Fallbeispiel: Internet-Datensicherheit by Emirates-Airline

Wer bei der Fluglinie Emirates einen Flug und sonstige Leistungen online bucht, wird ja heute so gemacht; ist in Punkto Sicherheit und Privatsphäre verratzt. Offenbar machen die haarsträubende Sicherheitsfehler.


Anzeige

Als der Software-Entwickler und Sicherheitsspezialist Konark Modi voriges Jahr einen Flug für sich und seine Familie bei Emirates buchte, stieß er auf haarsträubende Sicherheitsmängel. Diese hat er als Case-Studie auf Medium veröffentlicht. Hier seine Erfahrungen in Kürze:

  • Wenn jemand einen Flug über Emirates, Domestic oder International bucht, erzeugt diese Buchung ungefähr 300 Datenpunkte.
  • Wer nun noch auf die Idee kommt, bei der Buchung über den Punkt Einstellungen verwalten zu klicken, um einen Sitzplatz oder eine Mahlzeit für die Reise auszuwählen, oder für den Flug einzuchecken, bewirkt, dass seine Buchungs-ID sowie den Nachnamen des Passagiers an ungefähr 14 verschiedene Drittanbieter-Tracker wie Crazy Egg, Boxever, Coremetrics, Google und Facebook weitergeleitet wird.
  • Nach seiner Buchung erhält der Reisende eine Bestätigung per E-Mail. In dieser Mail gibt es einen Link, um auf seine Buchungsdaten per Internet zuzugreifen. Beim Anklicken dieses Links startet eine Kette von Web-Umleitungen (Redirections).

Redirections
(Quelle: Konark Modi, Medium)

  • Auch dieser Link löst bei der Anwahl und den anschließenden Umleitungen eine Kaskade von Drittanbieter-Trackern aus, die Emirates auf seinen Webseiten eingebunden hat.
  • Wer die URLs in obigem Screenshot genau angeschaut hat, sieht, dass die erste URL im E-Mail-Link auf einen per HTTP-abrufbare Webseite zeigt. Das heißt, alle Daten wie Tracking-ID etc. werden im Klartext übertragen.

Tracker bei Emirates
(Quelle: Konark Modi, Medium)

Der obige Screenshot zeigt, wer alles über die Buchung informiert wird – selbst Facebook ist dabei. Konark Modi schreibt in seinem Artikel, dass jeder, der Zugriff auf diese Kommunikation bekommt, nicht nur die Daten lesen, sondern mit den Informationen auch die Daten ändern kann. Ein Flug könnte als storniert oder umgebucht werden. Auch Angaben zum Pass oder der Umfang der Buchung etc. ließen sich ändern. Über den vermeintlich privaten und exklusiven Link lassen sich durch Dritte sehr persönliche Daten des Reisenden auf dem Buchungsportal einsehen. Im Oktober 2017 wurden die Daten unverschlüsselt im Web übertragen – mittlerweile ist der Quellcode obfuscated (verwürfelt), um die Identifikation zu erschweren.


Anzeige

Konark Modi schreibt, dass dies aber nicht exklusiv für Emirates gelte. Auch andere Fluglinien wie Lufthansa, KLM etc. bedienen sich (Stand Oktober 2017) ähnlicher Praktiken.

Dass es mit der Sicherheit vieler Webseiten nicht zum Besten bestellt ist, war klar, aber das ist einfach erschreckend. Er könnte seine Daten auch öffentlich auf einer Webseite posten und Emirates eine Mail mit dem Inhalt 'die benötigten Daten findet ihr hier' schicken.

Konark Modi hat Emirates darauf hin kontaktiert und um Aufklärung gebeten. Es gab nur Standard-Antworten – Privatsphäre ist nicht vorgesehen, ein Opt-out ist unmöglich. Die Fluggesellschaft (und andere) dürften demnächst in große Schwierigkeiten kommen, wenn die EU DSGV im Mai 2018 wirksam wird und nichts geändert wurde. Modi dokumentiert die Details im Media-Artikel bis ins kleinste Detail und erklärt auch, was falsch ist.

