Einem IT-Sicherheitsexperten ist es Anfang Januar gelungen, bei der Schweizer Allianz für den öffentlichen Verkehr »Swisspass« binnen weniger Tage rund eine Million Datensätze von ÖV-Passagieren automatisiert herunterzuladen. Die Daten liegen auf der zentralen Vertriebsplattform “NOVA”, die im Auftrag der Alliance SwissPass von den Schweizerischen Bundesbahnen SBB betrieben wird. Kundeninformationen über gekaufte Fahrkarten, teilweise auch über die Gültigkeitsdauer von Abos sowie Name, Vorname und Geburtsdatum waren offen einsehbar, Angaben zu Wohnort, Zahlungsmittel, Passwörtern oder E-Mail-Adressen allerdings nicht. Dennoch ließ sich mit den öffentlich zugänglichen Daten ein Bewegungsprofil erstellen. Der White-Hat-Hacker meldete die Schwachstelle dem Bahnkonzern, anonymisierte alle personenbezogenen Daten und löschte die von ihm heruntergeladenen Daten unwiderruflich. Laut Meldung der SBB und Alliance SwissPass sollen die Schwachstelle inzwischen geschlossen und die Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten sowie die beteiligten ÖV-Unternehmen informiert sein. Um die Ursache des Fehlers zu eruieren, wurde eine interne Untersuchung eingeleitet.
Den vollständigen Artikel finden Sie hier: