Heikler Bug im Online-Shop der Elbphilharmonie: Gekaufte Tickets öffentlich abrufbar
Aufgrund einer Schwachstelle konnte im Grunde jedermann auf bereits gekaufte Tickets zugreifen und diese einfach herunterladen. Die Elbphilharmonie prĂĽft derzeit, ob und wie oft das passiert ist.
(Bild: Screenshot)
Tickets für die Elbphilharmonie sind heiß begehrt – in Online-Auktionshäusern werden sie durchaus für bis zu Tausend Euro gehandelt. Umso prekärer ist es, dass man sich offensichtlich mehrere Monate lang Tickets ohne zu bezahlen herunterladen konnte. Das Konzerthaus feiert am 11. Januar die Eröffnung.
Ein Leser wies heise Security darauf hin, dass man auf fremde, im Online-Shop der Elbphilharmonie gekaufte Tickets zugreifen konnte. Die zum Selbstausdrucken hinterlegten PDF-Dateien waren dabei völlig ungeschützt.
Zugriff auf bezahlte Tickets
Für den Zugriff benötigte man nur einen Shop-Account und musste eingeloggt sein. Durch Manipulieren einer URL war es möglich, durch die verschiedenen Bestellungen zu schalten – offensichtlich konnte man bereits gekaufte Online-Tickets auf diesem Weg auch herunterladen.
Ein Sprecher der Elbphilharmonie bestätigte den möglichen Missbrauch gegenüber heise Security und räumte ein, dass ein Betrüger Tickets hätte herunterladen können, die mit einem anderen Konto gekauft wurden. Die Techniker der Elbphilharmonie reagierten jedoch sehr schnell auf unseren Hinweis: Seit dem vergangenen Wochenende ist die Schwachstelle geschlossen, wie ein kurzer Test von heise Security zeigte.
Fehler im Blick
Eigenen Angaben zufolge hatte die Elbphilharmonie dieses Missbrauchsszenario bei der Einführung des Shops im Blick. Der Bug habe sich während eines Shop-Updates im November vergangenen Jahres eingeschlichen, erläuterte der Sprecher.
Derzeit wertet man aus, "inwieweit es zu verdächtigen Ticketdownloads gekommen ist", führt der Sprecher aus. Ist das der Fall, will die Elbphilharmonie weitere Maßnahmen ergreifen. Allgemein raten sie dringend davon ab, "Karten auf dem Grau- oder Schwarzmarkt zu erstehen".
Elbphilharmonie: PDF-Tickets betroffen
Wer etwa an einer Vorverkaufsstelle ein Papp-Ticket gekauft hat, sollte keine Probleme beim Eintritt bekommen. PDF-Ticktes lassen sich hingegen beliebig oft ausdrucken. Sie sind zudem nicht mit persönlichen Informationen gekennzeichnet und der Barcode ist nur einmal für den Einlass gültig. Käufer von ausgedruckten Tickets sind gut beraten, für den Bedarfsfall beim Eintritt ihre Buchungsbestätigung griffbereit zu haben.
[UPDATE, 10.01.2017 12:15 Uhr]
Formulierung der Angaben der Elbphilharmonie zum Missbrauchsszenario klarer formuliert. (des)
