Jet von Thomas Cook: Das Datenleck bestand seit mindestens 2013.

Jet von Thomas Cook: Das Datenleck bestand seit mindestens 2013.

Thomas Cook

Programmierer enthüllt

Datenleck bei Thomas Cook aufgedeckt

Ein Informatiker fand heraus, dass er Daten von Passagieren von Thomas Cook Airlines abgreifen kann. Dank seiner Entdeckung wurde die Lücke geschlossen.

Timo Nowack

Top-Jobs

Zimex logo

Administrator AVOR & CAMO

Job
Vollzeit
Zimex Aviation Ltd.
Flugoperationen
Feste Anstellung
Top jobs
Altenrhein
Schweiz
zimex
Kasaero Logo

Kaufmännische Leitung und Unternehmensorganisation

Job
Vollzeit
Kasaero GmbH
Luftfahrt
Luftfahrttechnik
Feste Anstellung
Top jobs
Böblingen
Deutschland
Kasaero
Leichtbau
Faserverbundtechnologie
Flugzeugbau
Aero-Dienst

Fluggerätemechaniker (m/w/d) als Prüfer / Certifying Staff (m/w/d) EASA Part 66 CAT B1 und/oder B2 für Dornier 328

Job
Nürnberg
Feste Anstellung
Aircraft Management
Aero-Dienst GmbH
Deutschland
Vollzeit
Top jobs
Smartline

First Officer Cessna 525 (m/f/d)

Job
Vollzeit
Smartline Luftfahrt GmbH
Aircraft Management
Feste Anstellung
Top jobs
Airport St. Gallen Altenrhein
Österreich
Smartline
FirstOfficer
Cessna
Jetzt eigene Stellenanzeige schalten

Als der norwegische Programmierer Roy Solberg seinen Urlaub buchte, wurde er neugierig. Nachdem er beim Reiseanbieter Ving bezahlt hatte, bekam er eine E-Mail von Thomas Cook Airlines, der ihn zur Webseite airshoppen.com leitete. Die gehört wie auch Ving zum Thomas-Cook-Konzern. Passagiere können dort zusätzliches Gepäck anmelden, Mahlzeiten für den Flug ordern und Duty-Free-Produkte vorbestellen.

Solberg fiel auf, dass es sich um einen sogenannten Auto-Login-Link handelte, der zu seinen persönlichen Daten führte. Der Programmierer begann, die URL leicht zu verändern, indem er darin enthaltene Angaben wie Datum und Buchungsnummer variierte. Mit nur kleinen Änderungen bekam er so schnell Zugang zu den Kundendaten anderer Passagiere. «Daten von 2013 bis 2019 waren verfügbar», erklärt Solberg.

Betrugsversuche per E-Mail denkbar

So konnte er folgende Daten einsehen: die vollständigen Namen aller Passagiere auf dieser Buchung; die E-Mail-Adresse der Person, die sich für die Buchung registriert hatte; Datum, Flughafen und Flugnummer für Hin- und Rückflug. Der Norweger erklärt, dass Ving es ihm leicht gemacht habe, andere Buchungsnummern zur erraten, da der Reiseveranstalter ein System mit aufsteigenden Nummern verwendet habe.

Andere Anbieter machten es ihm weniger einfach. Mit simplen Variationen kam er hier nicht zum Ziel. Doch sobald er eine Buchungsnummer hatte - etwa von Freunden, Familie oder sogar via Google - gelangte er ebenfalls an die Informationen. «Mindestens Daten von Ving Norway, Ving Sweden, Spies Denmark und Apollo Norway waren von dieser Schwachstelle betroffen», hält der Programmierer fest.

Leck nach rund zwei Wochen geschlossen

Die Sicherheitslücke machte es möglich, herauszufinden, mit wem zusammen ein Passagiere vor fünf Jahren eine Flugreise gemacht hat oder wann in Zukunft jemand verreisen wird. Solberg schreibt in seinem Blog, ein weiteres Problem sei, dass die Daten für Betrugsversuche per E-Mail, sogenanntes Spear Phishing, genutzt werden könnte. Auch etliche andere Reiseanbieter aus Großbritannien, Deutschland, Norwegen, Schweden, Dänemark und Finnland arbeiten laut Solberg mit Airshoppen zusammen.

«Ich würde erwarten, dass mindestens einige davon durch dieses Leck angreifbar sind», so der Norweger. Das sei jedoch reine Spekulation. Ebenso habe er nie Daten gesehen von Condor, Atlantic Airways und Small Planet Airlines, deren Fluggäste ebenfalls die Webseite nutzen. Der Programmierer nahm nach seinen Tests Kontakt zu Airshoppen, Ving und darüber dann mit Thomas Cook Airlines auf, um die Sicherheitslücke zu melden. Nach rund zwei Wochen erhielt er Rückmeldung, dass das Leck erkannt und nun geschlossen sei.

Zusätzliche Maßnahmen bei der IT

Auf Anfrage von aeroTELEGRAPH teilte Thomas Cook Airlines mit: «Nachdem wir auf diesen unberechtigten Zugriff auf unsere Duty-Free-Shopping-Webseite in Norwegen aufmerksam gemacht wurden, haben wir die Lücke geschlossen und in Übereinstimmung mit dem Gesetz verantwortungsvolle Maßnahmen eingeleitet.» Man teste die Systeme regelmäßig, auch mit Hilfe von Drittanbietern, so ein Sprecher. «Und seit wir von diesem Vorfall erfahren haben, haben wir bei unseren IT-Systemen weitere Schritte unternommen, um sicherzustellen, dass wir nicht eine ähnliche Lücke an anderen Stellen haben.»

Mehr zum Thema

Airbus A330 Neo: Mit diesem Flugzeugtyp hat Condor ihre Langstreckenflotte modernisiert.

Wie viel wissen Sie über Condor?

So ähnlich könnte ein Airbus A330-900 von Condor über Las Vegas aussehen: Die Stadt gehört zu den geplanten Zielen im Sommer 2022.

Condor könnte schon kommenden August Airbus A330 Neo fliegen

Victorville: Diese Boeing 747 wurde nach dem Aus von Transaero in der kalifornischen Wüste abgestellt.

Wann gingen diese Fluggesellschaften pleite?

Boeing 757 von Condor auf Mallorca: «Positives Ergebnis vor Steuern von 8 Millionen».

Condor flog in Corona tief in die roten Zahlen

Video

Airbus A320 Neo von Marabu bei der Landung: Er hüpfte einmal.
Sicherheit
Marabu
Flughafen Funchal
Condor
Ein Airbus A320 Neo der Condor-Schwester landete sichtbar hart auf Madeira. Das Flugzeug konnte zwar nach Nürnberg zurückkehren, muss aber noch einmal überprüft werden.
Stefan Eiselin
Stefan Eiselin
Der heikle Moment: Die Boeing 737 berührt mit dem Triebwerk fast die Piste.
Noch was
Bei garstigem Wetter landete eine Boeing 737 der indonesischen Fluggesellschaft in Jakarta. Dabei berührte der Jet von Batik Air mit dem Triebwerk fast die Landebahn.
Stefan Eiselin
Stefan Eiselin
Airbus A321 XLR von Qantas: Hat seine lange Reise gestartet
Flugzeuge
Airbus A321 XLR
Qantas
Die australische Fluggesellschaft hat ihren ersten Airbus A321 XLR übernommen. Und sie bringt ihn mit einem Flug in ihre Heimat, der gleich für einen neuen Rekord sorgt. Qantas will mit dem neuen Modell neue Strecken eröffnen.
Laura Frommberg
Laura Frommberg