Reaktion auf SPIEGEL-Recherchen Sicherheitslücken im Bezahlsystem - Festivalveranstalter will nachbessern

Die Festivals Lollapalooza, Melt und splash! liefen dieses Jahr bargeldlos: Im System zur Restguthabenauszahlung entdeckte der SPIEGEL später peinliche Schwächen. Der Veranstalter will es nun überarbeiten.

Besucher des Lollapalooza
DPA

Besucher des Lollapalooza

Von


"Bargeld bitte niemals abschaffen", und: "Wer mir so etwas aufdrücken will, verliert mich als Gast." Unter anderem so kommentierten Forumsnutzer Mitte September einen SPIEGEL-ONLINE-Artikel über das bargeldlose Bezahlsystem des Musikfestivals Lollapalooza, das am Wochenende zuvor nahe Berlin stattgefunden hatte.

Wenige Tage nach dem Festival war uns aufgefallen, dass man auf simple Weise in die Restguthabenübersichten einiger Besucher des Festivals gelangen konnte - eine Lücke, die auch jemand anderes hätte entdecken können.

Blick in eine fremde Lollapalooza-Guthabenübersicht (aus dem September)

Blick in eine fremde Lollapalooza-Guthabenübersicht (aus dem September)

Zu wem die Guthabenübersichten jeweils gehörten, erfuhren wir nicht, persönliche Daten waren nicht einsehbar. Von den Übersichtsseiten aus hätten wir aber unter anderem eine Überweisung des jeweiligen Restgelds an ein Bankkonto unserer Wahl in Auftrag geben können.

"Lasst euch nicht verunsichern"

Der offizielle Facebook-Account des Lollapalooza Berlin kommentierte unseren Artikel zum Thema auf der Facebook-Seite von SPIEGEL ONLINE trocken. "Lasst euch nicht verunsichern", hieß es dort: "Euer Guthaben ist sicher und kann von keiner dritten Person abgerufen werden."

Tatsächlich gingen auch wir zunächst davon aus, dass die Lücke nach einem Hinweis von uns vom Veranstalter geschlossen worden sei. Bald jedoch sollte sich zeigen: Auch in den folgenden Wochen hätte das Restgeld mancher Besucher sehr wohl noch von Fremden abgerufen werden können - was mit den Festivals Melt und splash! vom selben Veranstalter zu tun hat. Der Veranstalter jedenfalls hat nun angekündigt, das System auf kommenden Veranstaltungen besser abzusichern.

Was war das Problem?

Das bargeldlose Bezahlen auf dem Lollapalooza funktionierte dieses Jahr so: Festivalbesucher bekamen Chipkarten, die an ein virtuelles Konto gekoppelt waren, das sie vorab oder vor Ort füllen konnten. Mit dem eingezahlten Geld konnte man zum Beispiel Bier, Pommes oder Band-T-Shirts kaufen.

Das Restgeld, das vom Festivalbesuch übrig blieb, konnte man sich später übers Internet zurückholen, zunächst brauchte es dafür nur eine gültige Chipnummer, sonst nichts. Das Problem: Die Nummern beziehungsweise Codes der Chips ähnelten sich mitunter so sehr, dass man sich unter Umständen per Tippfehler beim Code-Eingeben Einblick in eine fremde Guthabenübersicht hätte verschaffen können.

Nach unserem Hinweis auf die Schwachstelle hieß es vom Veranstalter des Lollapalooza, man habe die freie Eingabe der Chipnummern auf der Festival-Website nun abgeschaltet. Das Problem schien damit gelöst.

Ein weiterer Weg

In den Wochen nach Veröffentlichung des Artikels stellten wir jedoch fest, dass es noch einen weiteren Weg gab, die Auszahlung von Restguthaben vom Lollapalooza in Auftrag zu geben. Und zwar über die Cashback-Webseite des Melt-Festivals. Die entsprechende Seite mit einem Feld zur Chipnummerneingabe ohne Log-in ließ sich mit einer einfachen Google-Suche finden.

Melt-Cashback-Seite mit dem Hinweis "Danke, dass du beim Lollapalooza 2017 warst."
SPIEGEL ONLINE

Melt-Cashback-Seite mit dem Hinweis "Danke, dass du beim Lollapalooza 2017 warst."

Eine Chipnummer vom Lollapalooza - eine, bei der der Kartenbesitzer eingeweiht war - reichte, damit wir uns das zugehörige Restgeld auf ein von der Person unabhängiges Bankkonto auszahlen konnten. Nach wenigen Tagen war das Geld bei uns angekommen. Wir brauchten weder den Namen der Personen kennen noch irgendein Passwort.

