Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 01/2017
  4. Heikler Bug im Online-Shop der Elbphilharmonie: Gekaufte Tickets…

Heikler Bug im Online-Shop der Elbphilharmonie: Gekaufte Tickets öffentlich abrufbar Update

10.01.2017 11:00 Uhr Dennis Schirrmacher
vorlesen
Heikler Bug im Online-Shop der Elbphilharmonie: Gekaufte Tickets öffentlich abrufbar

(Bild: Screenshot )

Aufgrund einer Schwachstelle konnte im Grunde jedermann auf bereits gekaufte Tickets zugreifen und diese einfach herunterladen. Die Elbphilharmonie prüft derzeit, ob und wie oft das passiert ist.

Tickets für die Elbphilharmonie sind heiß begehrt – in Online-Auktionshäusern werden sie durchaus für bis zu Tausend Euro gehandelt. Umso prekärer ist es, dass man sich offensichtlich mehrere Monate lang Tickets ohne zu bezahlen herunterladen konnte. Das Konzerthaus feiert am 11. Januar die Eröffnung.

Ein Leser wies heise Security darauf hin, dass man auf fremde, im Online-Shop der Elbphilharmonie gekaufte Tickets zugreifen konnte. Die zum Selbstausdrucken hinterlegten PDF-Dateien waren dabei völlig ungeschützt.

Anzeige

Zugriff auf bezahlte Tickets

Für den Zugriff benötigte man nur einen Shop-Account und musste eingeloggt sein. Durch Manipulieren einer URL war es möglich, durch die verschiedenen Bestellungen zu schalten – offensichtlich konnte man bereits gekaufte Online-Tickets auf diesem Weg auch herunterladen.

Ein Sprecher der Elbphilharmonie bestätigte den möglichen Missbrauch gegenüber heise Security und räumte ein, dass ein Betrüger Tickets hätte herunterladen können, die mit einem anderen Konto gekauft wurden. Die Techniker der Elbphilharmonie reagierten jedoch sehr schnell auf unseren Hinweis: Seit dem vergangenen Wochenende ist die Schwachstelle geschlossen, wie ein kurzer Test von heise Security zeigte.

Fehler im Blick

Eigenen Angaben zufolge hatte die Elbphilharmonie dieses Missbrauchsszenario bei der Einführung des Shops im Blick. Der Bug habe sich während eines Shop-Updates im November vergangenen Jahres eingeschlichen, erläuterte der Sprecher.

Derzeit wertet man aus, "inwieweit es zu verdächtigen Ticketdownloads gekommen ist", führt der Sprecher aus. Ist das der Fall, will die Elbphilharmonie weitere Maßnahmen ergreifen. Allgemein raten sie dringend davon ab, "Karten auf dem Grau- oder Schwarzmarkt zu erstehen".

Elbphilharmonie: PDF-Tickets betroffen

Wer etwa an einer Vorverkaufsstelle ein Papp-Ticket gekauft hat, sollte keine Probleme beim Eintritt bekommen. PDF-Ticktes lassen sich hingegen beliebig oft ausdrucken. Sie sind zudem nicht mit persönlichen Informationen gekennzeichnet und der Barcode ist nur einmal für den Einlass gültig. Käufer von ausgedruckten Tickets sind gut beraten, für den Bedarfsfall beim Eintritt ihre Buchungsbestätigung griffbereit zu haben.

[UPDATE, 10.01.2017 12:15 Uhr]

Formulierung der Angaben der Elbphilharmonie zum Missbrauchsszenario klarer formuliert. (des)

Kommentare lesen (152 Beiträge)

Forum zum Thema: Diverses

https://heise.de/-3592212 Drucken
Mehr zum Thema:
Bug eCommerce
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

MikroTik RouterOS

Drupal

Drupal (CKEditor)

Anzeige
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • Special: DSGVO Ratgeber
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Ernst gemeinte Frage
    mod_x schrieb am 25.04.2018 15:13: Ja, so kann man das auch sagen. Dumpfbacken eben.

    Forum:  Angriffe auf Drupal-Webseiten: Erneut äußerst wichtige Sicherheitsupdates im Anflug

    Linuxprogrammierer hat keinen Avatar
    von Linuxprogrammierer; vor 3 Stunden
  2. Re: Einer meiner Freunde ist reingefallen...
    brischt schrieb am 25.04.2018 00:07: Ich hatte auch mal so welche am Apparat. Aber geschult wirkten die überhaupt nicht. Zweimal hab ich denen…

    Forum:  Fake-Support per Telefon: Microsoft meldet Zunahme von Betrugsfällen

    the_real_cyberpatrol hat keinen Avatar
    von the_real_cyberpatrol; vor 5 Stunden
  3. Re: Liebe Microsofties: Sicherheitslücken sind in jeder supporteten Version zu f
    Idealerweise werden alle betroffenen Windows-Versionen zur gleichen Zeit mit Updates versorgt. Kann mich erinnern, dass selbst Windows XP und…

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    rough customer hat keinen Avatar
    von rough customer; vor 6 Stunden
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2120388
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien