Abo
  • IT-Karriere:

Daten bei der Lufthansa waren unsicher (Update)

Unbefugte erhielten Zugriff auf Redaktionssystem einer Lufthansa-Seite

Auf einer Microsite der Lufthansa gab es ein Sicherheitsloch, über das Unbefugte an persönliche Daten gelangen konnten. Mittlerweile ist der Fehler korrigiert. Der Fall zeigt, wie wenig Wert Unternehmen auf die Absicherung von Daten legen, die von Kunden bereitgestellt wurden.

Artikel veröffentlicht am ,

Golem.de-Leser Thomas Kruse hat die Redaktion auf den Fehler bei der Lufthansa hingewiesen. Er war auf das Sicherheitsleck eher durch Zufall in der vergangenen Woche gestoßen, aufgrund des Feiertags zog sich die Beseitigung des Fehlers hin. Am 22. Mai 2009 wurde der Fehler nach nochmaligem Hinweis durch Kruse beseitigt.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. BAS Kundenservice GmbH & Co. KG, Berlin

Das Sicherheitsloch befand sich in einer Webseite, die eigentlich dazu gedacht war, Passagiere darüber zu informieren, welche Filme auf einem Flug gezeigt werden. Allerdings war die dafür eingerichtete Webseite funktionslos und ist es nach Angaben von Kruse noch immer. Weil er einen Fehler in der URL vermutete, kürzte er diese und landete in einem Redaktionssystem, bei dem er sich ohne weitere Überprüfung anmelden konnte. Damit erhielt er Zugriff auf Daten anderer Nutzer, die eigentlich nicht so einfach für Unbefugte erreichbar sein sollten.

Nach mehreren Anläufen konnte er die Lufthansa dazu bringen, den Fehler zu korrigieren. Den genauen Ablauf schildert Kruse ausführlich in einem Blogeintrag. Darin kritisiert er, dass Unternehmen solche Dienstleistungen an Agenturen auslagern, wie es auch beim Lufthansa-Fall war.

Nachtrag vom 27. Mai 2009, 12:32 Uhr:

Die für die genannte Microsite verantwortliche Agentur wies darauf hin, dass das Unternehmen die für Unbefugte erreichbaren persönlichen Daten nicht als Kundendaten ansieht. Die Agentur stuft diese als Social-Media-Daten ein. Dabei handelt es sich unter anderem um Daten von Lufthansa-Kunden, die an einer Onlineumfrage teilgenommen oder Grüße hinterlassen und dabei auch ihren Namen genannt haben. Nach Aussage der Agentur hätten manche der Nutzer auch Pseudonyme oder keinen Namen angegeben. Der Artikeltext wurde entsprechend überarbeitet.

Zu den Kommentaren springen
Meistgelesen
  1. Fredrick Brennan
    "Ich bereue es, 8chan gegründet zu haben"
  2. Star Wars Jedi Fallen Order angespielt
    Die Rückkehr der Sternenkriegersolospiele
  3. Urheberrecht
    Razzia bei Filesharing-Plattform
  4. Offene Prozessor-ISA
    Wieso RISC-V sich durchsetzen wird
  5. Indiegogo
    Minidrucker trägt Motive auf Papier, Holz und Haut auf
Anzeige
Hardware-Angebote
  1. 99,00€
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  4. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
Kommentarübersicht
Re: Social-Media-Daten? Peinlich!
GlühStrumpf 27. Mai 2009

Interessant dass des Update inzwischen stillschweigend nochmal aktualisiert wurde: Nun...

Re: Lieber Deutsche Bahn und T-Com
Dorftrottel. 27. Mai 2009

oha, Ironie nicht verstanden?

Re: Sollte man nicht veröffentlichen
Bildzeitung 27. Mai 2009

Ganz ehrlich wenn so eine Lücke publik wird, würde ich schon gern davon erfahren...

Nee echt jetzt? k.T.
Weissbrothirn 26. Mai 2009

#

Nur der Vorbote?
VonNerLaien 26. Mai 2009

Die Agentur verkündet stolz: travelworld.lufthansa.com ist das neue projekt. typo3...

Folgen Sie uns
       
Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019)

Von außen ist das Razer Blade Stealth wieder einmal unscheinbar. Das macht das Gerät für uns besonders, da darin potente Hardware steckt, etwa eine Geforce GTX 1650.

Razer Blade Stealth 13 mit GTX 1650 - Hands on (Ifa 2019) Video aufrufen
Hacker
Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden
Provider
Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate
Angespielt
Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /