Vorsicht: HTTPS-Verbindung zu PayPal im WIFIonICE kompromittiert

Deutsche Bahn, Ice, Zug Bildquelle: Ed Webster / Flickr
Die Deutsche Bahn hat seit einiger Zeit ihr WLAN-Angebot in den Zügen deutlich erweitert. Beim Thema Sicherheit scheint es aber noch Probleme zu geben, wie jetzt Heise Security meldet. Wer "WIFIonICE" nutzt und eine Bezahlung mit PayPal durchführen möchte, sollte sehr aufmerksam sein.
Laut dem Heise-Verlag gibt es ein Problem bei der gesicherten Verbindungen zu PayPal im kostenlosen WLAN der Deutschen Bahn in der ICE-Flotte. Andere Angebote wurden nicht geprüft. Einige Leser hatten sich an den Verlag gewandt, nachdem sie selbst Fehlermeldungen über eine unsichere HTTPS-Verbindung zu PayPal erhielten. So prüfte Heise die Vorwürfe. Dadurch stellte sich heraus, dass es einen Fehler in der Konfiguration im WIFIonICE gibt. Infografik: Mehrere Provider sorgen im Zug für bessere NetzabdeckungBahn WLAN Multiprovider

Jetzt wird es merkwürdig

Die HTTPS-Verbindung zu dem Bezahldienst wird von den verschiedenen Browsern als unsicher eingestuft. Heise konnte das am Windows PC und auf dem Mac mit unterschiedlichen Browsern nachvollziehen, während der Safari-Browser auf dem iPhone keine Warnung vor der Webseite ausspuckt. Die Warnung zeigt, dass das eingebundene Zertifikat nicht zu PayPal gehört, sondern zu Maersk Line, laut Heise einem dänischen Logistik-Unternehmen. Wie das Zertifikat an diese Stelle kommt ist noch unklar, es gibt nur Spekulationen.

Konfigurationsfehler

Wahrscheinlich steckt ein simpler Konfigurationsfehler dahinter - dass sich hier ein Hacker zu schaffen gemacht hat, ist eher unwahrscheinlich. Auch eine Art fehlgeleitete Sicherheitsfunktion gilt als unwahrscheinlich. Wie es aussieht, wird jedoch "www.paypal.com zu einem der Content-Delivery-Server von Akamai mit der IP-Adresse 23.46.119.241 aufgelöst", schreibt Heise.

Die Bahn selbst warnt bei der Verwendung von WIFIonICE vor dem Besuch von Webseiten über ungesicherte Verbindungen. Da heißt es: "Um eine sichere Übertragung zu gewährleisten, empfehlen wir Ihnen das WLAN-Angebot im ICE über eine VPN-Verbindung zu nutzen oder nur Webseiten mit dem Zusatz "https://" zu besuchen."

Ein Sprecher der Deutschen Bahn hat sich mittlerweile bei Heise Security zum Thema gemeldet und das Problem zugegeben. Eine Erklärung für die Anzeige des falschen Zertifikats hat man aber noch nicht: "Wir haben den Fehler nachvollziehen können und arbeiten daran, ihn schnellstmöglich zu beheben." Deutsche Bahn, Ice, Zug Deutsche Bahn, Ice, Zug Ed Webster / Flickr
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 07:20 Uhr UMIDIGI Z1 Smartphone Ohne Vertrag( 5.5 Zoll Display, 6GB RAM 64GB ROM, 4000mAh, 4G Dual SIM, Dual Kamera, Front Touch Fingerprint Sensor, Quick-Charging, Android 7.0, ) - GoldUMIDIGI Z1 Smartphone Ohne Vertrag( 5.5 Zoll Display, 6GB RAM 64GB ROM, 4000mAh, 4G Dual SIM, Dual Kamera, Front Touch Fingerprint Sensor, Quick-Charging, Android 7.0, ) - Gold
Original Amazon-Preis
265,99
Im Preisvergleich ab
?
Blitzangebot-Preis
226,09
Ersparnis zu Amazon 15% oder 39,90
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden