Weiteres Datenleck bei Ruf-Jugendreisen

Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.

Hatte man eine gültige ID, so genügte es, die ID um 13 zu erhöhen oder zu erniedrigen, um auf weitere Reservierungen von urlaubswilligen Jugendlichen zuzugreifen. Diese enthielten neben Namen, Anschrift, Telefonnummer, Mail-Adresse, gebuchtem Reiseziel, Dauer und Unterkunft auch Angaben über Sonderwünsche – etwa wer mit wem auf einem Zimmer zusammenwohnen will. Prinzipiell hätte man auf diese Weise die Daten mehrerer tausender Jugendlicher sammeln können. Bereits Anfang der Woche hatten Sicherheitsexperten bei der Online-Community von Ruf-Jugendreisen ein Datenleck entdeckt, über das personenbezogene Details von etwa 50.000 Benutzerkonten offen zugänglich waren.

Laut Ruf-Vertriebsleiter Dirk Föste sollten die abrufbaren Reservierungen dem Besucher temporär die Möglichkeit geben, seine Reservierung daheim auszudrucken. "Die angehängten IDs wurden nach einem Muster erstellt, das unserer Auffassung nach eine zufällige Ermittlung sehr stark erschwerte, wenn nicht unmöglich machte. Dies erschien uns, beziehungsweise unserem Dienstleister, zum damaligen Zeitpunkt hinreichend sicher zu sein", meinte Föste in einer Stellungnahme gegenüber heise Security.

Diese Auffassung vertrete man nun nicht mehr. "Der Zugang wurde unmittelbar nach Ihrem Hinweis geschlossen, und wir werden schnellstmöglich ein neues Verfahren etablieren." versicherte Föste. Aktuell lassen sich über die URLs auch keine Reservierungsbelege mehr abrufen. Wie bereits bei den Schwachstellen in der Ruf-Community betont Föste, dass man der Sicherheit der Kundendaten höchste Priorität einräume. Es seien in der Vergangenheit Fehler gemacht worden, für die man sich vor allem bei seinen Kunden entschuldige. Zudem werden man den gesamten Webauftritt möglichst schnell von einem unabhängigen Sicherheitsexperten untersuchen lassen.

Siehe dazu auch:

• Persönliche Daten zehntausender Jugendlicher auslesbar

(dab)