Als der norwegische Programmierer Roy Solberg seinen Urlaub buchte, wurde er neugierig. Nachdem er beim Reiseanbieter Ving bezahlt hatte, bekam er eine E-Mail von Thomas Cook Airlines, der ihn zur Webseite airshoppen.com leitete. Die gehört wie auch Ving zum Thomas-Cook-Konzern. Passagiere können dort zusätzliches Gepäck anmelden, Mahlzeiten für den Flug ordern und Duty-Free-Produkte vorbestellen.
Solberg fiel auf, dass es sich um einen sogenannten Auto-Login-Link handelte, der zu seinen persönlichen Daten führte. Der Programmierer begann, die URL leicht zu verändern, indem er darin enthaltene Angaben wie Datum und Buchungsnummer variierte. Mit nur kleinen Änderungen bekam er so schnell Zugang zu den Kundendaten anderer Passagiere. «Daten von 2013 bis 2019 waren verfügbar», erklärt Solberg.
Betrugsversuche per E-Mail denkbar
So konnte er folgende Daten einsehen: die vollständigen Namen aller Passagiere auf dieser Buchung; die E-Mail-Adresse der Person, die sich für die Buchung registriert hatte; Datum, Flughafen und Flugnummer für Hin- und Rückflug. Der Norweger erklärt, dass Ving es ihm leicht gemacht habe, andere Buchungsnummern zur erraten, da der Reiseveranstalter ein System mit aufsteigenden Nummern verwendet habe.
Andere Anbieter machten es ihm weniger einfach. Mit simplen Variationen kam er hier nicht zum Ziel. Doch sobald er eine Buchungsnummer hatte - etwa von Freunden, Familie oder sogar via Google - gelangte er ebenfalls an die Informationen. «Mindestens Daten von Ving Norway, Ving Sweden, Spies Denmark und Apollo Norway waren von dieser Schwachstelle betroffen», hält der Programmierer fest.
Leck nach rund zwei Wochen geschlossen
Die Sicherheitslücke machte es möglich, herauszufinden, mit wem zusammen ein Passagiere vor fünf Jahren eine Flugreise gemacht hat oder wann in Zukunft jemand verreisen wird. Solberg schreibt in seinem Blog, ein weiteres Problem sei, dass die Daten für Betrugsversuche per E-Mail, sogenanntes Spear Phishing, genutzt werden könnte. Auch etliche andere Reiseanbieter aus Großbritannien, Deutschland, Norwegen, Schweden, Dänemark und Finnland arbeiten laut Solberg mit Airshoppen zusammen.
«Ich würde erwarten, dass mindestens einige davon durch dieses Leck angreifbar sind», so der Norweger. Das sei jedoch reine Spekulation. Ebenso habe er nie Daten gesehen von Condor, Atlantic Airways und Small Planet Airlines, deren Fluggäste ebenfalls die Webseite nutzen. Der Programmierer nahm nach seinen Tests Kontakt zu Airshoppen, Ving und darüber dann mit Thomas Cook Airlines auf, um die Sicherheitslücke zu melden. Nach rund zwei Wochen erhielt er Rückmeldung, dass das Leck erkannt und nun geschlossen sei.
Zusätzliche Maßnahmen bei der IT
Auf Anfrage von aeroTELEGRAPH teilte Thomas Cook Airlines mit: «Nachdem wir auf diesen unberechtigten Zugriff auf unsere Duty-Free-Shopping-Webseite in Norwegen aufmerksam gemacht wurden, haben wir die Lücke geschlossen und in Übereinstimmung mit dem Gesetz verantwortungsvolle Maßnahmen eingeleitet.» Man teste die Systeme regelmäßig, auch mit Hilfe von Drittanbietern, so ein Sprecher. «Und seit wir von diesem Vorfall erfahren haben, haben wir bei unseren IT-Systemen weitere Schritte unternommen, um sicherzustellen, dass wir nicht eine ähnliche Lücke an anderen Stellen haben.»
