Categories: Sicherheit

Miles & More: Kunden berichten über Datenleck [UPDATE]

Laut Kundenberichten ist es beim Vielfliegerprogramm der Lufthansa zu einem Datenleck gekommen. Nach der Anmeldung bei Miles & More hatten Kunden teilweise Zugriff auf fremde Profile. Einige Anwender beklagen den Verlust von Meilen. Der Vorfall ereignete sich den Berichten zufolge gestern am späten Nachmittag.

Die ersten Berichte über die Fehlfunktion tauchten gestern Nachmittag um 16:35 Uhr im Forum vielfliegertreff.de auf. „Ich habe mich gerade versucht in meinen Miles and More Account einzuloggen und bin jetzt in dem Account eines anderen Users aus Polen und kann alle seine Daten sehen. Problem ist schon bei mehreren Personen aufgetaucht. Miles and more habe ich bereits angerufen und informiert.“ Ein anderer Nutzer beklagt den Verlust von 60.000 Meilen. Diese seien in kleinen und großen Teilen für Klimaschutz gespendet worden.

Gegenüber aeroTELEGRAPH bestätigte eine Miles&More-Mitarbeiterin den Vorfall. Am 9.12.2019 seien Miles&More-Mitglieder von 16:08 bis 16:40 Uhr nach dem Login auf andere Konten gelangt. Um 16:40 Uhr hat Miles & More die Anmeldung aus Sicherheitsgründen bis auf Weiteres deaktiviert. Derzeit ist die Anmeldung über die Web-Präsenz von Miles & More nicht möglich. Als Problem wird ein technischer Fehler genannt. Die Anmeldung über die Miles & More-App und über die Lufthansa-Webseite funktioniert hingegen. Auch beim Aufruf der Seite zur Kontaktaufnahme kommt es zu einem Fehler. Kunden können sich aber an den Datenschutzbeauftragten der Lufthansa, der auch für Miles & More zuständig ist, wenden: datenschutz@dlh.de

Ob es sich bei dem Vorfall um die Folgen eines Hackerangriffs handelt oder um einen Fehler bei der Wartung des IT-Systems, ist derzeit nicht bekannt. ZDNet.de hat eine Anfrage zu dem Vorfall an Miles & More gestellt und berichtet an dieser Stelle, sobald eine Antwort vorliegt.

Laut Datenschutzgrundverordnung muss ein meldepflichtiger Vorfall innerhalb von 24 Stunden nach Feststellung der Datenschutzverletzung gemeldet werden.

UPDATE 15:30 Uhr: Offizielle Stellungnahme

Wir können bestätigen, dass es am Montag, den 9. Dezember 2019 im Zeitraum von 16:00 bis 16:40 Uhr eine technische Störung beim Login auf der Miles & More Website gab. Miles & More Teilnehmer konnten in dem genannten Zeitraum Konten anderer Teilnehmer einsehen, die sich im gleichen Zeitraum eingeloggt haben. Insgesamt wurden während dieser Zeit 4.100 Logins vorgenommen, wobei einige Teilnehmer sich mehrfach eingeloggt haben.

Um 16:40 Uhr wurde daraufhin die Login-Funktion deaktiviert und damit die Störung abgestellt. Somit waren keine Zugriffe auf Teilnehmer-Konten mehr möglich.

Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen.

Die Miles & More IT arbeitet mit Hochdruck an der Fehleranalyse und führt umfangreiche Tests durch. Wir bitten unsere Teilnehmer weiterhin um Geduld. Die Login-Funktion wird fortlaufend intensiv überwacht und nach der Fehlerbehebung stufenweise freigeschaltet. Für einen Hackerangriff gibt es aktuell keinerlei Anzeichen.

Falls es in Einzelfällen zu Auffälligkeiten in den betroffenen Teilnehmer-Konten gekommen ist, wird Miles & More diese identifizieren und schnellstmöglich korrigieren. Zudem wird sichergestellt, dass den betroffenen Teilnehmern keine Meilen unrechtmäßig abgebucht werden. Übergriffe krimineller Art sind aktuell nicht erkennbar. Betroffene Miles & More Teilnehmer werden unverzüglich informiert. Miles & More empfiehlt diesen Teilnehmern, ihre Anmeldedaten sicherheitshalber zu ändern.

Miles & More steht zu dem Vorfall mit den Datenschutzbehörden in Kontakt. Eine abschließende datenschutzrechtliche Bewertung steht noch aus.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Mozilla verbannt in zwei Wochen mehr als 200 schädliche Firefox-Add-ons

Sie schleusen Schadcode ein oder stehlen vertrauliche Daten. Auch Codeverschleierung stuft Mozilla als Risiko und damit als unerwünscht ein. Mozilla…

13 Stunden ago

Hacker verteilen Ransomware über Sicherheitslücke in Citrix-Servern

Mindestens zwei Ransomware-Kampagnen richten sich inzwischen gegen ungepatchte Citrix-Produkte. Andere Hacker kapern Citrix-Geräte und bieten die Zugänge in Foren an.…

15 Stunden ago

Workaround für Zero-Day-Lücke in IE legt Windows-Druckfunktion lahm

Betroffen sind offenbar Drucker von HP und USB-Drucker anderer Hersteller. Auch der Windows Media Player und das Wartungstool sfc haben…

17 Stunden ago

Shlayer: Mac-Malware betrifft vor allem Nutzer in den USA und Deutschland

Die Schadsoftware bedroht Nutzer schon seit 2018. Seitdem hat mehr als ein Zehntel aller Mac-Nutzer Kontakt mit Shlayer. Die Malware…

19 Stunden ago

Mitsubishi Electric über Zero-Day-Lücke in Trend Micro OfficeScan angegriffen

Trend Micro schließt die Lücke im Oktober 2019. Zu dem Zeitpunkt ist Mitsubishi bereits ein Opfer der Schwachstelle. Offiziell bestätigt…

21 Stunden ago

Betrugsversuche: Google sperrt kostenpflichtige Erweiterungen für Chrome

Die Zahl der Betrugsversuche steigt im Januar offenbar deutlich an. Entwickler können derzeit weder neue kostenpflichtige Erweiterungen veröffentlichen, noch Updates…

22 Stunden ago