Datenleck im Zürcher Prime Tower
22.01.2016, 16:30 Uhr
Webapplikation des Parkhauses öffentlich zugänglich
Eine Webapplikation des Prime Towers war monatelang öffentlich zugänglich. Über sie war es möglich, das Parkhaus zu verwalten und zu kontrollieren. Mittlerweile sollen die Sicherheitslücken behoben sein, sagen die Eigentümer.
Der Primetower ist ein WahrzeichenZürichs. Der Primetower ist ein Datenleck und Sicherheitsrisiko. Behauptet jedenfalls das Techportal golem.de, die eine öffentlich zugängliche Webapplikation gefunden haben. Diese ist für die Administration der Parkdecks des Prime Towers gedacht. Über die Webapplikation lasse sich die gesamte Steuerung der Parkdecks vornehmen, also beispielsweise auch über Schranken, Parkhauslichter oder die Parkplatzreservierung. Zudem gebe es einen Ereignisplan, auf dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen.
Wer parkt wo, wie lange?
Zudem soll ermittelt werden, wann und wie lange welcher Parkplatz belegt ist - rückblickend über mehrere Monate. «Golem.de» konnte durch die Daten unter anderem Prognosen erstellen, die auf zehn Minuten genau eruieren liessen, wann ein Parkplatz frei und wann belegt sein wird. Beispielsweise für Einbrecher eine interessante Information. Die Reservierungen sollen zudem Namen zugeordnet sein, so dass überprüft werden kann, von wann bis wann Herr Muster sein Auto abgestellt hat.
Die Funktionen seien sichtbar, bedürfen teilweise allerdings eines Logins. Dieses könnte über eine Brute-Force-Attacke oder über Standardpasswörter des Herstellers ermittelt werden, schlägt «golem.de» vor. Oder man sorge mit einem DDoS-Angriff dafür, das das ganze Parkhaus funktionsunfähig werde. Insgesamt könne man sagen, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen haben, schreibt «golem.de». Man habe die Betreiber des Parkhauses vor rund drei Monaten auf die Problematik aufmerksam gemacht, ohne dass etwas geschehen sei. Die Webapplikation sei weiterhin zugänglich.
Reaktion erfolgt
Vor wenigen Minuten hat sich die Swiss Prime Site, die Eigentümerin des Prime Towers gemeldet und zugegeben, dass ein Datenproblem bestand. Man habe es mittlerweile gelöst. Das Statement: «Der externe Zugriff auf die Webapplikation wurde blockiert. Für die Mieter auf dem Areal Prime Tower sowie für die gesamt Infrastruktur bestand zu keiner Zeit eine Sicherheitslücke Das Problem bezüglich des externen Zugriffs auf die Webapplikation wurde vom Betreiber erkannt.» Der Zugriff habe sich auf die Daten der öffentlich zugänglichen Tiefgarage auf einen 'read-only'-Modus beschränkt. Somit seien Steuerungsmöglichkeiten von extern unmöglich gewesen. Unsere Nachfrage bei golem ergab, dass man die Betreiber im Dezember das letzte Mal darauf hingwiesen habe. Man habe seither nichts gehört, es sei aber möglich, dass sie nun nach dem Artikel endlich reagierten.