Nachdem der Beitrag veröffentlich und von anderen Webseiten wie The Register aufgegriffen wurde, reagierte Emirates mit einer Stellungnahme gegenüber The Register.

We are aware of the article posted by Mr Konark Modi on 2 March 2018. We take all claims of security or privacy breaches seriously and have conducted a thorough review of our sites and systems. We can confirm that none of the security vulnerabilities highlighted in Mr Modi's article will allow a breach (unauthorized access) of personal data on our website or mobile app.

Whilst we do use a number of third party analytical tools on our sites for the purpose of improving the online browsing experience, we continually review how these are implemented. The depiction in Mr Modi's article as to what data is being shared, or customer choice in 'opting out' is inaccurate. We are committed to protecting the privacy of our customer's personal data. Customers can find out more about how we use personal data and how they can opt out by reading our privacy policy on emirates.com.

Hätten die lieber nicht tun, sondern mal nachdenken sollen. In diesem Artikel zerrupft Modi die Stellungnahme und überführt Emirates der glatten Falschaussage. Das ist übrigens nicht der erste Fall, wo solche erschreckenden Datenpannen ruchbar wurden. Ich erinnere an meinen Blog-Beitrag Sicherheitslücken bei Flugbuchungen und –Internet/-Telefonie, den der Sicherheitspezialist Carsten Nohl 2016 aufdeckte.

Wenn ich dann diesen Artikel in der Zeit mit dem Kommentar von Stephan Noller zu den Äußerungen von Deutschlands neue Frau fürs Digitale, Doro Bär, lese, kann ich nur den Kopf schütteln. Einmal ob des schrägen Kommentars von Herrn Noller. Gut, der Mann ist 'Psychologe, Vizepräsident des Bundesverbands digitale Wirtschaft und engagiert sich in dem SPD-nahen Thinktank D64' – absoluter Spezialist – und die Zeit gibt sich gerne für so was her. Und zum zweiten zu den Vorstellungen der Dame in Richtung Digitalwirtschaft. Mit solchen 'Spezialisten' braucht es keine Hacker mehr, um Missbrauch und Identitätsdiebstahl Tür und Tor zu öffnen. Deutschland 2018 …


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Fallbeispiel: Internet-Datensicherheit by Emirates-Airline

  1. woodpeaker sagt:

    Wir bekommen genau die Vollpfosten, die wir verdient haben. Irgend jemand war doch wählen und das ist das Ergebnis.
    Wenn nur einer ein Minimum an Sachverstand hätte, würde so was erst gar nicht aufkommen. Aber bei uns werden die Pöstchen genauso geschoben wie in der Wirtschaft.
    Beispiel brauche ich gar nicht zu bringen, könnte ich auch gar nicht, da ich bei der Vielzahl an Pappnasen gar nicht wüsste wer nun das Paradebeispiel wäre, die Auswahl ist erschlagend.
    Wie arrogant schauen wir auf die Amis mit ihrem dummdreisten Trump.
    Sind wir besser? Nein!
    Leute, Leute, was wird das für eine Zukunft! Habe jetzt schon Panikattacken.

    • Steter Tropfen sagt:

      Ich wüsste nicht, dass es in den Arabischen Emiraten freie Wahlen gäbe…

      Aber wir bringen es auch noch so weit, wenn die fatalistische Politik-Verdrossenheit „bei uns" weiter so zelebriert wird. – Panikattacken? Mensch, dann krieg doch mal deinen A… hoch und werde politisch aktiv! Informiere dich über die genauen Hintergründe und dann löchere die Abgeordneten deines Wahlkreises mit sachlichen, kritischen Fragen. Bringe deine Anliegen auf deren Tagesordnung.

      Was noch hilft: Den Urlaub einfach dort verbringen, wo man keine Airline braucht, um hin zu kommen. Man kann eben nicht alles haben.
      Und vor allem einen guten AdBlocker im Browser betreiben, der solche Tracker gar nicht erst reinlässt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.