Datenpanne bei Swiss/Lufthansa: Fremde Daten einsehbar, Apples Siri übernimmt

Bei der zur Lufthansa gehörenden Fluggesellschaft Swiss kam es zu einer Datenpanne. Kunden konnten über deren App und die Webseite für kurze Zeit auf die Flugbuchungsdaten anderer Passagiere zugreifen. Der Fehler wurde zwar schnell behoben, aber das Malheur bzw. der Datenschutzvorfall war passiert. Es geht aber weiter: Apples Siri bemächtigte sich dieser fremden Daten und verarbeitete diese weiter.

Fremde Daten bei Swiss einsehbar

Mit einem Buchungscode, eine sechsstellige Kombination aus Zahlen und Buchstaben sowie der Nachname des Passagiers, können Passagiere über die Webseiten der Fluggesellschaft oder mittels deren Apps auf ihre Flugdaten zugreifen. Der Buchungscode ermöglicht das Login auf der betreffenden Webseite oder der jeweiligen App. Das ist auch bei den Airlines des Lufthansa-Konzerns der Fall.

Kunden der Airline Swiss staunten nicht schlecht, als sie am Nachmittag des 8. April 2024 über die App oder die Webseite des Unternehmens per Buchungscode die Reise- und Buchungsdaten anderer Fluggäste einsehen konnten. Ursache war eine Fehlkonfiguration der Software. Die bei der Fluggesellschaft verursachte manuelle Fehlkonfiguration sei sofort erkannt und behoben worden, bestätigte die Swiss-Sprecherin Karin Montani der Neue Züricher Zeitung (NZZ), die den Fall in diesem Artikel aufgriff.

Apples Siri übernimmt Buchungsdaten

Dem NZZ-Artikel zufolge ging die Sache aber noch weiter. Apples Assistent Siri kann Daten aus anderen Apps und Webseiten übernehmen, sofern der Benutzer die Erlaubnis erteilt. Die Daten können ausgewertet und dann in Termineinträge für den persönlichen Kalender umgewandelt werden. Das erspart dem Benutzer Tipparbeit und die manuelle Eingabe von Terminen oder beispielsweise Flügen.

Laut NZZ war Siri n der Lage, auf die fremden Buchungsdaten zuzugreifen und trug diese dann in den Kalender ihrer Benutzer ein. Die NZZ konnte laut eigener Aussage zwei Fälle von Flügen verifizieren, die automatisch aus dem Lufthansa-Datenleck in die Kalender-App einer Drittperson übernommen wurden.

Es handelte sich einmal um eine Flugbuchung einer Person Ende April von Florenz nach Frankfurt und wenige Tage später zurück. Die zweite Flugbuchung betraf einen Flug von Frankfurt nach Florenz. Alle Flugbuchungen gingen an die gleiche E-Mail-Adresse und wurden von der Lufthansa-Tochter Air Dolomiti durchgeführt. Die betreffenden Lufthansa Buchungscodes wurden dabei von Siri aus der Swiss-App herausgezogen, heißt es bei der NZZ.

Da half es auch nicht, dass die Lufthansa die Fehlkonfiguration im Buchungssystem binnen Stunden korrigierte. Siri hatte die Daten abgegriffen und zeigte die fremden Flüge auch noch Wochen später im Kalender des Betroffenen. Und über den Buchungscode kann auf die persönlichen Daten der Person (Name, E-Mail-Adresse, Telefonnummer, Code des Vielfliegerkontos etc.) dieser Buchung zugegriffen werden.

Selbst das Einchecken für den Flug, das Herunterladen der Bordkarte oder das Stornieren des Flugs ist per Buchungsnummer möglich. Lediglich Zahlungsinformationen scheinen bei diesem Datenschutzvorfall nicht abrufbar gewesen zu sein. Das Ganze erinnert mich an das Bauhaus-Datenleck, wo Bing die Daten übernommen hatte und auch nach Beseitigung des Datenlecks weiterhin bei Abrufen lieferte. Auch ChatGPT hatte Kenntnis dieser Daten. Ich hatte den Fall im Beitrag Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen behandelt.

Der Fall zeigt exemplarisch, welche Welle diesbezüglich auf uns zurollt, wenn die KI-Assistenten allgegenwärtig sind und Daten aus Dokumenten oder Anwendungen extrahieren, auswerten und in anderem Zusammenhang kombinieren oder als Termine eintragen, als E-Mail verschicken oder als Bericht dokumentieren.

Ähnliche Artikel:
Datenleck bei Lufthansa Miles&More-Konten?
Nachträge zum Miles&More-Sicherheitsvorfall
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen