Jet von Thomas Cook: Das Datenleck bestand seit mindestens 2013.
Jet von Thomas Cook: Das Datenleck bestand seit mindestens 2013. Thomas Cook

Programmierer enthülltDatenleck bei Thomas Cook aufgedeckt

Ein Informatiker fand heraus, dass er Daten von Passagieren von Thomas Cook Airlines abgreifen kann. Dank seiner Entdeckung wurde die Lücke geschlossen.

Timo Nowack

Top-Jobs

.

Ausbildung zum Apron Controller (m/w/d) am Flughafen Frankfurt

Job
Frankfrut
Vorfeldkontrolle
FRA-Vorfeldkontrolle GmbH
Deutschland
Vollzeit
Top jobs
aaa aviation academy austria logo

Fluglehrer/-in FI(A) mit Funktion Deputy CFI

Job
Vollzeit
Aviation Academy Austria
Flugschule
Feste Anstellung
Top jobs
Wiener Neustadt - LOAN
Österreich
Aviation Academy
AAA
FI(A)
Fluglehrer
aaa aviation academy austria logo

Fluglehrer/-in FI(A)

Job
Vollzeit
Aviation Academy Austria
Flugschule
Feste Anstellung
Top jobs
Wiener Neustadt - LOAN
Österreich
Fluglehrer
FI(A)
AAA
Aviation Academy
Jetzt eigene Stellenanzeige schalten

Als der norwegische Programmierer Roy Solberg seinen Urlaub buchte, wurde er neugierig. Nachdem er beim Reiseanbieter Ving bezahlt hatte, bekam er eine E-Mail von Thomas Cook Airlines, der ihn zur Webseite airshoppen.com leitete. Die gehört wie auch Ving zum Thomas-Cook-Konzern. Passagiere können dort zusätzliches Gepäck anmelden, Mahlzeiten für den Flug ordern und Duty-Free-Produkte vorbestellen.

Solberg fiel auf, dass es sich um einen sogenannten Auto-Login-Link handelte, der zu seinen persönlichen Daten führte. Der Programmierer begann, die URL leicht zu verändern, indem er darin enthaltene Angaben wie Datum und Buchungsnummer variierte. Mit nur kleinen Änderungen bekam er so schnell Zugang zu den Kundendaten anderer Passagiere. «Daten von 2013 bis 2019 waren verfügbar», erklärt Solberg.

Betrugsversuche per E-Mail denkbar

So konnte er folgende Daten einsehen: die vollständigen Namen aller Passagiere auf dieser Buchung; die E-Mail-Adresse der Person, die sich für die Buchung registriert hatte; Datum, Flughafen und Flugnummer für Hin- und Rückflug. Der Norweger erklärt, dass Ving es ihm leicht gemacht habe, andere Buchungsnummern zur erraten, da der Reiseveranstalter ein System mit aufsteigenden Nummern verwendet habe.

Andere Anbieter machten es ihm weniger einfach. Mit simplen Variationen kam er hier nicht zum Ziel. Doch sobald er eine Buchungsnummer hatte - etwa von Freunden, Familie oder sogar via Google - gelangte er ebenfalls an die Informationen. «Mindestens Daten von Ving Norway, Ving Sweden, Spies Denmark und Apollo Norway waren von dieser Schwachstelle betroffen», hält der Programmierer fest.

Leck nach rund zwei Wochen geschlossen

Die Sicherheitslücke machte es möglich, herauszufinden, mit wem zusammen ein Passagiere vor fünf Jahren eine Flugreise gemacht hat oder wann in Zukunft jemand verreisen wird. Solberg schreibt in seinem Blog, ein weiteres Problem sei, dass die Daten für Betrugsversuche per E-Mail, sogenanntes Spear Phishing, genutzt werden könnte. Auch etliche andere Reiseanbieter aus Großbritannien, Deutschland, Norwegen, Schweden, Dänemark und Finnland arbeiten laut Solberg mit Airshoppen zusammen.

«Ich würde erwarten, dass mindestens einige davon durch dieses Leck angreifbar sind», so der Norweger. Das sei jedoch reine Spekulation. Ebenso habe er nie Daten gesehen von Condor, Atlantic Airways und Small Planet Airlines, deren Fluggäste ebenfalls die Webseite nutzen. Der Programmierer nahm nach seinen Tests Kontakt zu Airshoppen, Ving und darüber dann mit Thomas Cook Airlines auf, um die Sicherheitslücke zu melden. Nach rund zwei Wochen erhielt er Rückmeldung, dass das Leck erkannt und nun geschlossen sei.

Zusätzliche Maßnahmen bei der IT

Auf Anfrage von aeroTELEGRAPH teilte Thomas Cook Airlines mit: «Nachdem wir auf diesen unberechtigten Zugriff auf unsere Duty-Free-Shopping-Webseite in Norwegen aufmerksam gemacht wurden, haben wir die Lücke geschlossen und in Übereinstimmung mit dem Gesetz verantwortungsvolle Maßnahmen eingeleitet.» Man teste die Systeme regelmäßig, auch mit Hilfe von Drittanbietern, so ein Sprecher. «Und seit wir von diesem Vorfall erfahren haben, haben wir bei unseren IT-Systemen weitere Schritte unternommen, um sicherzustellen, dass wir nicht eine ähnliche Lücke an anderen Stellen haben.»

Mehr zum Thema

Airbus A330 Neo: Mit diesem Flugzeugtyp hat Condor ihre Langstreckenflotte modernisiert.

Wie viel wissen Sie über Condor?

So ähnlich könnte ein Airbus A330-900 von Condor über Las Vegas aussehen: Die Stadt gehört zu den geplanten Zielen im Sommer 2022.

Condor könnte schon kommenden August Airbus A330 Neo fliegen

Victorville: Diese Boeing 747 wurde nach dem Aus von Transaero in der kalifornischen Wüste abgestellt.

Wann gingen diese Fluggesellschaften pleite?

Boeing 757 von Condor auf Mallorca: «Positives Ergebnis vor Steuern von 8 Millionen».

Condor flog in Corona tief in die roten Zahlen

Video

phoenix sandsturm
Noch was
phoenix
Sturm
sandsturm
Ein riesiger Sandsturm hat die Millionenstadt Phoenix und ihre Umgebung getroffen. Auch der Flughafen ist betroffen.
Timo Nowack
Timo Nowack
garuda indonesia special livery
Flugzeuge
Garuda
Die Nationalairline Indonesiens feiert die Unabhängigkeitserklärung des Landes vor 80 Jahren. Dafür ließ Garuda eine Boeing 737 künstlerisch gestalten.
Timo Nowack
Timo Nowack
hurrikan erin noaa
Noch was
hurrikan
noaa
Die Hurrikan-Jäger der amerikanischen Wetter- und Ozeanografiebehörde NOAA haben sich den Wirbelsturm Erin mit ihrem Turbopropflugzeug ganz aus der Nähe angeschaut - gerade, als dieser an Kraft weiter zulegte.
Timo Nowack
Timo Nowack