Was kommt nach 12282? Richtig: Sehr viele Daten!
Ich habe zwei Firmen gefunden, die beide von derselben “Schwachstelle” betroffen waren:
Der Mensch und sein Verlangen, eine fortlaufende Nummer zu verwenden, obwohl fortlaufende Nummern nicht verwendet werden sollten.
Also nach 1 kommt 2, dann 3, 4, 5, … und so weiter. Durch so eine fehlerhafte Implementierung konnte man theoretisch hunderte, vielleicht sogar tausende von personenbezogene Daten von Fahrrad Wien illegal abgreifen. Aber was ist überhaupt passiert?
Disclaimer:
@everyone: Nicht zuhause nachmachen, alles von Profis (mir) gemacht. 👷♂️
# Von Anfang an ⏮️Fahrrad Wien hat die Lücke nach Meldung umgehend geschlossen ✅
Im November 2022 beginnt unsere Geschichte: Ich möchte mir ein Grätzlrad in Wien ausborgen.
Das ist so ein Grätzlrad. Sind echt cool zum Ausleihen (und sogar gratis!) 🚴🚴🚴
Ein Rad zu reservieren geht über das Online-Portal relativ leicht und schnell. Danach erhält man eine Bestätigungsmail in der u.a. nochmal drinnen steht, wo und wann man sich das Rad abholen kann.
Aber warte, was ist denn das für ein Link in der Bestätigungsmail? 🧐
Nett 😄 Drückt man auf den Link, wird ein Download gestartet. Man lädt dann eine iCal-Datei1 runter, welche, wenn man sie am Handy öffnet, direkt in deiner Kalender-App geöffnet wird.
Aber warte mal, warum steht denn da mein Name!? 😳😳😳
Dann hab ich die Datei im TextEditor meines Vertrauens geöffnet (Vim 🙏) und mir das genau angeschaut:
BEGIN:VCALENDAR
VERSION:2.0
PRODID:-//hacksw/handcal//NONSGML v1.0//EN
METHOD:PUBLISH
CALSCALE:GREGORIAN
X-WR-TIMEZONE:Europe/Vienna
BEGIN:VEVENT
SUMMARY:Grätzlrad Währing: Leander Götz 👈 😳🤨
DTSTART:20221104T140000
DTEND:20221104T170000
DESCRIPTION:Grätzlrad Währing: Leander Götz
DTSTAMP:20230220T173616
UID:63f3af90137eb
END:VEVENT
END:VCALENDAR
Oh no, Datenleck incoming 😨
Die Schwachstelle #
Also anscheined dachte sich jemand bei Fahrrad Wien bzw. der angeheuerten Firma für diesen Auftrag, dass es eine gute Idee ist, wenn der ganze Name indem Kalender-Event steht, weil man ja selber nicht weiß, wie man heißt, i guess???2
Und jetzt muss man sich nur kurz den oben genannten Link anschauen:
Das einzige, was mein personalisiertes Kalender-Event von jedem anderen Kalender-Event unterscheidet ist…
Eine 5-stellige Zahl am Ende des Links (12282)
(Keine Pointe) 😔
Ich kann also munter auf die Kalender-Events für 12281 (-1) oder 12283 (+1) kommen, indem ich einfach den Link verändere. Und da der Name der Personen in der Datei selbst angegeben ist, kann ich jetzt super alle Daten aller Grätzlrad-Nutzer*innen der letzten Jahre abgrasen! 😟
🤓 ☝️ Die haben aber sicher einen Schutz, dass man nicht 1000 Anfragen schicken kann, das würde denen sicher auffallen!
No, they don’t 😦
Habe es getestet, indem ich in sehr unmenschlichem Tempo einige hundert Einträge rauf und runter angefragt habe:
Ich wurde kein einziges Mal geblockt 😔
Meldung des Problems #
Auf jeden Fall hab ich das ganze dann versucht, zu dokumentieren und zu melden. Über die Weihnachtstage habe ich kurz darauf vergessen, aber im März war ich dann soweit, einen fertigen Bericht an die Mobilitätsagentur (Mama von Fahrrad Wien) zu schicken.
Noch am selben Tag wurde das Kalender Feature ausgestellt 😄
Von einer Beschwerde bei der Datenschutzbehörde habe ich abgesehen. Dafür fehlt mir die Energie/ die Ressourcen und ich mag die Leute von der Mobilitätsagentur eigentlich gerne 😘
@Fahrrad Wien/ Mobilitätsagentur: Folgt mir mal auf Twitter!