Sicherheitsloch bei muenchenticket.de
Die Webseite der virtuellen Vorverkaufsstelle wies eine kritische Sicherheitslücke auf, wodurch Kundenkonten sowie mehrere tausend Kreditkarteninformationen offen im Netz standen.
Durch eine Sicherheitslücke auf der Webseite des Münchener Theater-Vorverkaufs (München Ticket, MT) standen Kundenkonten sowie mehrere tausend Kreditkarteninformationen offen im Netz. Das Sicherheitsloch entstand nach Angaben der Betreiber durch ein fehlerhaftes Servlet. Dadurch war über den Aufruf einer relativ einfach zu erratenden URL das Administrations-Interface für die Datenbank zugänglich. Über dieses Interface konnten die Datensätze aller Kunden von MT eingesehen, geändert oder gelöscht werden. Zudem war es möglich, alle über die virtuelle Vorverkaufsstelle abgewickelten Kreditkartentransaktionen samt Name, Kreditkartennummer und Ablaufdatum einzusehen.
Nachdem c’t die Betreiber über die Lücke informiert hat, reagierte MT schnell. Nur wenige Minuten später waren die entsprechenden Seiten nicht mehr erreichbar. Nach Angaben der Verantwortlichen seien nur von sehr wenigen Rechnern aus Zugriffe auf die Seite erfolgt. Die Inhaber dieser IP-Adressen seien kontaktiert worden und es bestünde keine Gefahr, dass die Kreditkarteninformationen missbraucht werden.
Benutzer, die mit Kreditkarte bei MT bezahlt haben, sollten dennoch vorsichtshalber einen genaueren Blick auf ihre Kreditkarten-Abrechnungen werfen, um eventuell falsche Buchungen gleich beanstanden zu können. (pab)
