Daten von Millionen Fluggästen jahrelang im Internet einsehbar

Willkommen an Board: Die FCC will das Handy-Verbot während Flügen überdenken.

Das Buchungsportal Cosmita.com erlaubte es über Jahre hinweg, Bankverbindungen, Name und Anschrift von Fluggästen mit einem einfachen Trick einzusehen. Inzwischen soll das Leck behoben sein.

Das Portal Cosmita.com litt über Jahre an laxer Datensicherheit. So konnten sämtliche Passagierdaten eingesehen werden, darunter Informationen wie Name, Anschrift, Flugticket, Rechnungen und teilweise auch die Bankdaten. Wie die Süddeutsche Zeitung berichtet, sollen diese Informationen ohne technische Kenntnisse abrufbar gewesen sein.

Auf Cosmita.com können Fluggäste über die Eingabe des Namens und des Buchungscodes auf Reisepläne zugreifen. Daneben bietet das Portal der Berliner Aerticket AG auch weitere Funktionen wie Sitzplatzreservierung, Online-Check-in oder die Bestellung von Essen. Nutzer können diese Informationen auch an Freunde oder Bekannte senden.

Einloggen über Name und Buchungscode. Über Cosmita konnte man über eine Änderung an der URL auch die Daten anderer Fluggäste ausfindig machen. Millionen Reisende sollen betroffen sein. (Screenshot: silicon.de)
Einloggen über Name und Buchungscode. Über Cosmita konnte man über eine Änderung an der URL auch die Daten anderer Fluggäste ausfindig machen. Millionen Reisende sollen betroffen sein. (Screenshot: silicon.de)

Jedoch sollen laut Süddeutscher Zeitung diese Daten für jedermann über das Web abrufbar gewesen sein. Somit hatten auch Kriminelle die Möglichkeit, personenbezogene Daten von Reisenden zu erbeuten. Die Daten sind recht umfangreich und würden sich für Kriminelle durchaus lohnen: Reisedaten mit dem Startflughafen, Preis und Datum des Flugtickets und neben Anschrift und Namen auch die Bankverbindung des Reisenden. Immerhin: Bei Zahlungen mit Kreditkarte wurde allerdings nur ein Teil der Nummer dargestellt.

Offenbar geht das Datenleck auf den Berliner Großhändler Aerticket zurück, der die Flugtickets als Großhändler für insgesamt 14.500 Online-Reiseportale oder Reisebürs ausstellt. Offenbar waren auch Unister-Marken wie Fluege.de oder Ab-in-den-Urlaub von dem Sicherheitsproblem bei dem laut eigenen Angaben größten deutschen Flugticketgroßhändler betroffen. Wie die Süddeutsche betont, soll es aber keinen Zusammenhang mit der Insolvenz von Unister und verschiedenen Tochtermarken geben.

Deutschlands größter Flugticket-Händler hatte jahrelang Daten von Kunden über das Internet verbreitet. (Bild: Shutterstock)
Deutschlands größter Flugticket-Händler hatte jahrelang Daten von Kunden über das Internet verbreitet. (Bild: Shutterstock)

Laut Bericht soll der Anbieter das leck bereits wenige Stunden, nachdem die Zeitung es gemeldet hatte, geschlossen haben. Das Problem soll laut dem Großhändler jedoch bereits seit 2011 bestanden haben. Jedoch soll nur ein Bruchteil der Tickes einsehbar gewesen sein, wie das Unternehmen versichert. Etwa 25 Prozent der insgesamt jährlich rund 6 Millionen Tickets, die das Unternehmen ausstellt, sollen über das Internet abrufbar gewesen sein. Die Zeitung kalkuliert daraus die Zahl 1,5 Millionen. Allerdings lasse sich die Aussage nicht verifizieren. Wenn das Unternehmen tatsächlich pro Jahr 6 Millionen Tickets ausstellt, das Problem seit Ende 2011, also seit mehr als vier Jahren besteht, liege die Zahl der Betroffenen Buchungen bei 6 Millionen.

Um an die Informationen zu kommen, musste man sich einloggen und dann eine Nummer in der URL des Informationssystem ändern. Dadurch konnte man auch Dokumente anderer Reisender aufrufen. Diese URLs blieben auch einige Monate aufrufbar.

Das Problem ähnelt damit dem, das diverse Cloud-Dienste haben, die ihren Nutzern Inhalte via spezifisch für sie erstellter URL zuweisen. Erst kürzlich wiesen Sicherheistforscher zudem darauf hin, dass cih durch einen Trick auch durch HTTPS geschützte URLs im Klartext einsehen lassen. Sie konnten so insbesondere bei Diensten, die den OpenID-Standard nutzen und damit in den an Nutzer verschickten URLs Sicherheitstoken einbinden, persönliche Informationen ausspähen.

Kunden, die über Aerticket einen Flug buchten, bekamen eine Mail mit einem Link. Die eigenen Informationen wurden in einem Dokument vorgehalten, das mit einer achtstelligen Nummer eindeutig zugeordnet wurde. Weitere Sicherheitsmaßnahmen zum Schutz dieser Informationen gab es nicht. Außerdem wurden diese Zahl aufsteigend vergeben, je nachdem, wann die Buchung erfolgte. Wer wollte, konnte so also nach und nach sämtliche Buchungen einsehen.

Jetzt arbeitet der Großhändler an einem Nachfolgeportal für Cosmita. Künftig sollen Reisende nur ihre eigenen Flugdaten über Cockpit.de abrufen können. Der relativ banale Fehler zeigt, wie wenig Firmen teilweise auch in Deutschland auf Datenschutz achten. Das Unternehmen hta zwar mitgeteiltm, dass die Daten nicht von Kriminellen ausgenutzt worden seien, dennoch interessiert sich jetzt der Berliner Datenschutzbeauftragte für den Fall.