Update: App für den Prime Tower gibt Nutzerdaten preis

Golem.de berichtet über massive Sicherheitslücken in einer Webapplikation für den Zürcher Prime Tower. Jeder könne über das Internet auf eine App für die Administration von Parkplätzen zugreifen. "Über die Applikation lässt sich auf den Stellplatz genau ermitteln, wann und wie lange dieser belegt ist oder war - rückblickend über mehrere Monate", schreibt das IT-Portal. Golem konnte dies laut eigenen Angaben bis auf 10 Minuten genau sagen. Da bei Reservierungen auch Namen hinterlegt seien, sei es sogar möglich, Parkplatze einzelnen Personen zuzuordnen.

Die Webapp könne auch Schranken und Parkhauslichter bedienen. Und es gebe einen Ereignisplan, der die Sperrung des Ticketknopfs für die Parkplatzreservierung steuere. Für einige der Funktionen brauche es einen Log-in. Über eine Brute-Force- oder Denial-of-service-Attacke sei es aber vielleicht möglich, die Passwörter zu knacken oder das Parkhaus lahmzulegen, schreibt golem.de weiter.

Golem wies die Betreiber des Parkhauses und das Schweizer Cert auf die Problematik hin, wie das IT-Portal schreibt. Eine Reaktion sei aber bisher ausgeblieben und die Webapplikation weiter zugänglich. Eine Anfrage der Netzwoche-Redaktion wurde ebenfalls noch nicht beantwortet.

Update: Die Swiss Prime Site AG hat sich mittlerweile mit folgender Stellungnahme gemeldet:

"Das Problem bezüglich des externen Zugriffs auf die Webapplikation wurde vom Betreiber erkannt. Der Zugriff hat sich auf die Daten der öffentlich zugänglichen Tiefgarage auf einen "read-only" Modus beschränkt. Somit waren Steuerungsmöglichkeiten von extern unmöglich. Der externe Zugriff auf die Webapplikation wurde blockiert. Für die Mieter auf dem Areal Prime Tower sowie für die gesamte Infrastruktur bestand zu keiner Zeit eine Sicherheitslücke."