Security-Panne: Austrian Airlines zeigte Nutzerinfos fremder User an

    8. Juni 2019, 11:15
    17 Postings

    Darunter laut Hinweisgeber auch Kreditkarteninformationen – Austrian Airlines entschuldigt sich und benachrichtigte Datenschutzbehörde

    Wer sich am 23.5. am Nachmittag bei der Website der Fluggesellschaft Austrian Airlines einloggte, dürfte überrascht gewesen sein: Statt des eigenen Profils wurde jenes einer anderen Person angezeigt – samt fremder Userdaten.

    Wie das Unternehmen nun informiert, habe es sich um einen technischen Fehler gehandelt. Loggte sich ein User innerhalb von 120 Sekunden nach einem anderen ein, war er stattdessen in dessen Account. Nutzer konnten demnach sämtliche Daten einsehen, die bei einem Profil angegeben wurden, schreibt Austrian in einer E-Mail an Betroffene.

    Kreditkarteninformationen?


    foto: screenshot
    Welche Daten konkret betroffen könnten, zählt Austrian Airlines in der E-Mail nicht auf.

    Dabei handelt es sich etwa um den Namen und das Geburtsdatum, Telefonnummer, Adresse, E-Mail-Adresse. Laut einer E-Mail eines Hinweisgebers an den STANDARD waren aber auch, wie vorliegende Screenshots belegen, weitere sensible Daten aufzufinden – etwa Buchungscodes. Mit diesen Daten wäre es möglich gewesen, auf Buchungen zuzugreifen und sie zu ändern.

    Der Hinweisgeber berichtet, er habe in einem Fall sogar die Kreditkartendaten eines Nutzers gesehen. Unklar ist, ob diese zum Teil ausgeblendet waren oder gänzlich angezeigt wurden – das würde fremden Usern ermöglichen, Bestellungen aufzugeben. Ein Screenshot zeigt eine Reihe an Daten von Reisegästen – es dürfte sich dabei um den Account eines Reisebüros gehandelt haben.

    Datenschutzbehörde informiert

    Austrian Airlines gibt an, bereits eine Meldung bei der Datenschutzbehörde eingebracht zu haben. Nutzer wurden informiert, da ein Risiko für einen Missbrauch der Daten bestehe. Betroffene, die Fragen haben, könnten sich an das Service Center des Unternehmens wenden.

    Dass Kreditkarteninformationen vollständig einsichtig gewesen seien, weist das Unternehmen allerdings zurück. Auch im Nutzerprofil selbst werde die Nummer der Kreditkarte nicht vollständig anzeigt, sondern bis auf die letzten vier Ziffern maskiert, wobei es auch nicht möglich sei, sie dort vollständig einblenden zu lassen. (muz, 8.6.2019)

    Update, 12.06., 09:40 Uhr: Statement von Austrian bezüglich Anzeige von Kreditkartendaten ergänzt.

    • Austrian Airlines hatte vor kurzem eine technische Panne – die nun ein Sicherheitsrisiko für Kunden darstellt.
      foto: apa / herbert neubauer

      Austrian Airlines hatte vor kurzem eine technische Panne – die nun ein Sicherheitsrisiko für Kunden darstellt.

    Share if you care.