Datenpanne: Kunden von Lufthansa Miles & More sahen fremde Nutzerdaten

Am vergangenen Montag konnten Miles-and-More-Kunden zeitweise vertrauliche Daten anderer, zeitgleich im Portal eingeloggter Kunden sehen.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Datenpanne: Kunden von Lufthansa Miles & More sahen fremde Nutzerdaten

(Bild: Shutterstock)

Lesezeit: 3 Min.
Von
  • Günter Born
Inhaltsverzeichnis

Beim Vielfliegerprogramm Miles & More der Lufthansa kam es am vergangenen Montag, dem 9. Dezember 2019 zu einer Datenschutzverletzung: Benutzer, die sich an ihrem Miles & More-Konto anmeldeten, konnten zeitweise Profildaten anderer Benutzerkonten einsehen. Zudem hätten sie wohl auch fremde Meilen einlösen können.

Gegenüber dem Autor dieser Meldung bestätigte ein Pressesprecher der Deutschen Lufthansa AG den Vorfall bei der 100-prozentigen Lufthansa-Tochter Miles & More GmbH. Das Problem habe am 9. Dezember ab 16 Uhr für rund 40 Minuten bestanden. Um 16:40 Uhr wurde die Login-Funktion des Miles-and-More-Portals, wohl aufgrund von Kundenbeschwerden bei der Hotline, zeitweise komplett deaktiviert.

Hinweise auf einen Hackerangriff gibt es laut Miles & More nicht; offenbar resultierte der Vorfall aus einem technischen Fehler seitens des Unternehmens.

Das Problem wurde dem Autor des Beitrags von Betroffenen gemeldet und mit Screenshots dokumentiert

(Bild: Screenshot)

Laut Stellungnahme der Lufthansa sind lediglich Miles & More-Kunden von dem Vorfall betroffen, die am 9. Dezember im Zeitraum von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt waren. Systeme außerhalb der Miles & More Website (z.B. Miles & More App oder LH.com) waren ausdrücklich nicht betroffen.

Insgesamt seien innerhalb des fraglichen Zeitraums Daten aus maximal 9.885 Konten abgerufen worden. Angezeigt wurden sie demnach "teilweise dem Inhaber des Kontos" und "teilweise anderen, zeitgleich eingeloggten Teilnehmern".

Anhand von Protokolldateien sei ermittelt worden, dass sich im betreffenden Zeitraum 4100 Teilnehmer aktiv einloggten (und dabei unfreiwillig fremde Daten abriefen). Bei den übrigen betroffenen Konten habe es sich um solche von dauerhaft eingeloggten Teilnehmern gehandelt. Gegenüber dem Autor dieses Artikels berichteten Nutzer, dass ihnen bei mehreren Anmeldeversuchen jeweils unterschiedliche Datensätze fremder Profile im Browser angezeigt wurden.

Aus der Stellungnahme geht hervor, dass potenziell Name, Servicekartennummer, Geburtsdatum, Adresse, Email, Telefonnummer, Benutzername, Meilenstand, Transaktionsdaten, Reisepräferenzen (Abflughafen und Automatischer Check-In), Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung der fremden Kundenkonten durch Dritte einsehbar waren.

Nicht einsehbar seien vollständige Daten von Bankkonten und Kreditkarten gewesen, sondern nur die jeweils letzten vier Stellen. Ein Kartenmissbrauch durch diese Daten schließt Miles & More daher aus.

Laut einer E-Mail, mit der Miles & More potenziell Betroffene mittlerweile über den Vorfall informiert hat, habe während der Datenpanne außerdem die Möglichkeit bestanden, im Rahmen des Miles-and-More-Programms fremde Meilen einzulösen. Das Unternehmen betont in der E-Mail allerdings, dass es widerrechtlich abgebuchte Meilen den Betroffenen "selbstverständlich" gutschreiben werde.

Einem Hinweis auf milesandmore.com zufolge ist die Login-Funktion wieder verfügbar; allerdings könne es zu Login-Verzögerungen kommen und Änderungen an Profildaten seien derzeit nicht möglich.

Ob der Datenschutzvorfall, der DSGVO-relevant sein dürfte, zeitnah den zuständigen Aufsichtsbehörden gemeldet wurde, ging aus den Verlautbarungen des Betreibers zunächst nicht hervor.

[Update 13.12.19, 13:55:]

Inhaltliche Ergänzung: Eine Pressesprecherin von Miles & More erklärte gegenüber dem Autor dieses Beitrags, dass das Unternehmen mit den Datenschutzbehörden in Kontakt stehe. Eine abschließende datenschutzrechtliche Bewertung stehe aber noch aus.

Inhaltliche Korrektur im Text: Portalzugriffsmöglichkeiten außerhalb der Miles & More Website waren nicht von der Störung betroffen. (ovw)