SWM: Information für die Medien

M-Login geht noch sicherer ins neue Jahr: Mögliche Phishing-Schwachstelle geschlossen

Der M-Login ermöglicht es, mit nur einem Profil viele digitale Services in München zu nutzen. Mehr als eine Million Menschen kaufen über ihn digitale Tickets für Nahverkehr oder Veranstaltungen, bezahlen fürs Parken oder loggen sich auf den Online-Services der SWM ein. Da hierbei persönliche Daten hinterlegt werden, ist den SWM Transparenz besonders wichtig. Deshalb informieren sie nachfolgend über eine bereits geschlossene theoretische Sicherheitslücke:

Die SWM sind am 30. Dezember auf eine mögliche Schwachstelle („Zero-Day-Exploit“) im M-Login hingewiesen worden. Die IT-Sicherheits­experten der SWM haben daraufhin umgehend reagiert und sie innerhalb weniger Stunden schließen können. Analysen zeigen, dass sie nicht ausgenutzt worden ist.

Ein Hinweis, der zu mehr Sicherheit führt

Ein „Ethical Hacker“, also ein IT-Experte, der Webseitenbetreiber auf Sicherheitslücken hinweist, hatte die SWM kontaktiert. Um die Lücke auszunutzen, hätten Nutzer*innen auf eine Phishing-Mail reagieren müssen. Dank des Hacker-Hinweises gehen der M-Login und seine Nutzer*innen also noch sicherer ins neue Jahr.

Sicherheitshinweis

Die SWM ergreifen alle möglichen Sicherheitsmaßnahmen, um die Daten ihrer Kund*innen effektiv zu schützen. Dies gilt sowohl für die regelmäßige Überprüfung und weitere Verbesserung interner Prozesse und Sicherheitsstandards als natürlich auch für die fortlaufende Schulung der Mitarbeiter*innen.

Die Nutzer*innen des M-Login werden gebeten, hinsichtlich der E-Mail-Kommunikation dennoch immer vorsichtig zu sein: Im Zweifelsfall sollten keine Links in Mails angeklickt werden, sondern die Zugangsdaten direkt auf der Internetseite des M-Login (https://login.muenchen.de/) eingegeben werden.