Um die Bevölkerung zu motivieren, sich auch während des Lockdowns sportlich zu betätigen, wurden mehrere Projekte ins Leben gerufen. Eines davon, der “OneMillionRun”, fand am letzten Maiwochenende statt, mit folgendem Ziel: Gemeinsam 1'000'000 Kilometer zu Fuss zurücklegen. Die geleisteten Kilometer mussten natürlich online auf www.onemillionrun.ch im persönlichen Konto eingetragen werden.
Gratis Zugtickets im SBB-Webshop - So war's möglich
Hallo! In diesem Artikel berichte ich über eine Sicherheitslücke im SBB-Webshop, die es ermöglichte, gratis Tickets zu “kaufen”. Dafür brauchte man nur einen Rabattcode der SBB und ein Handy.
Gefunden habe ich die Lücke spät an einem Abend im April, als ich die Tickets an die SmartSuisse 2019 kaufen wollte. Benutzt habe ich den Webshop vorher noch nie (mit dem Automaten geht’s einfach schneller…). Jedoch gab es 20% Rabatt auf die Anreise an die SmartSuisse per Zug; Natürlich nur einlösbar im Webshop. Also ran an den Computer und schnell ein Ticket bestellen - dachte ich mir. Aber so einfach war es dann doch nicht, denn Basel, Messeplatz ist nicht gleich Basel. So verbrachte ich den restlichen Abend damit, eine Verbindung zu suchen, für die der Rabattcode verwendet werden kann.
Doch was ist denn da passiert?
Bei der Kostenaufstellung wurde plötzlich ein viel zu tiefer Gesamtpreis angezeigt. Der Grund: Der Webshop hat den Rabatt nicht für die neu ausgewählte Verbindung ausgerechnet. Es wurde einfach der Rabatt der Verbindung abgezogen, bei der der Rabattcode eingelöst wurde.
War die erste Verbindung teurer als die Zweite, erhielt man also einen zu hohen Rabatt und ein zu günstiges Ticket.
Der Kaufvorgang
Nur, weil der Preis falsch angegeben wird, heisst das noch nicht, dass das Ticket mit dem tieferen Preis tatsächlich gekauft (und die Sicherheitslücke ausgenutzt) werden kann. Herausfinden liess sich dies mit einem simplen Testkauf.
Und tatsächlich: das Ticket mit dem zu günstigen Preis liess sich problemlos kaufen und herunterladen.
Ausnutzen der Sicherheitslücke
Zuerst war ich mir nicht ganz sicher, wie sich der Fehler reproduzieren lässt. Nach ein paar Minuten ausprobieren war die Lösung jedoch gefunden (siehe auch auf dem Video unten):
- eine teure Verbindung auswählen
- Rabattcode einlösen
- Zur Startseite des Webshops wechseln (nicht per Link im Webshop, sondern durch das Verändern des Links im Webshop; ansonsten wird die Sitzung erneuert und der Rabatt gelöscht)
- Eine günstigere Verbindung auswählen
- Zum Kauf fortschreiten
- Bezahlen
- Fertig
So einfach war’s!
Weitere Tests
Doch was passiert, wenn der Preis negativ oder gleich Null ist? Auch hier: Probieren geht über Studieren.
Negative Preise werden zwar angezeigt, versucht man jedoch, das Ticket zu “kaufen”, wird eine Fehlermeldung angezeigt. Vermutlich, weil der Zahlungsprovider keine Rückzahlungen über diesen Weg vorgesehen hat (was auch keinen Sinn machen würde).
… und endlich, das Gratisticket
Und wie versprochen: Das Gratisticket. Wählt man die erste Verbindung geschickt (an dieser Stelle musste man ein bisschen ausprobieren), erhält man einen Rabatt, der dem Preis des gewünschten Tickets entspricht.
Hat man zum Beispiel als erste Verbindung Basel -> Bellinzona ohne Halbtax ausgewählt, erhielt man mit dem 20%-Rabattcode eine CHF 16 Vergünstigung. Änderte man nun die Verbindung auf Biel -> Basel (Normalkosten CHF 16), ergab der Endpreis CHF 0.
Dargestellt wird dieses Vorgehen in folgendem Video:
Mit diesem Vorgehen liessen sich so dann Tickets kostenlos bestellen. Die Zieldestination und das Datum liessen sich auch beliebig aussuchen.
So, das war’s auch schon. Vielen Dank an alle anderen Beteiligten, die die Sicherheitslücke so souverän und schnell behoben und mir auch noch eine kleine Überraschung bereitet haben.
Die Lücke habe ich einen Tag nach dem auffinden per Mail an der IT-Sicherheitsabteilung der SBB gemeldet und auch noch an einer kleinen Privatvorstellung am SBB CEO vorgeführt (an der SmartSuisse; hingereist bin ich übrigens mit einem zweiten Ticket, für das ich den vollen Preis bezahlt habe).
Beitragsbild by 🇨🇭 Claudio Schwarz | @purzlbaum
- Tags:
- Sbb ,
- Sicherheitslücke
- Rubrik:
- Sicherheitslücken
News und andere interessante Sachen.
Blog.
Auf unserem Blog finden Sie interessante Artikel über von uns gefundene Sicherheitslücken, aktuelle Themen, Neuigkeiten und weiteres
Info! Bei diesem Artikel handelt es sich um ein Write-Up einer gefundenen Schwachstelle. Anhand dieser wird hier die Gefahr von sogenannten CORS-Fehlkonfigurationen erklärt. Schwachstellen gibt es in jedem System, weshalb anzumerken ist, dass myCloud / Swisscom im Allgemeinen nicht als unsicher abgestempelt werden sollte. Im Gegenteil: Durch das Bug Bounty Programm konnte der Fehler behoben werden.
Dieser Artikel beschreibt eine Schwachstelle, die sich auf mycloud.ch befand und es unter gewissen Umständen ermöglichte, Dateien von fremden Accounts herunterzuladen und neue Dateien hochzuladen. Die Schwachstelle wurde durch die Swisscom im Rahmen des Bug Bounty Programmes der Swisscom
behoben (siehe Timeline).
Auf den Onlineshops der Digitec Galaxus AG befand sich eine Schwachstelle, die es ermöglichte, den vollen Namen eines beliebigen Kunden abzufragen. Benötigt wurde dazu nur die User-ID, die im Link zum jeweiligen Benutzerprofil zu finden ist. In diesem Beitrag schildere ich die Details zu dieser Lücke.