{"id":225821,"date":"2019-12-09T17:11:43","date_gmt":"2019-12-09T16:11:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=225821"},"modified":"2019-12-13T11:26:43","modified_gmt":"2019-12-13T10:26:43","slug":"datenleck-bei-lufthansa-milesmore-konten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/09\/datenleck-bei-lufthansa-milesmore-konten\/","title":{"rendered":"Datenleck bei Lufthansa Miles&More-Konten?"},"content":{"rendered":"

[English<\/a>]Gerade bin ich durch eine Blog-Teilnehmerin auf ein Datenschutzproblem beim Vielfliegerprogramm Miles & More der Lufthansa aufmerksam gemacht worden. Bei den Miles&More-Konten hatte der Blog-Leser pl\u00f6tzlich Zugriff auf die Daten anderer Kunden. Erg\u00e4nzung:<\/strong> Text um Informationen und Stellungnahmen von Lufthansa Miles & More erg\u00e4nzt.<\/p>\n

<\/p>\n

\"\"Blog-Leserin Daniela V. schickte mir eben eine Mail (danke daf\u00fcr), in der sie auf einen dicken Klopper beim Miles&More-Programm aufmerksam machte. Dazu schrieb sie mir:<\/p>\n

es gab gerade ein gewaltiges Problem bei Miles&More.<\/p>\n

Ich wollte in meiner Konto\u00fcbersicht etwas nachsehen und muss daf\u00fcr mein Passwort eingeben (bleibe immer tempor\u00e4r eingeloggt), angeblich war es aber bei Eingabe falsch.<\/p>\n

Also hab ich mich nochmal komplett abgemeldet und neu angemeldet. Allerdings bin ich dann mit meinen Userdaten nicht mehr in meinem Konto gelandet, sondern bei jemand vollkommen Fremden.<\/p>\n

Das Ganze hab ich noch 6-mal wiederholt und immer bin ich bei einem anderen M&M-Teilnehmer gelandet.<\/p>\n

Von 6 der ungewollten \"Fremdzugriffe\" habe ich Screenshots gemacht.<\/p><\/blockquote>\n

Mir liegen diverse Screenshots betreffender Kontendaten, die beim Anmeldeversuch angezeigt wurden, vor. Hier ein erster Datensatz eines Kunden<\/p>\n

\"Miles&More-Konto<\/a>
\n(Miles&More-Konto 1, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Hier der Screenshot eines zweiten Kontos, dessen Daten nach einer Anmeldung mit den Zugangsdaten von Daniela eingeblendet wurden.<\/p>\n

\"Miles&More-Konto<\/a>
\n(Miles&More-Konto 2, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

Daniela V. hat dies mehrfach versucht und kam jedes Mal auf einen Datensatz eines fremden Kontos, nicht aber auf ihre eigenen Daten. Sie schrieb mir dazu, dass sie in der Facebook-Gruppe von Miles & More nachgefragt habe und dort Best\u00e4tigungen anderer Betroffener erhalten habe.<\/p>\n

Hatte jetzt zwischenzeitlich in der M&M Facebook-Gruppe mal gefragt, ob das auch jemand hat. Es kamen jetzt einige R\u00fcckmeldungen mit dem gleichen Problem.<\/p>\n

Kurz danach ist der Login im Portal \u00fcbrigens nicht mehr m\u00f6glich gewesen.<\/p>\n

Ich frage mich nat\u00fcrlich, was da schief gelaufen ist und ob da jemand nicht auch Unsinn mit solchen Daten treiben kann bzw. ob es ein Fall f\u00fcr die DSGVO ist?<\/p><\/blockquote>\n

Bez\u00fcglich der Frage 'was schief gelaufen ist' hege ich den Verdacht, dass da eine Indexierung einer Datenbank m\u00f6glicherweise in den Wald gelaufen ist. Ob das ein Fall f\u00fcr die DSGVO ist?<\/p>\n

Ich denke ja, denn es war ja Benutzern an Hand ihrer Zugangsdaten m\u00f6glich, auf die pers\u00f6nlichen Daten anderer Konten zuzugreifen \u2013 es sei denn, es h\u00e4tte sich um Testdaten in der Datenbank gehandelt (was ich nicht glaube).<\/p>\n

Weitere Fundstellen und Schlenker<\/h2>\n

Im Nachgang schrieb mir Daniela, dass der Login gesperrt, dann h\u00e4tte er f\u00fcr kurze Zeit wieder funktioniert. Die erste Anmeldung zeigte dann die eigenen Daten. Nach einem weiteren Anmeldeversuch wurden erneut fremde Daten gezeigt. Daniela schreibt mit Recht:<\/p>\n

Zwischenzeitlich ging \u00fcbrigens der Login mal kurz wieder. Beim zweiten Versuch war ich tats\u00e4chlich in meinem Account. Zum Abkl\u00e4ren hab ich es ein drittes Mal probiert und auch da war ich wie beim ersten mal falsch.<\/p>\n

Ich halte das schon f\u00fcr sehr bedenklich, gerade auch Sicht eines IT-lers.<\/p>\n

Ich hoffe, dass es da irgendwelche Konsequenzen gibt, man h\u00e4tte wer wei\u00df was mit den Meilen anstellen k\u00f6nnen und ich hab da nicht im Kopf, wie weit das bez\u00fcglich Daten gehen w\u00fcrde (verbundene Kreditkarte, Bankverbindung, Adressdaten).<\/p><\/blockquote>\n

Da ist was geh\u00f6rig schief gelaufen. Es sind wohl eine Menge Leute betroffen \u2013 manche haben es m\u00f6glicherweise nicht bemerkt, weil sie sich nicht eingeloggt haben. Bei einer schnelle Suche im Web bin ich auf den folgenden Tweet mit der Best\u00e4tigung gesto\u00dfen.<\/p>\n

\n

L\u00e4uft mal wieder bei der Lufthansa. Beim Login \u00fcber die Miles&More-Website erhielt man eben Zugriff auf beliebige fremde Nutzeraccounts und konnte dort alle Daten einsehen. \u200d\u2642\ufe0f<\/p>\n

Wird mal Zeit f\u00fcr ne ordentliche DSGVO-Strafe…https:\/\/t.co\/Kz6ZHQTeHO<\/a><\/p>\n

\u2014 Peer Linder (@delpiero223) December 9, 2019<\/a><\/p><\/blockquote>\n