Es gab auch noch die splash!-Seite

Vermutlich hätte der Vorgang auch über eine dritte Cashback-Seite aus dem Netz funktioniert, über die des splash!-Festivals. In einem zweiten Test konnten wir uns hierüber jedenfalls auch Restguthaben vom Melt-Festival auszahlen lassen, diesmal ausschließlich mithilfe einer Melt-Chipnummer (und ebenfalls mit Zustimmung des Kartenbesitzers). So unterschiedlich die Cashback-Seiten von Lollapalooza, Melt und splash! aussahen, im Hintergrund waren sie wohl mehr oder weniger miteinander verbunden.

splash!-Cashback-Seite nach dem Eingeben einer Lollapalooza-Chipnummer
SPIEGEL ONLINE

splash!-Cashback-Seite nach dem Eingeben einer Lollapalooza-Chipnummer

Auf Basis weniger bekannter Chipnummern des Melt-Festivals war es uns zudem möglich, erneut einige weitere Nummern zu erraten, die im Bezahlsystem existieren.

Offenbar gab es hier also dasselbe Problem wie zuvor beim Lollapalooza, wir konnten wieder in einige weitere, fremde Guthaben-Übersichten schauen. Mal stießen wir auf 25 Euro - die im konkreten Fall offenbar einem Splash-Besucher gehörten -, mal nur auf 2,30 Euro.

Einblick in eine splash!-Guthaben-Übersicht über die Cashback-Seite des Melt-Festivals
SPIEGEL ONLINE

Einblick in eine splash!-Guthaben-Übersicht über die Cashback-Seite des Melt-Festivals

Bargeldloses Zahlen als Zukunft

Nach unseren Auszahl-Tests haben wir den Veranstalter der drei Festivals erneut mit dem Thema konfrontiert. Zurück kam eine ungewöhnlich umfangreiche Stellungnahme, in der das bargeldlose Zahlsystem an sich gelobt wird, unter anderem als "eine bessere, organisatorisch und logistisch einfachere und sichere Experience für den Besucher".

Man habe als Veranstalter der genannten Events "das bargeldlose Zahlen auf Musikfestivals in Deutschland eingeführt", heißt es, und stehe "ausdrücklich zu dieser Technologie, die die Zukunft auf Veranstaltungen dieser Art ist".

Es heißt aber auch: "Wie bei jeder neuen Technologie lässt es sich leider nicht vermeiden, dass sich hier und da kleinere Fehler und Ungereimtheiten einschleichen."

Eine Pin soll das System absichern

Mit Blick auf die "sehr ähnlichen Chipnummern in diesem Jahr" habe man den zuständigen Chiplieferanten zur Rede gestellt und um Aufklärung gebeten, teilt der Veranstalter mit. Parallel sondiere man darüber hinaus andere Möglichkeiten und Alternativen für das Jahr 2018.

Zudem soll eine Neuerung Probleme wie dieses Jahr verhindern: "Zusätzlich werden wir mit sofortiger Wirkung für alle zukünftigen Events eine weitere Sicherheitsstufe einbauen", heißt es, "indem wir veranlassen werden, dass es neben der Chipnummer noch eine weitere personalisierte Pin pro Chip geben wird."

Kurz nach unserer zweiten Anfrage an den Veranstalter waren die problematischen Cashback-Seiten von Melt und splash! mit Chipnummerneingabe nicht mehr aufzurufen.

Mitarbeit: Judith Horchert



insgesamt 4 Beiträge
Alle Kommentare öffnen
Seite 1
cosmose 27.10.2017
1.
Viel sympathischer wäre doch gewesen, man hätte die zweite Option genutzt. Eine Überweisung auf ein (eigenes) Bankkonto kann immer zurückverfolgt werden. Ich bin kein Jurist, könnte mir aber vorstellen, dass das strafrechtlich relevant ist. Unterschlagung, Diebstahl oder so? Ein findiger Hacker hätte einfach ein kleines Script schreiben sollen, welches diverse Chip-Nummern durchprobiert und gefundenes Guthaben an die SOS-Kinderdörfer/Child.org/whatever spendet.
anchises 28.10.2017
2. Nun ja, bargeldlos bezahlen
heißt nicht vorher irgendwohin Geld zu überweisen und dadurch im Anschluß über Guthaben zu verfügen. Bargeldlos bezahlen heißt Ware erhalten und im Gegenzug per EC- bzw. Kreditkarte die entstandene Schuld zu tilgen. Da hätten die Veranstalter wohl besser die Transaktionsgebühren besser verhandeln sollen. Dergleichen gehört nach meinem Dafürhalten auch zu einer guten Organisation.
sven2016 28.10.2017
3.
Das war wieder mal der billigste EDV-Dienstleister? Allmählich sollte sich herumgesprochen haben, dass Bezahldienste online besser von Profis abgewickelt werden. Wenn das zu teuer ist, bleibt man eben beim Bargeld. Aber Eventveranstalter kalkulieren eben anders.
lundril 31.10.2017
4. privatspäre ist das problem
Es geht bei diesem Bargeldlosen zahlen nicht um eine logistische Verbesserung. Vielmehr erhält der Veranstalter damit genauen Einblick, was ICH kaufe, und wann und eine exakte Aufstellung des Umsatzes jedes Händlers. Mit anderen Worten, das ist wieder mal eine total Überwachung... und keinen störts :-((
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.