Datenleck im Zürcher Prime Tower

Eine Webapplikation des Prime Towers hatte monatelang ein Leck. Diese dient der Parkhausverwaltung. Angeblich sei die Lücke nun gefixt.

von Fabian Vogt 25.01.2016

Der Prime Tower ist ein Wahrzeichen Zürichs. Der Prime Tower ist aber auch ein Datenleck und Sicherheitsrisiko. Das behauptet jedenfalls das Techportal «golem.de», deren Vertreter eine öffentlich zugängliche Webapplikation gefunden haben wollen. Diese ist für die Administration der Parkdecks des Prime Towers gedacht. Über die Webapplikation lasse sich die gesamte Steuerung der Parkdecks vornehmen, also beispielsweise auch über Schranken, Parkhauslichter oder die Parkplatzreservierung. Zudem gebe es einen Ereignisplan, auf dem sich bestimmte Aktionen, etwa die Sperrung des Ticketknopfs, starten lassen.

Wer parkt wo und wie lange?

Zudem soll ermittelt werden, wann und wie lange welcher Parkplatz belegt ist - rückblickend über mehrere Monate. «Golem.de» konnte durch die Daten unter anderem Prognosen erstellen, die auf zehn Minuten genau eruieren liessen, wann ein Parkplatz frei und wann belegt sein wird. Beispielsweise für Einbrecher eine interessante Information. Die Reservierungen sollen zudem Namen zugeordnet sein, sodass überprüft werden kann, von wann bis wann Herr Muster sein Auto abgestellt hat.

Die Funktionen seien sichtbar, bedürfen teilweise allerdings eines Logins. Dieses könnte über eine Brute-Force-Attacke oder über Standardpasswörter des Herstellers ermittelt werden, schlägt «golem.de» vor. Oder man sorge mit einem DDoS-Angriff dafür, dass das ganze Parkhaus funktionsunfähig werde. Insgesamt könne man sagen, dass die Verantwortlichen bei der Einrichtung des Systems ihre Pflichten nicht besonders ernst genommen haben, schreibt «golem.de». Man habe die Betreiber des Parkhauses vor rund drei Monaten auf die Problematik aufmerksam gemacht, ohne dass etwas geschehen sei. Die Webapplikation sei weiterhin zugänglich.

Reaktion erfolgt

Vor wenigen Minuten hat sich die Swiss Prime Site, die Eigentümerin des Prime Towers gemeldet und zugegeben, dass ein Datenproblem bestand. Man habe es mittlerweile gelöst. Das Statement: «Der externe Zugriff auf die Webapplikation wurde blockiert. Für die Mieter auf dem Areal Prime Tower sowie für die gesamte Infrastruktur bestand zu keiner Zeit eine Sicherheitslücke. Das Problem bezüglich des externen Zugriffs auf die Webapplikation wurde vom Betreiber erkannt.» Der Zugriff habe sich auf die Daten der öffentlich zugänglichen Tiefgarage auf einen «read-only»-Modus beschränkt. Somit seien Steuerungsmöglichkeiten von extern unmöglich gewesen. 

Unsere Nachfrage bei «golem.de» ergab, dass man die Betreiber im Dezember 2015 das letzte Mal darauf hingewiesen habe. Man habe seither nichts gehört, es sei aber möglich, dass nach dem Artikel nun endlich reagiert werde.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.