Der Hinweis erreicht «Kassensturz» im April. Das gemeinsame Onlineticketing-System mehrerer Kinos in Zürich und Luzern habe eine gravierende Sicherheitslücke: Kundendaten könnten heruntergeladen und sogar gelöscht werden, schreibt die anonyme Person, die laut eigenen Angaben im IT-Sicherheitsbereich arbeitet. Die Lücke gefunden hätten sie zu zweit, an einem Feierabend.
Kurz darauf kommt es zum ersten vertraulichen Treffen zwischen dem Hinweisgeber, einem IT-Sicherheitsexperten und dem «Kassensturz»-Redaktor, der den Beweis sehen wollte, dass der Hinweisgeber tatsächlich auf Kundendaten Zugriff hat.
Wir hätten Passwörter zurücksetzen und Konten löschen können.
Zur Überraschung des Redaktors wird ihm sein eigener Account, Name, Vorname, die E-Mail-Adresse und weitere dutzende Daten von Besuchern und Besucherinnen der Zürcher Kinos Riffraff, Houdini, der fünf Arthouse Kinos sowie des Bourbaki in Luzern gezeigt.
Zugriff auf Guthaben von Kinokarten
In vielen Fällen sind die genauen Daten der einzelnen Kinobesuche mit Film, Datum, Uhrzeit und Sitzplatznummer einsehbar. «Wir waren sehr überrascht, dass wir innerhalb von 90 Minuten die Lücke gefunden haben. Wir testeten dann, wie der Server reagiert, wenn wir Anfragen an ihn richten. Das Resultat war, dass der Server auf alle Fragen antwortete. Wir hätten Passwörter zurücksetzen und Konten löschen können.» Laut der Quelle hätten sie Zugriff auf alle Kundendaten, «es geht hier um Tausende von Daten».
Auch auf die Guthaben von Kinokarten haben die Hacker Zugriff, wie ein Test mit der Kinokarte des Kassensturz-Redaktors zeigt: Sie konnten ohne Weiteres Tickets mit dessen Guthaben kaufen.
Auf die Online-Ticket-Seite wurden die IT-Experten aufmerksam, weil sie den Anschein erweckte, nicht auf dem neusten Stand zu sein. Die Sicherheitslücke ist gravierend, bestätigt der renommierte IT-Sicherheitsexperte Marc Ruef: «Diese Kundendaten haben einen Wert und können gehandelt werden. Es gibt Leute, die sie kaufen wollen. Ein klassisches Ziel ist, dass man ein sehr spezifisches Phishing macht: dass man die Leute per E-Mail sehr personalisiert anschreibt und dann zum Beispiel fragen kann, ob sie Passwörter oder Zahlungsinformationen herausgeben.»
Für uns ist klar, dass diese Sicherheitslücke gemeldet werden muss.
Die zwei IT-Experten, die die Sicherheitslücke entdeckten, wandten sich nicht an die Neugass Kino AG, die die Ticketseite betreibt, sondern an den «Kassensturz»: «Für uns ist klar, dass diese Sicherheitslücke gemeldet werden muss. Allerdings kommt es immer wieder vor, dass die betroffenen Firmen mit Anzeige drohen. Deshalb haben wir uns entschieden, uns an den ‹Kassensturz› zu wenden, um einen gewissen Schutz zu haben.»
Laut dem Nationalen Zentrum für Cybersicherheit ist die goldene Regel, den Anbieter oder den Systemeigner direkt über die Schwachstelle zu informieren. Die Entdeckung und Meldung von Schwachstellen kann jedoch zivil- und strafrechtliche Folgen haben.
Konfrontiert mit der Sicherheitslücke, antwortet der Geschäftsführer der Neugass Kino AG, Res Kessler, dass er über den Hinweis der anonymen IT-Sicherheitsexperten dankbar sei. Allerdings hätte sich die Neugass Kino AG gewünscht, dass sich die Hinweisgeber, «wie in der Branche üblich, direkt an uns gewandt hätte, statt den Umweg über die Medien zu nehmen». Die Sicherheitslücke konnte laut Res Kessler «innert Stundenfrist geschlossen werden und kann nicht wieder auftreten».
