoch völlig überlastet und deshalb mehrere Stunden nicht erreichbar. Die allermeisten Interessierten sahen lediglich eine Fehlermeldung. Nur wenige hatten Glück und konnten einen der begehrten Pässe ergattern. Auf der Website vermeldete das Digitalministerium derweil, der Freundschaftspass sei „Opfer seines Erfolgs“ geworden.
Das Kollektiv zerforschung kritisiert hingegen, überlastete Server seien „kein Zeichen für den Erfolg einer Aktion, sondern ein Zeichen für Versagen bei der Planung.“ Es sei von Anfang an klar gewesen, dass der Ansturm groß ausfallen werde. Anbieter gefragter Konzert- oder Festivaltickets bewiesen zudem regelmäßig, dass die Umsetzung eines solchen Angebots technisch möglich sei.
Eine weit offene Hintertür
Wer das technische Know-how hatte, konnte den Ticketstau jedoch umgehen und sich mit Hilfe einer Sicherheitslücke auch noch Tage später eigenhändig einen Pass generieren. Zerforschung gelang es, sich über einen „Hintereingang“ anzumelden und so einen Pass zu erhalten, obwohl eigentlich bereits alle vergeben waren. Statt aber nach dem 30.000. Ticket keine weitere Buchung mehr zuzulassen, wurde lediglich das entsprechende Formular auf der Seite ausgeblendet. Personen, die den Bestellvorgang begonnen, aber noch nicht abgeschlossen hatten, konnten die Buchung über einen speziellen Link beenden.
Mit einem einfachen Kommando ließ sich dieser Code auch ohne individuellen Link generieren. Zwar wurde, nachdem zerforschung die Lücke bei der zuständigen Stelle gemeldet hatte, ein Hinweis darauf, dass man keine Pässe mehr buchen könne, vor die „Hintertür“ platziert. Geschlossen war die Lücke dadurch jedoch nicht. So war es weiterhin möglich, über eine direkte Anfrage an die Bestell-Schnittstelle einen Pass zu bekommen – laut Zeit Online auch noch am Donnerstag. Kurz danach wurde die Lücke endgültig geschlossen, wie Eurail gegenüber zerforschung mitteilte.
Gravierende Sicherheitsrisiken
Im Rahmen der Recherche stießen zerforschung auf weitere Probleme. Hatten Nutzer*innen nämlich ihr Passwort vergessen, erhielten sie einen fehlerhaften Reset-Link zugeschickt, der auf eine unregistrierte Website führte. Jede Person hätte diese Anwendungsadresse „kapern“ können und so gezielt Phishing betreiben können, wie zerforschung berichtet. Glücklicherweise registrierte die Person, die den Fehler fand, die Anwendung selbst und informierte anschließend die Verantwortlichen.
Darüber hinaus fand zerforschung ein riesiges Datenleck bei DiscoverEU. Dort werden – ähnlich wie Freundschaftspass – Interrailtickets an 18-Jährige verlost. Auf vergleichbare Weise und über die gleiche API ließen sich auch dort Nutzer*innenkonten anlegen und auf die Daten von mehr als 240.000 registrierten Nutzer*innen zugreifen. Dabei konnten die Forscher*innen die Namen, E-Mailadressen, Herkunftsländer und die Bestelldetails einsehen. Beide Programme hat die belgische Marketingagentur MCI Brussels umgesetzt. „Es ist erschütternd, dass hier so nachlässig gearbeitet wurde“, kritisiert Zerforschung, „– und das anscheinend einfach so hingenommen wird.“
Sie können meine Daten nicht haben, wenn die Seite dauerhaft überlastet und down war ;)
Lückenlose Digitalisierung vs. keine IT-Sicherheitslücken?
Es ist einem Speichermedium egal, ob es von einer Demokratie oder einer Autokratie befüllt wird. Die Nutzung aber dürfte anders sein.
Sollte eine nicht demokratische Regierung alle Daten „erben“ dürfen? Für den Fall, dass zu viele „Protestwählerstimmen“ in die Wahlurnen gelangen, wäre da nicht ein „Panik-Löschknopf“ erforderlich, der die Gesellschaft vor ihrer Digitalisierung schützt?
Generell gilt: Was nicht gespeichert ist, muss auch nicht geschützt werden.
Die Timeline (https://zerforschung.org/posts/freundschaftspass-de/)
2023-06-12 10:00 Uhr – Beginn des Verkaufs
2023-06-12 – Nicht registrierte Vercel-Anwendung wird gefunden und gemeldet
2023-06-13 23:00 Uhr – Wir finden die Hintertür
2023-06-14 01:15 Uhr – Meldung an DB-CSIRT, MCI, Kontakt aus Impressum, BMDV, CERT-Bund
2023-06-14 22:00 Uhr – Wir bekommen Freundschaftspässe an Test-Adressen
2023-06-15 00:00 Uhr – Wir schicken die Meldung auch an Eurail
2023-06-15 10:00 Uhr – Wir stellen fest, dass Hintertür auch durch Hinweis ersetzt ist
2023-06-15 13:00-14:00 Uhr – Wir können verifizieren, dass Pässe weiter über API registrierbar sind
2023-06-15 17:30 Uhr – Antwort von Eurail, dass die Lücken geschlossen wurden
2023-06-16 13:00 Uhr – Wir entdecken die Lücke bei Start-Discover.eu
2023-06-16 15:30 Uhr – Wir melden die Lücke
2023-06-16 18:50 Uhr – MCI schreibt uns, dankt für die Meldung, um 16:20 Uhr sei die Lücke geschlossen gewesen
Meine Frage:
Gibt es für diese schnelle und erfolgreiche Arbeit von zerforschung außer dem obligatorischen „vergeltsgott“ (Gotteslohn/-hohn) auch eine Anerkennung oder finanzielle Kompensation?
Meine Anregung:
Eine verpflichtende Kompensation die z.B. durch einen Fond geleistet werden kann, der durch Industrie/Handel/Staat für diesen Zweck vorgehalten wird.
Ein besseres Incentive wäre ein Ausschluss der Täter-Unternehmen und ihrer Angestellten von allen öffentlichen Ausschreibungen, für immer.