{"id":201833,"date":"2018-03-10T00:11:00","date_gmt":"2018-03-09T23:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201833"},"modified":"2023-10-28T12:21:30","modified_gmt":"2023-10-28T10:21:30","slug":"fallbeispiel-internet-datensicherheit-by-emirates-airline","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/03\/10\/fallbeispiel-internet-datensicherheit-by-emirates-airline\/","title":{"rendered":"Fallbeispiel: Internet-Datensicherheit by Emirates-Airline"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Wer bei der Fluglinie Emirates einen Flug und sonstige Leistungen online bucht, wird ja heute so gemacht; ist in Punkto Sicherheit und Privatsph\u00e4re verratzt. Offenbar machen die haarstr\u00e4ubende Sicherheitsfehler.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/86688cb0dc2c4049b654795e3e73e7c8\" width=\"1\" height=\"1\"\/>Als der Software-Entwickler und Sicherheitsspezialist Konark Modi voriges Jahr einen Flug f\u00fcr sich und seine Familie bei Emirates buchte, stie\u00df er auf haarstr\u00e4ubende Sicherheitsm\u00e4ngel. Diese hat er als Case-Studie auf <a href=\"https:\/\/medium.freecodecamp.org\/how-airlines-dont-care-about-your-privacy-case-study-emirates-com-6271b3b8474b\" target=\"_blank\" rel=\"noopener\">Medium ver\u00f6ffentlicht<\/a>. Hier seine Erfahrungen in K\u00fcrze:<\/p>\n<ul>\n<li>Wenn jemand einen Flug \u00fcber Emirates, Domestic oder International bucht, erzeugt diese Buchung ungef\u00e4hr 300 Datenpunkte.  <\/li>\n<li>Wer nun noch auf die Idee kommt, bei der Buchung \u00fcber den Punkt <em>Einstellungen verwalten <\/em>zu klicken, um einen Sitzplatz oder eine Mahlzeit f\u00fcr die Reise auszuw\u00e4hlen, oder f\u00fcr den Flug einzuchecken, bewirkt, dass seine Buchungs-ID sowie den Nachnamen des Passagiers an ungef\u00e4hr 14 verschiedene Drittanbieter-Tracker wie Crazy Egg, Boxever, Coremetrics, Google und Facebook weitergeleitet wird.  <\/li>\n<li>Nach seiner Buchung erh\u00e4lt der Reisende eine Best\u00e4tigung per E-Mail. In dieser Mail gibt es einen Link, um auf seine Buchungsdaten per Internet zuzugreifen. Beim Anklicken dieses Links startet eine Kette von Web-Umleitungen (Redirections).<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Redirections\" alt=\"Redirections\" src=\"https:\/\/web.archive.org\/web\/20180507174535\/https:\/\/cdn-images-1.medium.com\/max\/1600\/1*U1zBmKaj5N_WH_UvupDnSw.png\" width=\"592\" height=\"383\"\/><br \/>(Quelle: Konark Modi, Medium)<\/p>\n<ul>\n<li>Auch dieser Link l\u00f6st bei der Anwahl und den anschlie\u00dfenden Umleitungen eine Kaskade von Drittanbieter-Trackern aus, die Emirates auf seinen Webseiten eingebunden hat.  <\/li>\n<li>Wer die URLs in obigem Screenshot genau angeschaut hat, sieht, dass die erste URL im E-Mail-Link auf einen per HTTP-abrufbare Webseite zeigt. Das hei\u00dft, alle Daten wie Tracking-ID etc. werden im Klartext \u00fcbertragen. <\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Tracker bei Emirates\" alt=\"Tracker bei Emirates\" src=\"https:\/\/cdn-images-1.medium.com\/max\/1600\/1*eAcZHcGPBYKR3Kz6O0pQuA.png\" width=\"635\" height=\"591\"\/><br \/>(Quelle: Konark Modi, Medium)<\/p>\n<p>Der obige Screenshot zeigt, wer alles \u00fcber die Buchung informiert wird \u2013 selbst Facebook ist dabei. Konark Modi schreibt in seinem Artikel, dass jeder, der Zugriff auf diese Kommunikation bekommt, nicht nur die Daten lesen, sondern mit den Informationen auch die Daten \u00e4ndern kann. Ein Flug k\u00f6nnte als storniert oder umgebucht werden. Auch Angaben zum Pass oder der Umfang der Buchung etc. lie\u00dfen sich \u00e4ndern. \u00dcber den vermeintlich privaten und exklusiven Link lassen sich durch Dritte sehr pers\u00f6nliche Daten des Reisenden auf dem Buchungsportal einsehen. Im Oktober 2017 wurden die Daten unverschl\u00fcsselt im Web \u00fcbertragen \u2013 mittlerweile ist der Quellcode obfuscated (verw\u00fcrfelt), um die Identifikation zu erschweren. <\/p>\n<blockquote>\n<p>Konark Modi schreibt, dass dies aber nicht exklusiv f\u00fcr Emirates gelte. Auch andere Fluglinien wie Lufthansa, KLM etc. bedienen sich (Stand Oktober 2017) \u00e4hnlicher Praktiken. <\/p>\n<\/blockquote>\n<p>Dass es mit der Sicherheit vieler Webseiten nicht zum Besten bestellt ist, war klar, aber das ist einfach erschreckend. Er k\u00f6nnte seine Daten auch \u00f6ffentlich auf einer Webseite posten und Emirates eine Mail mit dem Inhalt 'die ben\u00f6tigten Daten findet ihr hier' schicken. <\/p>\n<p>Konark Modi