Miles & More: Kunden berichten über Datenleck [UPDATE]

Laut Kundenberichten ist es beim Vielfliegerprogramm der Lufthansa zu einem Datenleck gekommen. Nach der Anmeldung bei Miles & More hatten Kunden teilweise Zugriff auf fremde Profile. Einige Anwender beklagen den Verlust von Meilen. Der Vorfall ereignete sich den Berichten zufolge gestern am späten Nachmittag.

Die ersten Berichte über die Fehlfunktion tauchten gestern Nachmittag um 16:35 Uhr im Forum vielfliegertreff.de auf. „Ich habe mich gerade versucht in meinen Miles and More Account einzuloggen und bin jetzt in dem Account eines anderen Users aus Polen und kann alle seine Daten sehen. Problem ist schon bei mehreren Personen aufgetaucht. Miles and more habe ich bereits angerufen und informiert.“ Ein anderer Nutzer beklagt den Verlust von 60.000 Meilen. Diese seien in kleinen und großen Teilen für Klimaschutz gespendet worden.

Gegenüber aeroTELEGRAPH bestätigte eine Miles&More-Mitarbeiterin den Vorfall. Am 9.12.2019 seien Miles&More-Mitglieder von 16:08 bis 16:40 Uhr nach dem Login auf andere Konten gelangt. Um 16:40 Uhr hat Miles & More die Anmeldung aus Sicherheitsgründen bis auf Weiteres deaktiviert. Derzeit ist die Anmeldung über die Web-Präsenz von Miles & More nicht möglich. Als Problem wird ein technischer Fehler genannt. Die Anmeldung über die Miles & More-App und über die Lufthansa-Webseite funktioniert hingegen. Auch beim Aufruf der Seite zur Kontaktaufnahme kommt es zu einem Fehler. Kunden können sich aber an den Datenschutzbeauftragten der Lufthansa, der auch für Miles & More zuständig ist, wenden: datenschutz@dlh.de

Ob es sich bei dem Vorfall um die Folgen eines Hackerangriffs handelt oder um einen Fehler bei der Wartung des IT-Systems, ist derzeit nicht bekannt. ZDNet.de hat eine Anfrage zu dem Vorfall an Miles & More gestellt und berichtet an dieser Stelle, sobald eine Antwort vorliegt.

Laut Datenschutzgrundverordnung muss ein meldepflichtiger Vorfall innerhalb von 24 Stunden nach Feststellung der Datenschutzverletzung gemeldet werden.

UPDATE 15:30 Uhr: Offizielle Stellungnahme

Wir können bestätigen, dass es am Montag, den 9. Dezember 2019 im Zeitraum von 16:00 bis 16:40 Uhr eine technische Störung beim Login auf der Miles & More Website gab. Miles & More Teilnehmer konnten in dem genannten Zeitraum Konten anderer Teilnehmer einsehen, die sich im gleichen Zeitraum eingeloggt haben. Insgesamt wurden während dieser Zeit 4.100 Logins vorgenommen, wobei einige Teilnehmer sich mehrfach eingeloggt haben.

Um 16:40 Uhr wurde daraufhin die Login-Funktion deaktiviert und damit die Störung abgestellt. Somit waren keine Zugriffe auf Teilnehmer-Konten mehr möglich.

Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen.

Die Miles & More IT arbeitet mit Hochdruck an der Fehleranalyse und führt umfangreiche Tests durch. Wir bitten unsere Teilnehmer weiterhin um Geduld. Die Login-Funktion wird fortlaufend intensiv überwacht und nach der Fehlerbehebung stufenweise freigeschaltet. Für einen Hackerangriff gibt es aktuell keinerlei Anzeichen.

Falls es in Einzelfällen zu Auffälligkeiten in den betroffenen Teilnehmer-Konten gekommen ist, wird Miles & More diese identifizieren und schnellstmöglich korrigieren. Zudem wird sichergestellt, dass den betroffenen Teilnehmern keine Meilen unrechtmäßig abgebucht werden. Übergriffe krimineller Art sind aktuell nicht erkennbar. Betroffene Miles & More Teilnehmer werden unverzüglich informiert. Miles & More empfiehlt diesen Teilnehmern, ihre Anmeldedaten sicherheitshalber zu ändern.

Miles & More steht zu dem Vorfall mit den Datenschutzbehörden in Kontakt. Eine abschließende datenschutzrechtliche Bewertung steht noch aus.