DB: Sicherheitslücke bei Datei über Geschäftsreisekunden

Wie correctiv.ruhr schreibt, sei ein Beispieldatensatz von 10.139 Unternehmen und Organisationen genauer angeschaut worden. Außer ihrer Rechnungsadresse hätten viele Geschäftskunden auch die Ansprechpartnern genannt oder weitere detaillierte Angaben über die Lage der jeweils zuständigen Abteilungen oder Büros, so zum Beispiel „2.OG Raum 2.13“ bei einer Firma aus Baden-Württemberg. Auch ausländische Firmen, vorzugsweise aus China, seien in unserem Beispieldatensatz zu finden. Die Lücke ist technisch banal, so die Experten: Bahn.business-Kunden erhalten einen speziellen Link, über den sich ihre Mitarbeiter als „Selbstbucher“ registrieren können. Dieser Link hat in seiner Adresse einen Parameter namens „firmenid“, der jedem Kunden eine eigene Nummer zuweist. Ändert man diesen Parameter, erhält man die Eingabemaske für eine andere Firma – oft mit Details. Das Späh-Programm dafür bestehe nur aus 11 Zeilen bzw. 799 Zeichen. Die Datenabfrage selbst dauerte für die über 10.000 Adressen lediglich 45 Minuten. Die DB gab laut correctiv.ruhr bislang keine Stellungnahme ab. (cm)