![]()
Beim europaweit agierenden und nach eigenen Angaben größten Parkhausbetreiber APCOA gab es ein Datenleck, das es ermöglichte, unter anderem die Daten von Kunden einzusehen. Dabei waren Rechnungen von Firmenkunden sowie die digitalen Tickets für Android- und Apple-Wallet abrufbar. Um die Lücke auszunutzen, reichte es aus, in einer für Kunden einsehbaren URL die Buchungsnummer am Ende hoch- oder herunterzuzählen.
Betroffen sind viele verschiedene Standorte, an denen APCOA seinen Service anbietet. So konnten wir bei unserer Recherche Daten von Parkhäusern aus Deutschland, Dänemark, Polen, Irland und Italien abrufen. APCOA betreibt nach eigenen Angaben 12.000 Standorte in zwölf europäischen Ländern, darunter solche an 58 europäischen Flughäfen. Bemerkenswert: Die Buchungssysteme sind online meist unterhalb der Domain zum Beispiel des Flughafens erreichbar, an dem das Parkhaus steht. Im Hintergrund scheint bei APCOA aber nur eine einzige Datenbank mit einem Nummernkreis zu arbeiten, denn durch Inkrementieren oder Dekrementieren der Nummer war es möglich, unter einer URL die Datensätze anderer APCOA-Standorte anzuzeigen.
Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.https://heise.de/investigativ
In den Rechnungen, die für Firmenkunden ausgestellt werden, waren sowohl die Anschrift der Firma als auch die Namen des Auftraggebers sichtbar. Auch der Zeitraum, in dem das Fahrzeug geparkt werden sollte und an welchem Standort die Leistung gebucht wurde, war ersichtlich. Zum Beispiel "P2 BER Terminal T1 & T2".
Die digitalen Tickets für die Wallets enthielten keine Namen, dafür aber das Kennzeichen des Fahrzeugs, den Buchungszeitraum und teilweise auch das Fahrzeugmodell. So konnten wir unter anderem einem Datensatz entnehmen, dass ein Porsche Targa mit einem bestimmten Kennzeichen vom 26.03.2025 08:00 Uhr bis zum 29.03.2025 23:30 Uhr am Flughafen von Parcheggio im "P3 Outdoor Car Park" abgestellt werden sollte.
Einsehbar waren Rechnungen und Tickets, die bis in das Jahr 2019 zurückreichten. Für ältere Datensätze hatte das Unternehmen eine automatisierte Anonymisierung einzelner Daten aktiviert. Vollständig sichtbar waren die Daten in Dokumenten aus dem Jahr 2025 und teilweise sichtbar in Dokumenten aus dem Jahr 2024. Alle älteren Rechnungen enthielten nur noch anonymisierte Daten.
Ein Leser hatte das Problem entdeckt und sich mit seiner Sorge an das heise-Investigativ-Team gewandt. Er hatte beim Erhalt seines Tickets die Rechnungsnummer am Ende der URL verändert und so bemerkt, dass er auch andere Daten einsehen konnte.
Am 16. April 2025 kontaktierten wir die Firma APCOA und ihren Datenschutzbeauftragten. Am 24. April bezog das Unternehmen Stellung: Drin weist es darauf hin, dass einer hauseigenen Analyse kein systematischer Abfluss von Daten stattgefunden hat. Weiter spricht man von einem "praktisch geringen Risiko" im Hinblick auf Manipulation und die Entdeckung der Sicherheitslücke durch Kunden.
Bereits am 17. April 2025 spielte APCOA einen Hotfix auf seinen Systemen ein, der das Problem behob. Die Redaktion wurde darüber bereits am nächsten Tag informiert. Seitdem wird neben der Buchungsnummer ein Hash geprüft.
APCOA ist nicht der erste Betreiber von Onlinediensten, der leicht zu erratende URL-Parameter verwendet und so Daten von Kunden zugänglich gemacht hat. In der Vergangenheit haben wir immer wieder über ähnliche Fälle berichtet. 2022 berichtete c't über einen fast identischen Fall, bei dem über dasselbe Vorgehen Kundendaten des Hotels im bayrischen Legoland abrufbar waren.
Als nach Beginn der Coronapandemie 2020 Impf- und Testzentren in kurzer Zeit eingerichtet und teils hemdsärmelig mit Online-Terminvergaben ausgestattet wurden, hatte dieser Fehler Hochkonjunktur.
Auch das gemeinnützige "Open Worldwide Application Security Project" (OWASP), das unter anderem eine Top-10-Liste der Security-Schwachstellen pflegt, kennt vergleichbare Probleme zur Genüge. Der Fehler "Broken Access Control", zu dem auch eine URL ohne weitere Berechtigungsprüfung gehört, belegt in der aktuellen OWASP-Auswertung Platz 1.
(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)
(Ursprünglich geschrieben von Heise)
Kommentare