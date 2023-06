Eine Woche, nachdem das Online-Antragsformular für den kostenlosen deutsch-französischen Freundschaftspass unter der Last des Interesses zusammengebrochen ist, hat das IT-Kollektiv Zerforschung publik gemacht, dass es auf der Seite auch eine Sicherheitslücke gegeben hat. Über die habe man sich beliebig gültige Tickets ausstellen lassen können, auch wenn man das nötige Prozedere nicht durchlaufen hat und sogar dann noch, als alle 30.000 Tickets eigentlich bereits weg waren. Dazu habe man dem System über die API lediglich vorgaukeln müssen, dass eine Anmeldung in dem System stattgefunden hat, bevor das letzte Ticket vergeben war. Gegen einen Namen und eine gültige E-Mail-Adresse gab es später noch ein gültiges Ticket, fasst Zerforschung zusammen – theoretisch hätte man so unendlich viele ziehen können.

Viel Kritik an Prozedere

Das kostenlose Bahnticket sollte den deutsch-französischen Austausch verstärken. Personen zwischen 18 und 27 Jahren konnten sich vergangenen Montag theoretisch für Fahrten ins Nachbarland und im Nachbarland bewerben. Praktisch war es aber für die meisten unmöglich, eines der 30.000 Tickets zu ergattern – unter dem immensen Interesse war die Infrastruktur zusammengebrochen. Zu sehen bekamen sie lediglich Seiten-Ladefehler. An dem Bewerbungsprozess first-come, first-serve gab es viel Kritik, fairer wäre etwa ein Losverfahren gewesen. Das meint auch Zerforschung, die ihre Beschäftigung mit der zugrundeliegenden Technik in einem Blogeintrag zusammenfassen.

Aus dem Text geht hervor, dass die Lücke am Dienstag – also lange nach Ende der Antragsphase – entdeckt wurde. In der Nacht zum Mittwoch wurde sie demnach an verschiedene Stellen gemeldet, noch bevor per E-Mail die so ergatterten Tickets eingetrudelt waren. Eine behelfsmäßige Abdichtung der Lücke hat demnach nichts geholfen, noch am Donnerstag seien die Freundschaftspässe weiter registrierbar gewesen. Erst am Donnerstagabend war die Lücke demnach komplett geschlossen. Währenddessen habe man aber eine weitere Sicherheitslücke beim verantwortlichen Anbieter entdeckt. Darüber waren demnach 245.000 personenbezogene Daten aus dem Interrail-Programm DiscoverEU "quasi offen im Internet" und "mit wenig Aufwand und Vorwissen abrufbar".

Die Technik für die Verteilung des Freundschaftspasses stammte demnach von der belgischen Marketingagentur MCI Brussels. Die hat gegenüber Zeit Online nicht nur versichert, dass beide Lücken bis Freitag geschlossen wurden. Obendrein werde man sicherstellen, dass über die Lücke in der Infrastruktur missbräuchlich bestellte Tickets identifiziert werden. Ob das möglich ist, sei aber fraglich. Bei Zerforschung konnte man demnach mit Bestätigungscode noch am Sonntag ein gültiges Ticket einlösen. Das IT-Kollektiv hat sein Vorgehen in deutscher und englischer Sprache zusammengefasst.

(mho)