Auch wenn die Sicherheitslücke indessen geschlossen wurde, handelt es sich um eine gravierende Datenpanne bei Lufthansa und Swiss.
Anfang April kam es zu einem Datenleck bei der Lufthansa Group. Dahingehend konnten Passagiere fremde Flugdaten einsehen. Wenngleich der Konfigurationsfehler indessen behoben wurde, handelt es sich um einen schweren Verstoß gegen die Datenschutzrichtlinien, wie fvw berichtet. Rund um denselben Zeitraum kam es überdies zu technischen Schwierigkeiten beim Check-in der Lufthansa Group.
Das Wichtigste in Kürze
- Am 8. April waren Passagierdaten auf der Website der Fluggesellschaft öffentlich einsehbar
- Ob von der Datenlücke Gebrauch gemacht wurde, ist jedoch nicht bekannt
- Swiss, die auch vom Datenleck betroffen war, versicherte, etwaige Kosten zu übernehmen, sollte es zu Problemen in diesem Zusammenhang kommen
Ein grober Fauxpas
Wie sensible die Daten auf der Bordkarte sind, haben wir bereits in unserem Guide thematisiert. Doch eben ein Teil dieser Informationen ist der Lufthansa Group im Zuge einer Datenpanne abhandengekommen. Wie auch eine Sprecherin der Lufthansa bestätigte, waren Passagierdaten auf der Website der Fluggesellschaft am 8. April öffentlich einsehbar. Der Sprecherin zufolge handelte es sich um einen Konfigurationsfehler, der es Siri erlaubte, Login- und Flugdaten zu erkennen und diese in den Kalender einzutragen – jedoch geschah dies willkürlich, sodass sich diese Informationen in fremde Kalender einfügten.
Das Gravierende daran ist, dass die Kalendereinträge nicht nur eingesehen werden konnten, sondern auch zur Bearbeitung frei zugänglich waren. Schließlich gelangt man eingeloggt auf persönliche Daten, wie etwa E-Mail-Adresse, Telefonnummer und Vielfliegernummer. Ob von dieser Datenlücke Gebrauch gemacht wurde, ist allenfalls nicht bekannt.
Auch Swiss von Datenleck betroffen
Neben der Mainline war auch die Schweizer Tochtergesellschaft Swiss von der Datenpanne betroffen. Swiss versicherte jedoch, dass die Fluggesellschaft etwaige entstehende Kosten übernehmen würde, sollte es zu Problemen in diesem Zusammenhang kommen.
Auch im Jahr 2021 kam es zu einer Datenpanne bei Miles & More. Im Zuge dessen wurden über eine Million Kundendaten bei einem Hackerangriff gestohlen.
Unabhängig von dieser Datenpanne:
Die IT im Konzern scheint immer noch nicht auf der Höhe der Zeit zu sein.
So halte ich es für nichts anderes als für grob fahrlässig, dass im Jahr 2024 bei der Lufthansa (bzw. bei Miles & More) auch bei einer für den Account aktivierten 2-Faktor-Authentifizierung ein Login nur mit der Servicekartennummer und mit der lediglich 5stelligen PIN erfolgt – also ohne zusätzliche Sicherheitsstufe.
Nach meinem Kenntnisstand sind bisher nur Änderungen der persönlichen Daten durch 2FA geschützt.
Bspw. Flüge zu stornieren ist in jedem Account möglich, sobald man nur mit der Servicekartennummer und mit der kurzen PIN Zugang hat.
Mehr als fünf Stellen bei der PIN kann man nicht einstellen.
Oder sehe ich das falsch? Hat sich da zwischenzeitlich etwas getan?
Die Daten sind nicht “abhanden gekommen” (sie liegen ja bei LH erst mal noch unverändert vor), sie waren “nur” öffentlich einsehbar. Ein Verstoß gegen die Vertraulichkeit, nicht gegen die Datenintegrität.
Aber auch das darf natürlich nicht vorkommen.
Da hat wohl jemand mit der AI gespielt, ohne sich über die Konsequenzen im Klaren zu sein.