Betroffen ist die zentrale Vertriebsplattform Nova (Netzweite ÖV-Anbindung) des öffentlichen Verkehrs. Sie wird von der SBB im Auftrag der Alliance Swisspass betrieben.

Hinweis von aussen

Auf das Leck aufmerksam gemacht wurden die SBB und Alliance Swisspass von einem externen IT-Spezialisten. Diesem sei es gelungen, im Januar in wenigen Tagen rund eine Million Datensätze abzufragen. Das entspricht laut Communiqué 0,2 Prozent aller Datensätze. Der Mann habe die Datensätze "unwiderruflich" gelöscht.

Partner-Inhalte
 
 
 
 
 
 

Die geleakten Datensätze enthielten Informationen über gekaufte Billetts und/oder die Gültigkeitsdauer von Abonnements, wie es im Communiqué hiess. Rund die Hälfte der Datensätze war ausschliesslich verknüpft mit Namen, Vornamen und Geburtsdatum von Kunden. Keine Angaben flossen zu Wohnort, Zahlungsmitteln, Passwörtern und Mail-Adressen ab. Die andere Hälfte der Datensätze enthielt unpersönliche Angaben zu an Automaten gekauften Billetts.

SBB und Alliance Swisspass baten in der Mitteilung die Kundschaft um Entschuldigung. Die Schwachstelle sei entstanden, weil zunächst die Sicherheit für die Abo-Erneuerung über die Plattform erhöht worden sei, schrieben sie.

Weil danach aber Kunden mehrerer öV-Unternehmen ihre Abonnements nicht mehr auf "einfache Art und Weise" hätten erneuern können, hätten die SBB im Dezember den Zugang zum alten Mechanismus wieder ermöglicht. Ein Fehler: Denn damit sei die Schwachstelle entstanden.

Datenschützer informiert

Dank der Meldung des externen Experten habe die Schwachstelle geschlossen werden können, heisst es in der Mitteilung. Es könnten nun keine Daten mehr unbefugt abgefragt werden.

Die SBB als Betreiberin der Plattform infomierten den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und die beteiligten öV-Unternehmen. Um die Ursache des Fehlers zu finden, wurde eine interne Untersuchung eingeleitet.