Die Website cosmita.com hat Flugreisenden in den vergangenen Jahren einen praktischen Service geboten. Mit Nachname und Buchungsnummer konnten sie ihre Reisepläne einsehen und an Freunde und Verwandte verschicken, Sitzplatzreservierungen durchführen und Essensbestellungen verwalten. Betreiber des Dienstes ist die Aerticket AG, ein Großhändler für Flugtickets, der nach eigenen Angaben für rund 14.500 Online-Reiseportale, Flugsuchmaschinen und stationäre Reisebüros tätig ist.
Eben diese Aerticket AG hat aber offenbar bei der Programmierung seines Endkundendienstes Cosmita geschlampt, denn die Daten von etwa einem Viertel der sechs Millionen Nutzer pro Jahr standen wohl über Jahre hinweg frei verfügbar im Netz. Nicht einmal technisches Wissen war nötig, um die Daten einzusehen. Das Unternehmen hat direkt auf die Information reagiert und die Sicherheitslücke inzwischen geschlossen. Eine Prüfung habe außerdem ergeben, dass sich keine Kriminellen Zugriff verschafft haben, zumindest nicht in den bislang geprüften vergangenen 18 Monaten. Die datenschutzrechtliche Aufarbeitung des Falles könnte sich aufgrund des Ausmaßes aber noch über Monate hinziehen.
Doch wo genau lag der Fehler? Dazu muss man sich den Dienst von Cosmita einmal genauer ansehen. Über das Portal sind mit Nachname und Buchungsnummer Flugtickets, persönliche Daten wie Name und Anschrift, detaillierte Reisepläne sowie Rechnungen, teilweise inklusive BIC und IBAN des überweisenden Kontos, abrufbar. Flugtickets werden laut Aerticket rund einen Monat gespeichert, Rechnungen und Gutschriften hingegen deutlich länger, da diese Daten beispielsweise für die Steuererklärung benötigt werden. Wer also bei einem der betroffenen Partner von Aerticket einen Flug gebucht hat, bekommt eine E-Mail mit einem Download-Link zugeschickt, über den man das Ticket und die Reiseunterlagen abrufen kann. Diesen Dokumenten ordnet die Software dabei eine achtstellige Nummer zu, die gleichzeitig den letzten Teil des Links bildet. Eine weitere Sicherheitsstufe, beispielsweise ein Passwort, war nicht eingebaut. Das Hauptproblem: Das System vergab die Nummer nicht etwa nach dem Zufallsprinzip wie eigentlich üblich, sondern in aufsteigender Reihenfolge nach Zeitpunkt der Buchung. Wer also eine URL mit der Endung 98765432 hatte, konnte direkt alle nachfolgenden Buchungen einsehen, ganz einfach indem er die Zahlenfolge manuell in der Adresszeile des Browsers änderte.
Es ist positiv anzumerken, dass Aerticket bereits vor Veröffentlichung des Artikels in der Süddeutschen Zeitung auf die Hinweise reagiert hat und die Lücke inzwischen geschlossen wurde. Auch steht das Unternehmen bei weitem nicht allein mit solchen Problemen da. Erst vor kurzem hatte der Blog Netzpolitik eine ganz ähnliche Sicherheitslücke bei Helpling, einem Vermittlungsportal für Reinigungskräfte, aufgedeckt. Beide Fälle zeigen, dass Unternehmen in ihren Bestrebungen, einen möglichst unkomplizierten, schnellen Service zu bieten, immer wieder den Datenschutz aus den Augen verlieren. Für Aerticket hat der Fall jedoch sogar etwas Gutes: Derzeit arbeitet das Unternehmen an einem Nachfolger für Cosmita – und hier wird man nun darauf verzichten, einige Funktionen direkt aus dem Vorgänger zu übernehmen. Der Datensicherheit kann das jedenfalls nur gut tun.
Eben diese Aerticket AG hat aber offenbar bei der Programmierung seines Endkundendienstes Cosmita geschlampt, denn die Daten von etwa einem Viertel der sechs Millionen Nutzer pro Jahr standen wohl über Jahre hinweg frei verfügbar im Netz. Nicht einmal technisches Wissen war nötig, um die Daten einzusehen. Das Unternehmen hat direkt auf die Information reagiert und die Sicherheitslücke inzwischen geschlossen. Eine Prüfung habe außerdem ergeben, dass sich keine Kriminellen Zugriff verschafft haben, zumindest nicht in den bislang geprüften vergangenen 18 Monaten. Die datenschutzrechtliche Aufarbeitung des Falles könnte sich aufgrund des Ausmaßes aber noch über Monate hinziehen.
Doch wo genau lag der Fehler? Dazu muss man sich den Dienst von Cosmita einmal genauer ansehen. Über das Portal sind mit Nachname und Buchungsnummer Flugtickets, persönliche Daten wie Name und Anschrift, detaillierte Reisepläne sowie Rechnungen, teilweise inklusive BIC und IBAN des überweisenden Kontos, abrufbar. Flugtickets werden laut Aerticket rund einen Monat gespeichert, Rechnungen und Gutschriften hingegen deutlich länger, da diese Daten beispielsweise für die Steuererklärung benötigt werden. Wer also bei einem der betroffenen Partner von Aerticket einen Flug gebucht hat, bekommt eine E-Mail mit einem Download-Link zugeschickt, über den man das Ticket und die Reiseunterlagen abrufen kann. Diesen Dokumenten ordnet die Software dabei eine achtstellige Nummer zu, die gleichzeitig den letzten Teil des Links bildet. Eine weitere Sicherheitsstufe, beispielsweise ein Passwort, war nicht eingebaut. Das Hauptproblem: Das System vergab die Nummer nicht etwa nach dem Zufallsprinzip wie eigentlich üblich, sondern in aufsteigender Reihenfolge nach Zeitpunkt der Buchung. Wer also eine URL mit der Endung 98765432 hatte, konnte direkt alle nachfolgenden Buchungen einsehen, ganz einfach indem er die Zahlenfolge manuell in der Adresszeile des Browsers änderte.
Es ist positiv anzumerken, dass Aerticket bereits vor Veröffentlichung des Artikels in der Süddeutschen Zeitung auf die Hinweise reagiert hat und die Lücke inzwischen geschlossen wurde. Auch steht das Unternehmen bei weitem nicht allein mit solchen Problemen da. Erst vor kurzem hatte der Blog Netzpolitik eine ganz ähnliche Sicherheitslücke bei Helpling, einem Vermittlungsportal für Reinigungskräfte, aufgedeckt. Beide Fälle zeigen, dass Unternehmen in ihren Bestrebungen, einen möglichst unkomplizierten, schnellen Service zu bieten, immer wieder den Datenschutz aus den Augen verlieren. Für Aerticket hat der Fall jedoch sogar etwas Gutes: Derzeit arbeitet das Unternehmen an einem Nachfolger für Cosmita – und hier wird man nun darauf verzichten, einige Funktionen direkt aus dem Vorgänger zu übernehmen. Der Datensicherheit kann das jedenfalls nur gut tun.
