Alle meine Deutschlandtickets: verschwunden.

Bereits im Februar berichtete njuuz über Betrug mit dem Deutschlandticket:

Digitales Deutschlandticket: einfach, bequem, Schwarzfahrer.

Die nachfolgenden Informationen wurden dem verlinkten Beitrag entnommen.

Kriminelle Anbieter verkaufen mit „geklauten“ Kryptoschlüsseln D-Tickets (Plastikkarten), die bei Kontrollen zunächst als „gültig“ durchgehen. Dank der bescheuerten Konditionen, bei denen Kunden schon am zehnten des Vormonats riechen können müssen, ob sie Ende des Folgemonats das Ticket (nicht mehr) benötigen, treibt man Kunden geradezu in die Hände dieser Anbieter. Da es offiziell hunderte Aussteller von D-Tickets gibt, ist für den Laien nicht ersichtlich, ob ein Anbieter nun offiziell oder ein Betrüger ist.

Im Zweifel wird der „geklaute“ Schlüssel einfach gesperrt. Damit sind mit einem Schlag sämtliche Tickets mit diesem Schlüssel ungültig, inklusive die D-Tickets der legitimen Kunden. Diese „dürfen“ ihre Karten- oder digitalen D-Tickets unter Vorlage der Banküberweisung/des Bankeinzugs gegen Tickets mit der neuen Signatur eintauschen. Aber zuerst wird jeder mit einem gesperrten D-Ticket bei Kontrollen wie Verbrecher als Schwarzfahrer behandelt, obwohl tags zuvor dasselbe Ticket angeblich noch „gültig“ war.

Q Misell und Maya Boeckh haben sich dem Thema auf dem 39. Chaos Cimmunication Congress angenommen (mit Video) und erläutern weitere und weite Maschen des Systems:

https://media.ccc.de/v/39c3-all-my-deutschlandtickets-gone-fraud-at-an-industrial-scale

Eine Masche ist die Angabe falscher Bankdaten. Deutsche Verkehrsunternehmen stellen digitale Tickets aus und geben sich mit einem SEPA-Mandat zufrieden, ohne dieses vorher zu überprüfen. Zwar landen die Rückläufer in einer Liste. Diese Liste mit den zurückgezogenen Tickets prüft aber lediglich die Deutsche Bahn, bei Kontrollen anderer Unternehmen gehen die Tickets weiter als „gültig“ durch. Die Wuppertaler Stadtwerke erscheinen ebenso in der Liste der abgezockten Verkehrsunternehmen.

Bild oben (aus oben verlinktem Vortrag): Über dticket.online festgestellte Anzahl und betroffene Unternehmen mit der Bankdaten-Masche.

Die im njuuz-Artikel erwähnte Vetter Bus arbeitet auf mehreren Ebenen mit dem Startup mo.pla zusammen. Die bei letzterem ausgestellten D-Tickets werden mit dem – im März 25 neu ausgestellten – Schlüssel der Vetter Bus signiert. Ein „kleiner“ Programmierfehler bei mo.pla ermöglichte den Kauf von D-Tickets per Paypal ohne E-Mail-Adresse, also sowas wie die Sofortbezahlung per Kreditkarte ohne Kartennummer. – You had one job.

Bild oben (aus oben verlinktem Vortrag): (unvollständige) Verbandelungen zwischen Vetter GmbH und mo.pla

Die Deutsche Bahn hat rund 50.000 D-Tickets gescannt, die mit dem alten (bis Februar 24 gültigen) Schlüssel der Vetter Bus signiert war. Da diese Schlüssel physikalisch ähnlich einer Scheckkarte gespeichert werden, muß den Schlüssel jemand bei Vetter rausgetragen haben. Der geschätzte Schaden (bei 50.000 Tickets, untere Grenze) beläuft sich auf 2,9 Millionen Euro.

Insgesamt dürfte sich der Schaden auf eine mittlere dreistellige Millionensumme belaufen, die durch Zuschüsse des Bundes und der Länder bezahlt werden – also letztlich durch alle Steuerzahler.

█

Alle meinen Deutschlandtickets
schwimmen in der Cloud, schwimmen in der Cloud.
Plötzlich war es nicht mehr gültig –
Und im Bus wurd’s ziemlich laut.