Freundschaftspass

Hacker wissen, wie man ausverkaufte Tickets kauft

Überlastete Server und ein großer Andrang: Vor einer Woche hatte das kostenlose Monatsticket für junge Menschen für reichlich Ärger gesorgt. Recherchen zeigen nun weitere Pannen bei der Vergabe des deutsch-französischen Freundschaftspasses.

Französische Hochgeschwindigkeitszüge TGV stehen in der Nähe des Bahnhofs Gare de Lyon.

© dpa/Thomas Coex

Französische Hochgeschwindigkeitszüge TGV stehen in der Nähe des Bahnhofs Gare de Lyon.

Von Erdem Gökalp

Bei der Aufarbeitung der problembehafteten Vergabe des deutsch-französischen Freundschaftspasses sind am Montag weitere Pannen bekannt geworden. Das Recherchekollektiv „Zerforschung“ hat seine Erkenntnisse vorgestellt. Es hatte einen Hinweis bekommen und daraufhin eine digitale Hintertür auf der Homepage entdeckt: Man konnte ein Ticket erwerben, obwohl diese nach wenigen Minuten schon ausverkauft waren.

5,9 Millionen Seitenaufrufe

Der Ablauf der Vergabe von insgesamt 60 000 kostenlosen Monatstickets für junge Menschen in Frankreich und Deutschland hatte in der vergangenen Woche bereits für Spott und Ärger gesorgt, nachdem die Online-Plattform nach nur wenigen Minuten abgestürzt war. Das Bundesverkehrsministerium teilte auf Nachfrage mit, dass zur Eröffnung der Registrierung am Montag, den 12. Juni, um 10 Uhr, innerhalb weniger Minuten 5,9 Millionen Seitenaufrufe verzeichnet worden seien. „Das Kontingent für Deutschland in Höhe von 30 000 Pässen war innerhalb von nur 30 Minuten ausgeschöpft“, so ein Sprecher. Wer zuerst kam und schnell genug war, hatte die Möglichkeit an einen sogenannten Freundschaftspass ranzukommen.

Das Recherchekollektiv gibt nun an, zum einen auf eine Sicherheitslücke gestoßen zu sein und zum anderen auf der Homepage einen Weg gefunden zu haben, an ein Ticket zu kommen – auch wenn man zu langsam gewesen war. Demnach konnte man durch wenige Handgriffe, die für IT-Spezialisten einfach sein dürften, das Buchungsformular für den Pass noch abschicken, als schon alle Tickets ausverkauft waren. Mit einem einfachen Kommando konnte man selbst einen Code generieren, der einem half, den Bestellvorgang abzuschließen. „Das Ganze ist also in etwa so, als hätte man eine Truhe voller Gold – und hängt an die Vordertür ein Schild: ,Alles Gold ist bereits verteilt’. Die Hintertür bleibt aber sperrangelweit offen“, heißt es von den Experten.

Hintertür bleibt lange offen

Zudem hätte man über eine Fehlerseite, die den Nutzern angezeigt wird, wenn man über die „Passwort vergessen”-Funktion ein neues Passwort angefordert hat, mit Leichtigkeit ein Betrugssystem oder eine Phishing-Anwendung einbauen können. Die Person, die den Fehler gefunden habe, seit jedoch zum Glück ehrlich gewesen, habe den Fehler gemeldet und diesen nicht ausgenutzt, schreibt das Kollektiv auf der Homepage. Das Kollektiv betonte zudem, dass sie die Lücke nicht selbst ausgenutzt, sondern in mehreren Anläufen den Verantwortlichen gemeldet hätte. Die Lücke sei inzwischen geschlossen. So bestätigt es auch das Verkehrsministerium.

Das Verkehrsministerium wertet das Projekt gerade wegen der großen Nachfrage als Erfolg. Kritiker sehen die Pannen als ein Anzeichen für mangelnde Digitalisierung im Land. Zudem verweist das Ministerium bei dem fehlerhaften Ablauf der Vergabe der Tickets auf Eurail. Dabei handelt es sich um ein Partnerunternehmen von Europas Bahnen für Interrail-Tickets. Ohne auf spezifische Fragen einzugehen, sagt eine Sprecherin von Eurail auf Nachfrage lediglich, dass 30 000 Pässe den deutschen Bewerbern zur Verfügung gestellt werden konnten.  

Das Recherchekollektiv „Zerforschung“ hat in der Vergangenheit mehrfach auf Sicherheitslücken auf Online-Plattformen hingewiesen – etwa auf Plattformen von Anbietern von Corona-Schnelltests oder auf der Plattform des Berliner Start-up Gorillas. Das Kollektiv ist ein loser Verbund von IT-Experten.

Zum Artikel

Erstellt:
19. Juni 2023, 16:40 Uhr
Aktualisiert:
19. Juni 2023, 16:58 Uhr

Artikel empfehlen

Artikel Aktionen

Lesen Sie jetzt!