Wer im öffentlichen Verkehr beispielsweise sein Generalabonnement (GA) nicht zeigen kann, hat die Möglichkeit dieses innert 10 Tagen vorzuweisen. Dies ist an einem Schalter oder auch online über die Plattform Ticketcontrol möglich. Auf der von Postauto betriebenen Plattform sind zudem Schwarzfahrer registriert.

Wie nun Recherchen von 'SRF' zeigen, gab es bei dieser Plattform ein Security-Problem. "Ticketcontrol hat einen technischen Mangel, der es einem Angreifer aus dem Internet erlaubt, Dokumente von Schwarzfahrerinnen und Schwarzfahrern einzusehen und herunterzuladen", wird der Security-Berater Sven Fassbender zitiert. So habe das Recherche-Team etwa Fotos von Bussen oder von IDs gefunden sowie ein Kesb-Dokument zu einer Beistandschaft und einen Spitalbericht. Daneben lagen weitere sehr sensible Daten, wie Adressen, Passnummern oder Geburtsdaten unzureichend geschützt auf der Plattform.

Die Schwachstelle habe ohne viel technisches Wissen ausgenutzt werden können, so Fassbender gegenüber 'SRF'. Dazu habe man lediglich in der URL von ticketcontrol.ch Zahlen verändern müssen. Sobald man wisse, dass man schlicht die Zahlen hochzählen müsse, könne das jeder von Zuhause aus in seinem Browser machen und auf die Dokumente zugreifen, führt er aus. 

Das Security-Problem sei auf einen Fehler in einem Zwischenspeicher zurückzuführen, erklärt das Unternehmen gegenüber 'SRF'. Der Fehler sei mittlerweile behoben. Ausserdem habe Postauto knapp 1800 Datensätze gelöscht.

Der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger überprüft dem Bericht zufolge den Vorfall. Er wolle zudem abklären, ob "weitergehende Mängel systemischer Natur" bestehen. "Der Edöb hält mit der Datenschutzbeauftragten der Post Kontakt, bis alle Massnahmen zur Analyse und Bewältigung des Vorfalls abgeschlossen sind", wird er zitiert.

Durch eine vergleichbare Lücke bei den SBB konnte ein Sicherheitsspezialist kürzlich 1 Million Kundendaten herunterladen. Diese ist mittlerweile wieder geschlossen.