SSB AG – Sicherheitslücke beim Fahrkartenkauf über´s Handy

geschrieben von Till Spurny am 03.07.2014

SSB AG – Sicherheitslücke beim Fahrkartenkauf über´s Handy
Stuttgarter Straßenbahnen AG nachlässig bei Zahlungssicherheit in der SSB-App

Berlin, 3.7.2014: Unter der Bezeichung „FahrInfo Stuttgart“ bietet die SSB AG eine App für Android-Handys und iPhones an, mit der man die Fahrpläne der Stuttgarter S-Bahnen jederzeit von unterwegs aus einsehen kann. Dass man die Bezahlfunktion der App mit relativ einfachen Mitteln austricksen kann, hat das Berliner Reiseunternehmen Rujia Travel Service GmbH nun am eigenen Leibe erfahren.

„Uns sind diese Abbuchungen im Auftrag der Stuttgarter Straßenbahnen AG auf unserem Konto sofort komisch vorgekommen“, berichtet Geschäftsführerin Frau Qu. Bei genauerem Hinsehen habe sich gezeigt, dass die Abbuchungen der Firma Logpay Financial Services GmbH, die den Zahlungsverkehr für Online-Buchungen der SSB AG abwickelt, auf tatsächliche Buchungen über die SSB-App zurückzuführen waren.

Doch wie kann man in der SSB-App falsche Kontoinformationen hinterlegen und damit erfolgreich Tickets bezahlen? Das wollte man bei Rujia nun genau wissen. Das Berliner Unternehmen betreibt schließlich selbst eine Online-Flugbuchungsseite, auf der man unter flug-und-visum.de günstige Flüge nach China und Asien bekommen kann.

Beim Testen der SSB-App wurde die Sicherheitslücke schließlich gefunden. Die App biete ein Einfallstor für Trickbetrüger, die nicht davor zurückschreckten, S-Bahn-Tickets in Stuttgart auf Kosten Dritter zu buchen. Wenn der Anmelder der App bei einer Neu-Installation den Namen des Kontoinhabers als Anmeldenamen angiebt, so kann er spielend leicht ein Sepa-Lastschriftmandat einrichten. Dieser Abbuchungsauftrag kann durch ein einfachen Häkchen in einem Kontrollkästchen autorisiert werden, auch wenn es sich um ein fremdes Bankkonto handelt.

Besonders überrascht war man bei Rujia von der Tatsache, dass man beim Einrichten des Bankeinzugs in der App lediglich durch das Setzen eines Häkchens erklären konnte, dass man auf die schriftliche Bstätigung verzichte. Der Nutzer könne ganz einfach den folgenen Text in der SSB-App bestätigen: „Ich verzichte hiermit auf die Erteilung eines schriftlichen SEPA-Mandates“ – Nicht schriftlich heißt offensichtlich in den Augen der App-Programmierer: ein Klick tut´s auch.

Damit gewährt die SSB einem Nutzer mit betrügerischer Absicht die Möglichkeit, in der App zu erlklären, dass er auf die Freigabe des Abbuchungsauftrages durch die Unterschrift des Kontoinhabers verzichte. „Das ist völlig absurd, insbesondere wenn man weiß, mit welchem Aufwand die neuen Sepa-Lastschriftmandate im normalen Geschäftsverkehr autorisiert werden müssen“, gibt Herr Spurny zu bedenken, der die Online-Buchungen von flug-und-visum.de betreut.

Dass man derart leicht Opfer einer Sicherheitslücke der SSB-App geworden ist, habe man nicht erwarten können. Dennoch möchte die Rujia Travel Service GmbH dieses Problem öffentlich machen und auf die Risiken und Mißbrauchs-Gefahren bei derartigen Apps hinweisen. Ein allzu nachlässiger Umgang mit den angebotenen Zahlungsoptionen schade letztlich dem Nutzen und den Nutzern der App. Wenngleich es verständlich ist, dass man eine App zur Buchung von S-Bahn-Tickets möglichst einfach und unkompliziert gestalten möchte, so sollte doch bitte die Zustimmmung der Kontoinhaber eingehlit werden, von deren Kontos die Beträge für Fahrkarten abgebucht werden.


Unternehmensinformationen:
Die Rujia Travel Service GmbH ist ein auf billige Flüge und Visa nach China spezialisierter, deutsche-chinesischer Ticketing-Spezialist mit Sitz im Berliner Stadtteil Schöneberg. Das Unternehmen betreut überwiegend Auslands-Chinesen, die zwischen Europa und ihrem Heimatland hin- und herfliegen. Aufgrund des hohen persönlichen Dienstleistungsniveaus beschäftigt Rujia ein Team aus deutsch-chinesischen Fachkräften, die günstige Flugverbindungen, besondere Konditionen und günstige Ticketpreise auf dem klassischen Wege, durch die manuelle Buchung im Office, realisieren. Dadurch ist Rujia in der Lage, automatische Flug-Suchergebnisse von Online-Seiten gezielt zu unterbieten. Das Unternehmen bietet im Internet unter www.flug-und-visum.de Flüge, Visa und Reiseangebote für deutsche und chinesisch-sprachige Kunden an.

Kontaktinformationen:
Rujia Travel Service Berlin GmbH
Ebersstrasse 32
10827 Berlin

Ansprechpartner: Herr Till Spurny
email: [email protected]
tel: +49 (0)30 – 21 97 87 93
fax: +49 (0)30 – 21 97 87 94
www.flug-und-visum.de
 

HRB 154014B | Str.Nr.: 30/440/09469
Geschäftsführer: Shuai Qu, Till Spurny

 

 


Profi-Flugsuche

China-Visum

Service (DE/CN)

Bonuspunkte sammeln

Buchungsverwaltung

Airline Specials