Schwere Sicherheitslücke in Kinoticket-Plattform bedroht Kundendaten
Eine gravierende Sicherheitslücke hat im April Kundendaten einer Onlineplattform für Kinotickets zugänglich gemacht. Namen, Mailadressen sowie Daten zu Kinobesuchen waren einsehbar. Die Lücke ist inzwischen geschlossen.
Im gemeinsamen Online-Ticketingsystem mehrerer Kinos in Zürich und Luzern ist im Frühjahr eine gravierende Sicherheitslücke offen gestanden. Das SRF-Magazin "Kassensturz" habe im April entsprechende Hinweise von einer Person erhalten, die im IT-Sicherheitsteam arbeitet und auf die Lücke gestossen war, heisst es in einem Bericht. Durch die Schwachstelle könnten Kundendaten heruntergeladen und sogar gelöscht werden, gab die anonyme Quelle damals gegenüber dem Magazin an.
Die Lücke gewähre Zugriff auf Accounts, Vor- und Nachnamen sowie E-Mailadressen zahlreicher Nutzerinnen und Nutzer, heisst es weiter - auch auf die des kontaktierten "Kassensturz"-Redaktors. In einzelnen Fällen seien sogar Daten der einzelnen Kinobesuche mit Film, Datum, Uhrzeit und Sitzplatznummer einsehbar gewesen. Laut Kassensturz handelt es sich um Daten von Besuchern und Besucherinnen der Zürcher Kinos Riffraff, Houdini, der fünf Arthouse-Kinos sowie des Bourbaki in Luzern.
"Tausende von Daten"
"Wir waren sehr überrascht, dass wir innerhalb von 90 Minuten die Lücke gefunden haben. Wir testeten dann, wie der Server reagiert, wenn wir Anfragen an ihn richten", wird die anonyme Quelle zitiert. "Das Resultat war, dass der Server auf alle Fragen antwortete. Wir hätten Passwörter zurücksetzen und Konten löschen können." Es handle sich um "Tausende von Daten".
"Diese Kundendaten haben einen Wert und können gehandelt werden. Es gibt Leute, die sie kaufen wollen", wird der IT-Sicherheitsexperte Marc Ruef zitiert. Die gestohlenen Mailadressen könnten beispielsweise für Phishing eingesetzt werden.
Ein Test mit der Guthaben-Karte des Redaktors habe gezeigt, dass die Hacker auch auf diese Zugriff hatten und mit dem vorhandenen Guthaben Tickets kaufen konnten. Die anonyme Quelle und eine weitere Person seien auf die Ticketing-Seite aufmerksam geworden, nachdem diese den Anschein gemacht habe, nicht auf dem neuesten Stand zu sein.
Aus Angst vor einer Anzeige durch die betroffenen Unternehmen hätten sich die beiden IT-Angestellten zunächst an "Kassensturz" gewandt, anstatt die Schwachstelle zu melden. Res Kessler, Geschäftsführer der Neugass Kino AG, sagte gegenüber dem Magazin, er sei über den Hinweis der beiden Angestellten dankbar. Die Sicherheitslücke sei innert Stundenfrist geschlossen worden.
Übrigens: Ein anderes Kino-Unternehmen, die Kette Pathé, ist eine von vielen Firmen und Institutionen, deren Daten vom Ransomware-Angriff auf Unico betroffen sind. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Weko büsst Swisscom mit 18 Millionen Franken
Übergross, auf Rollen oder mit Ambilight - die TV-Highlights aus Oerlikon
Wie das Paul Scherrer Institut alte Musikaufnahmen rettet
Electrolux verliert CEO
Delegiertenversammlung des EIT.swiss genehmigt Bildungserlasse
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
PPDS bringt Disney+, Netflix und Co. ins Hotelzimmer
7Artisans lanciert Tilt-Shift-Objektiv für APS-C- und MFT-Kameras
Wieso man nicht ziellos herumirren sollte beim Telefonieren
