Sicherheitslücke bei den SBB: Daten von einer Million Kunden waren offen einsehbar
Ein externer IT-Spezialist stiess zu Beginn des Jahres auf eine Schwachstelle und konnte innerhalb von wenigen Tagen rund eine Million Datensätze von Kundinnen und Kunden herunterladen, wie die SBB und Alliance Swisspass in einer gemeinsamen Mitteilung schreiben.
Die Daten enthielten Informationen über gekaufte Billette oder die Gültigkeitsdauer von Abos. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Name, Vorname und Geburtsdatum von ÖV-Kunden. Die Datensätze enthielten keinerlei Angaben zu Wohnort, Zahlungsmitteln, Passwörtern oder E-Mail-Adressen. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben wie zum Beispiel, an welchen Automaten die Tickets gekauft wurden.
Der externe IT-Spezialist meldete den SBB in der Folge die Schwachstelle und löschte die Daten, die er heruntergeladen hatte, unwiderruflich. Die SBB konnten die Schwachstelle in der Zwischenzeit auch schliessen. Die unbefugte, automatisierte Abfrage von Daten ist nicht mehr möglich.
(red.)