Sicherheitslücke auf der Website der Bahn

Juli 7th, 2011, 08:31

Im so furchtbar komplizierte Begriffe wie "Cross-Site-Scripting" und so nen Krams zu vermeiden, erzähle ich euch den Sachverhalt auf Deutsch. Dafür gehen natürlich ein paar Feinheiten verloren, die ihr vielleicht bei Netzpolitik nachlesen könnt wenn ihr wollt.

Die Website www.die-bahn.de (und alle ähnlichen Bahn-Websites) hat zur Zeit ein scheunentorgroßes Loch, das es erlaubt, Anmeldedaten der User zu "klauen" und damit wer-weiß-was anzustellen. Das ist eine Riesenscheiße. Entdeckt wurde das Ganze von Manuel Blechschmidt, der - nett wie er ist - die Bahn schon am 29.6. darauf aufmerksam gemacht hat.

Passiert ist: nix. Das zeigt, wie groß das Interesse der Bahn an ihren Kunden ist. Naja. Wenn es sich vermeiden lässt, meldet euch also besser nicht an der Bahn-Website an sondern kauft die Tickets lieber am Automaten oder am Schalter. Sobald ich davon erfahre, dass die Sicherheitslücke gestopft ist, werde ich euch davon in Kenntnis setzen.

Es folgt die Mail von Manuel:

(mehr …)