hat Emirates darauf hin kontaktiert und um Aufkl\u00e4rung gebeten. Es gab nur Standard-Antworten \u2013 Privatsph\u00e4re ist nicht vorgesehen, ein Opt-out ist unm\u00f6glich. Die Fluggesellschaft (und andere) d\u00fcrften demn\u00e4chst in gro\u00dfe Schwierigkeiten kommen, wenn die <a href=\"https:\/\/www.datenschutzbeauftragter-info.de\/fachbeitraege\/eu-datenschutz-grundverordnung\/\" target=\"_blank\" rel=\"noopener\">EU DSGV<\/a> im Mai 2018 wirksam wird und nichts ge\u00e4ndert wurde. Modi dokumentiert die Details im <a href=\"https:\/\/medium.freecodecamp.org\/how-airlines-dont-care-about-your-privacy-case-study-emirates-com-6271b3b8474b\" target=\"_blank\" rel=\"noopener\">Media-Artikel<\/a> bis ins kleinste Detail und erkl\u00e4rt auch, was falsch ist. <\/p>\n<p>Nachdem der Beitrag ver\u00f6ffentlich und von anderen Webseiten wie <a href=\"https:\/\/www.theregister.co.uk\/2018\/03\/05\/emirates_dinged_for_slipshod_privacy_practices\/\" target=\"_blank\" rel=\"noopener\">The Register<\/a> aufgegriffen wurde, reagierte Emirates mit einer Stellungnahme gegen\u00fcber The Register. <\/p>\n<blockquote>\n<p>We are aware of the article posted by Mr Konark Modi on 2 March 2018. We take all claims of security or privacy breaches seriously and have conducted a thorough review of our sites and systems. We can confirm that none of the security vulnerabilities highlighted in Mr Modi's article will allow a breach (unauthorized access) of personal data on our website or mobile app.  <\/p>\n<p>Whilst we do use a number of third party analytical tools on our sites for the purpose of improving the online browsing experience, we continually review how these are implemented. The depiction in Mr Modi's article as to what data is being shared, or customer choice in 'opting out' is inaccurate. We are committed to protecting the privacy of our customer's personal data. Customers can find out more about how we use personal data and how they can opt out by reading our privacy policy on emirates.com.<\/p>\n<\/blockquote>\n<p>H\u00e4tten die lieber nicht tun, sondern mal nachdenken sollen. In <a href=\"https:\/\/medium.freecodecamp.org\/privacy-leaks-round-trip-emirates-com-in-denial-7f99950bcdd\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> zerrupft Modi die Stellungnahme und \u00fcberf\u00fchrt Emirates der glatten Falschaussage. Das ist \u00fcbrigens nicht der erste Fall, wo solche erschreckenden Datenpannen ruchbar wurden. Ich erinnere an meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2016\/12\/27\/sicherheitslcken-bei-flugbuchungen-und-internet-telefonie\/\">Sicherheitsl\u00fccken bei Flugbuchungen und \u2013Internet\/-Telefonie<\/a>, den der Sicherheitspezialist Carsten Nohl 2016 aufdeckte. <\/p>\n<blockquote>\n<p>Wenn ich dann <a href=\"http:\/\/www.zeit.de\/digital\/2018-03\/digitalisierung-dorothee-baer-staatsministerin-csu\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> in der Zeit mit dem Kommentar von Stephan Noller zu den \u00c4u\u00dferungen von Deutschlands neue Frau f\u00fcrs Digitale, Doro B\u00e4r, lese, kann ich nur den Kopf sch\u00fctteln. Einmal ob des schr\u00e4gen Kommentars von Herrn Noller. Gut, der Mann ist 'Psychologe, Vizepr\u00e4sident des Bundesverbands digitale Wirtschaft und engagiert sich in dem SPD-nahen Thinktank D64' \u2013 absoluter Spezialist \u2013 und die Zeit gibt sich gerne f\u00fcr so was her. Und zum zweiten zu den Vorstellungen der Dame in Richtung Digitalwirtschaft. Mit solchen 'Spezialisten' braucht es keine Hacker mehr, um Missbrauch und Identit\u00e4tsdiebstahl T\u00fcr und Tor zu \u00f6ffnen. Deutschland 2018 \u2026<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Wer bei der Fluglinie Emirates einen Flug und sonstige Leistungen online bucht, wird ja heute so gemacht; ist in Punkto Sicherheit und Privatsph\u00e4re verratzt. Offenbar machen die haarstr\u00e4ubende Sicherheitsfehler.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4338,4328],"class_list":["post-201833","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-internet","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201833","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=201833"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201833\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=201833"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=201833"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=201833"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}