Offenbar waren auf dem Portal cosmita.com jahrelang teilweise sensible Daten von Flugreisenden für Außenstehende abrufbar. Laut Anbieter Aerticket konnten rund 1,5 Millionen Buchungen pro Jahr eingesehen werden, die Lücke bestand seit Ende 2011. Die "Süddeutsche Zeitung" hatte den Fehler zuvor aufgedeckt, der es jedem erlaubt, fremde Tickets oder Rechnungen einzusehen. Nutzer mussten lediglich eine URL manipulieren, um die Daten abgreifen zu können.

Aufsteigende URLs

Hinter Cosmita steckt Aerticket, ein Großhändler für Flugbuchungen. Wenn über einen externen Anbieter ein Ticket gelöst wird, verschickt Aerticket eine URL per E-Mail, über die Kunden dann ihre Reisedaten einsehen können. Das Problem dabei ist, dass die URL-Adressen aufsteigend vergeben worden sind. Wer die Zahlenfolge kannte, konnte so alle anderen an diesem Tag ausgestellten Buchungen einsehen. Das ließe sich einfach durch zufallsgenerierte Adressen oder eine Sicherheitsabfrage vor Abruf der Daten – oder im Idealfall beides – verhindern.

Konto- und Adressdaten

Aerticket gibt allerdings an, dass eigene IT-Sicherheitsbeauftragte keine gehäuften Zugriffe von verdächtigen IP-Adressen ausmachen konnten. Ebenso gab es bislang noch keine Kundenbeschwerden. Allerdings konnten Fremde auf Aerticket auch Kontodaten (Iban und Bic) sowie zahlreiche sensible Informationen wie Adresse und Geburtsdatum einsehen. Bei der Zahlung über Kreditkarte wurden die letzten Ziffern geschwärzt. Das Portal cosmita.com erhält nun einen Nachfolger, dort soll die Lücke dann geschlossen sein. (red, 1.8.2016)