Daten bei der Lufthansa waren unsicher (Update)

Unbefugte erhielten Zugriff auf Redaktionssystem einer Lufthansa-Seite

Auf einer Microsite der Lufthansa gab es ein Sicherheitsloch, über das Unbefugte an persönliche Daten gelangen konnten. Mittlerweile ist der Fehler korrigiert. Der Fall zeigt, wie wenig Wert Unternehmen auf die Absicherung von Daten legen, die von Kunden bereitgestellt wurden.

Artikel veröffentlicht am ,

Golem.de-Leser Thomas Kruse hat die Redaktion auf den Fehler bei der Lufthansa hingewiesen. Er war auf das Sicherheitsleck eher durch Zufall in der vergangenen Woche gestoßen, aufgrund des Feiertags zog sich die Beseitigung des Fehlers hin. Am 22. Mai 2009 wurde der Fehler nach nochmaligem Hinweis durch Kruse beseitigt.

Stellenmarkt
  1. Software Developer (d/m/w) - Firmware
    OSRAM GmbH, Paderborn
  2. Manager (m/w/d) Chemoinformatics / Data Science
    Evonik Operations GmbH, Hanau
Detailsuche

Das Sicherheitsloch befand sich in einer Webseite, die eigentlich dazu gedacht war, Passagiere darüber zu informieren, welche Filme auf einem Flug gezeigt werden. Allerdings war die dafür eingerichtete Webseite funktionslos und ist es nach Angaben von Kruse noch immer. Weil er einen Fehler in der URL vermutete, kürzte er diese und landete in einem Redaktionssystem, bei dem er sich ohne weitere Überprüfung anmelden konnte. Damit erhielt er Zugriff auf Daten anderer Nutzer, die eigentlich nicht so einfach für Unbefugte erreichbar sein sollten.

Nach mehreren Anläufen konnte er die Lufthansa dazu bringen, den Fehler zu korrigieren. Den genauen Ablauf schildert Kruse ausführlich in einem Blogeintrag. Darin kritisiert er, dass Unternehmen solche Dienstleistungen an Agenturen auslagern, wie es auch beim Lufthansa-Fall war.

Nachtrag vom 27. Mai 2009, 12:32 Uhr:

Die für die genannte Microsite verantwortliche Agentur wies darauf hin, dass das Unternehmen die für Unbefugte erreichbaren persönlichen Daten nicht als Kundendaten ansieht. Die Agentur stuft diese als Social-Media-Daten ein. Dabei handelt es sich unter anderem um Daten von Lufthansa-Kunden, die an einer Onlineumfrage teilgenommen oder Grüße hinterlassen und dabei auch ihren Namen genannt haben. Nach Aussage der Agentur hätten manche der Nutzer auch Pseudonyme oder keinen Namen angegeben. Der Artikeltext wurde entsprechend überarbeitet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


GlühStrumpf 27. Mai 2009

Interessant dass des Update inzwischen stillschweigend nochmal aktualisiert wurde: Nun...

Dorftrottel. 27. Mai 2009

oha, Ironie nicht verstanden?

Bildzeitung 27. Mai 2009

Ganz ehrlich wenn so eine Lücke publik wird, würde ich schon gern davon erfahren...

Weissbrothirn 26. Mai 2009

#



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /