Neues aus der IT-Welt

Beim europaweit agierenden und nach eigenen Angaben größten Parkhausbetreiber APCOA gab es ein Datenleck, das es ermöglichte, unter anderem die Daten von Kunden einzusehen. Dabei waren Rechnungen von Firmenkunden sowie die digitalen Tickets für Android- und Apple-Wallet abrufbar. Um die Lücke auszunutzen, reichte es aus, in einer für Kunden einsehbaren URL die Buchungsnummer am Ende hoch- oder herunterzuzählen.

Betroffen sind viele verschiedene Standorte, an denen APCOA seinen Service anbietet. So konnten bei unserer Recherche Daten von Parkhäusern aus Deutschland, Dänemark, Polen, Irland und Italien abgerufen werden. APCOA betreibt nach eigenen Angaben 12000 Standorte in zwölf europäischen Ländern, darunter solche an 58 europäischen Flughäfen. Bemerkenswert: die Buchungssysteme sind online meist unterhalb der Domain zum Beispiel des Flughafens erreichbar, an dem das Parkhaus steht. Im Hintergrund scheint bei APCOA aber nur eine einzige Datenbank mit einem Nummernkreis zu arbeiten, denn durch Inkrementieren oder Dekrementieren der Nummer war es möglich, unter einer URL die Datensätze anderer APCOA-Standorte anzuzeigen.

In den Rechnungen, die für Firmenkunden ausgestellt werden, waren sowohl die Anschrift der Firma als auch die Namen des Auftraggebers sichtbar. Auch der Zeitraum, in dem das Fahrzeug geparkt werden sollte und an welchem Standort die Leistung gebucht wurde, war ersichtlich. Zum Beispiel "P2 BER Terminal T1 & T2".

Die digitalen Tickets für die Wallets enthielten keine Namen, dafür aber das Kennzeichen des Fahrzeugs, den Buchungszeitraum und teilweise auch das Fahrzeugmodell. So konnten unter anderem an einem Datensatz entnommen werden, daß ein Porsche Targa mit einem bestimmten Kennzeichen vom 26.03.2025 08:00 Uhr bis zum 29.03.2025 23:30 Uhr am Flughafen von Parcheggio im "P3 Outdoor Car Park" abgestellt werden sollte.

Einsehbar waren Rechnungen und Tickets, die bis in das Jahr 2019 zurückreichten. Für ältere Datensätze hatte das Unternehmen eine automatisierte Anonymisierung einzelner Daten aktiviert. Vollständig sichtbar waren die Daten in Dokumenten aus dem Jahr 2025 und teilweise sichtbar in Dokumenten aus dem Jahr 2024. Alle älteren Rechnungen enthielten nur noch anonymisierte Daten.

Am 16. April 2025 kontaktierten heise.de die Firma APCOA und ihren Datenschutzbeauftragten. Am 24. April bezog das Unternehmen Stellung: drin weist es darauf hin, daß einer hauseigenen Analyse kein systematischer Abfluß von Daten stattgefunden hat. Weiter spricht man von einem "praktisch geringen Risiko" im Hinblick auf Manipulation und die Entdeckung der Sicherheitslücke durch Kunden.

APCOA ist nicht der erste Betreiber von Onlinediensten, der leicht zu erratende URL-Parameter verwendet und so Daten von Kunden zugänglich gemacht hat. In der Vergangenheit wurde immer wieder über änliche Fälle berichtet. 2022 berichtete c't über einen fast identischen Fall, bei dem über dasselbe Vorgehen Kundendaten des Hotels im bayrischen Legoland abrufbar waren.

Als nach Beginn der Coronapandemie 2020 Impf- und Testzentren in kurzer Zeit eingerichtet und teils hemdsärmelig mit Online-Terminvergaben ausgestattet wurden, hatte dieser Fehler Hochkonjunktur.

Auch das gemeinnützige "Open Worldwide Application Security Project" (OWASP), das unter anderem eine Top-10-Liste der Security-Schwachstellen pflegt, kennt vergleichbare Probleme zur Genüge. Der Fehler "Broken Access Control", zu dem auch eine URL ohne weitere Berechtigungsprüfung gehört, belegt in der aktuellen OWASP-Auswertung Platz 1.