多くの人は、9 ユーロのチケットの前売りのためにDB Navigatorアプリをダウンロードしたり、定期的に使用したりしています。しかし専門家によると、このアプリケーションには大きな問題があるという。
データ保護ギャップのある DB Navigator
セキュリティ研究者の Mike Kuketz 氏は、Android と iOS の両方で Deutsche Bahn のアプリDB Navigator をチェックし、データ保護に大きなギャップがあることを発見しました。たとえば、GDPR (一般データ保護規則) や TTDSG (電気通信テレメディアデータ保護法) の違反も発見しました。
専門家は何を見つけましたか?
データ転送は、ユーザーが対話を実行する前に行われます。 「このデータ/情報は、明示的、十分な情報に基づいた、自発的かつ積極的な同意が与えられる前に要求または送信される」ため、これには問題があります。アプリを起動したらすぐに Google に連絡して、Google Maps API (USA) に登録します。
専門家はクッキーバナーにも問題があると見ている。これにより、「すべての Cookie を許可する」オプションが赤で強調表示されます。これにより、ユーザーはタップするように誘導され、ユーザーを操作することになります。 DB Navigator の運用に必要とされる 10 社/サービスプロバイダーも含まれています。ユーザーには、Cookie の事前選択に影響を与えたり、Cookie の設定に反対したりする機会はありません。
「必要な Cookie のみを許可する」を選択したにもかかわらず、DB Navigator はデータを追跡および分析サービスに送信します。これらには、Google と Adobe Inc. が含まれます。ユーザーがアプリ内で実行するほぼすべてのステップ/呼び出しは、Adobe Marketing Cloud に送信されます。そしてそれを否定する方法はありません。
セキュリティ研究者の結論は次のとおりです。
「ドイツ鉄道は時間厳守と信頼性に関して大きな問題を抱えているだけでなく、データ保護に関しても大きな問題を抱えています。 「特にドイツ鉄道の市場での支配的な地位を背景に、発見されたデータ保護違反は何百万人もの人々に影響を与えるため、より重大なものとなっています。」
マイク・クケッツ
ミカ・クケッツの詳細なレポートはここでご覧いただけます。
ドイツ鉄道への公開書簡
Mike Kuketz 氏は既に DB Navigator の問題点を公開書簡で説明しています。しかし、まだ公式声明は出ていない。 2022 年 7 月 1 日、セキュリティ研究者は「アプリを技術的および法的審査に再度かける」ことを望んでいます。それまでに特定された欠陥が修正されなかった場合、Digitalcourage eV はドイツ鉄道 AG に対して法的措置を講じます。
9ユーロのチケットの代替品
ドイツ鉄道アプリを使用せずに 9 ユーロのチケットを購入することもできます。窓口または券売機で購入できます。地元の交通会社もオンラインでチケットを購入できます。ベルリンの BVG アプリまたはミュンヘンの MVV アプリで見つけることができます。
欠陥が見つかったにもかかわらず、それでもドイツ鉄道アプリを使用しますか? これは、DB ナビゲーターで 9 ユーロのチケットの正しいルートを見つける方法です。 9 ユーロのチケットを使用する場合は、3 つの間違いをしないようにしてください。