Original-URL des Artikels: https://www.golem.de/0905/67359.html    Veröffentlicht: 26.05.2009 12:18    Kurz-URL: https://glm.io/67359

Daten bei der Lufthansa waren unsicher (Update)

Unbefugte erhielten Zugriff auf Redaktionssystem einer Lufthansa-Seite

Auf einer Microsite der Lufthansa gab es ein Sicherheitsloch, über das Unbefugte an persönliche Daten gelangen konnten. Mittlerweile ist der Fehler korrigiert. Der Fall zeigt, wie wenig Wert Unternehmen auf die Absicherung von Daten legen, die von Kunden bereitgestellt wurden.

Golem.de-Leser Thomas Kruse hat die Redaktion auf den Fehler bei der Lufthansa hingewiesen. Er war auf das Sicherheitsleck eher durch Zufall in der vergangenen Woche gestoßen, aufgrund des Feiertags zog sich die Beseitigung des Fehlers hin. Am 22. Mai 2009 wurde der Fehler nach nochmaligem Hinweis durch Kruse beseitigt.

Das Sicherheitsloch befand sich in einer Webseite, die eigentlich dazu gedacht war, Passagiere darüber zu informieren, welche Filme auf einem Flug gezeigt werden. Allerdings war die dafür eingerichtete Webseite funktionslos und ist es nach Angaben von Kruse noch immer. Weil er einen Fehler in der URL vermutete, kürzte er diese und landete in einem Redaktionssystem, bei dem er sich ohne weitere Überprüfung anmelden konnte. Damit erhielt er Zugriff auf Daten anderer Nutzer, die eigentlich nicht so einfach für Unbefugte erreichbar sein sollten.

Nach mehreren Anläufen konnte er die Lufthansa dazu bringen, den Fehler zu korrigieren. Den genauen Ablauf schildert Kruse ausführlich in einem Blogeintrag. Darin kritisiert er, dass Unternehmen solche Dienstleistungen an Agenturen auslagern, wie es auch beim Lufthansa-Fall war.

Nachtrag vom 27. Mai 2009, 12:32 Uhr:

Die für die genannte Microsite verantwortliche Agentur wies darauf hin, dass das Unternehmen die für Unbefugte erreichbaren persönlichen Daten nicht als Kundendaten ansieht. Die Agentur stuft diese als Social-Media-Daten ein. Dabei handelt es sich unter anderem um Daten von Lufthansa-Kunden, die an einer Onlineumfrage teilgenommen oder Grüße hinterlassen und dabei auch ihren Namen genannt haben. Nach Aussage der Agentur hätten manche der Nutzer auch Pseudonyme oder keinen Namen angegeben. Der Artikeltext wurde entsprechend überarbeitet.  (ip)


Verwandte Artikel:
Schweiz: 800.000 Kundendaten von Swisscom kopiert   
(07.02.2018, https://glm.io/132634 )
BSA-Studie: Deutschland ist favorisierter Standort für die Cloud   
(06.03.2018, https://glm.io/133175 )
Rewe: Supermarkteinkauf im Flugzeug erledigen   
(05.10.2017, https://glm.io/130445 )
Datenschutz-Grundverordnung: Was Unternehmen und Admins jetzt tun müssen   
(06.03.2018, https://glm.io/133122 )
Spionage: Angriff auf Bundesregierung dauert noch an   
(01.03.2018, https://glm.io/133075 )

Links zum Artikel:
Lufthansa: http://www.lufthansa.de

© 1997–2019 Golem.de, https://www.golem.de/