Sicherheitslücke im Kundenportal des Schwarzfahrerregisters entdeckt
"SRF" hat eine Sicherheitslücke im Kundenportal des Schwarzfahrerregisters entdeckt. Ohne grösseres Fachwissen lassen sich Dokumente einsehen und herunterladen. Die Lücke soll bereits geschlossen sein, aber der EDÖB sucht nach weiteren Mängeln.
Im Kundenportal "ticketcontrol.ch" des Schwarzfahrerregisters gibt es Sicherheitsprobleme. Wie Recherchen von "SRF Investigativ" zeigen, können im Internet einfach Dokumente von Schwarzfahrerinnen und Schwarzfahrern eingesehen und heruntergeladen werden. Für das Ausnutzen der Lücke sei kein Fachwissen nötig.
Wenn jemand so viele Informationen über eine Person hat, können Angriffe sehr gezielt geführt werden: "Wenn man sich vorstellt, dass solche Daten vielleicht in die Hände von Strafverfolgungsbehörden gelangen oder an den Arbeitgeber, dann ist das vielleicht auch nicht so gewollt", lässt sich IT-Experte Sven Fassbender, Berater für Informationssicherheit, im Bericht zitieren.
EDÖB sucht nach weiteren Mängeln
Das Schwarzfahrerregister wird von Postauto betrieben und soll dabei helfen, notorische Schwarzfahrer schneller zu identifizieren. Der Betreiber habe die Schwachstelle im Kundenportal nach dem Hinweis von "SRF Investigativ" behoben und die nicht geschützten Datensätze gelöscht, heisst es vonseiten Postauto gegenüber "SRF".
Der Eidgenössische Datenschutzbeauftragte (EDÖB) Adrian Lobsiger überprüft gemäss Bericht die Sicherheitslücke derzeit und will abklären, ob weitere Mängel bestehen. Er zeigt sich grundsätzlich besorgt, wie ein Zitat von Lobsiger im Bericht verdeutlicht: "Allgemein zeigt die steigende Anzahl von erfolgreichen Angriffen auf IT-Systeme, dass die Betreiber mehr Ressourcen für einen sicheren Betrieb aufbringen müssen. Gerade bei Systemen mit erhöhtem Risiko für die Betroffenen sollten regelmässige, externe Audits durchgeführt werden."
Der EDÖB eröffnete kürzlich eine weitere Untersuchung gegen eine Schweizer Institution. Das Organspende-Register "Swisstransplant" soll nämlich seinen Datenschutz stark vernachlässigt haben. Hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Salesforce Agentforce Tour macht Halt in Zürich
Bundesrat prüft KI-Einsatz bei der Polizei
Update: Ostschweizer Kantone und Liechtenstein partnern für KI in der Verwaltung
Der Bewerbungsbetrüger
Internationale Polizeiaktion nimmt Geldwäschereiplattform für Cyberkriminelle vom Netz
Infoguard erweitert Verwaltungsrat mit Cybersecurity-Fachmann
KI soll Fragen der Bevölkerung telefonisch beantworten - und versteht angeblich Mundart
Elca baut Angebot für souveräne Microsoft-Clouds aus
SpaceX übernimmt Programmier-KI Cursor
