Datenleck legt Buchungsdetails von Swiss-Passagieren offen
Apple-Assistentin Siri stellt Log-in-Infos in den Online-Kalender von Fremden
Wer ein Flugticket kauft, erhält mit der Bestätigung etwas, das man auf keinen Fall weitergeben sollte: einen Buchungscode. Diese sechsstellige Kombination aus Zahlen und Buchstaben sowie der Nachname des Passagiers sind alles, was es braucht, um sich auf der Website oder in der App der Airline in die Buchung einzuloggen.
Doch manchmal nützt auch die grösste Vorsicht der Passagiere nichts. Dann nämlich, wenn nicht sie, sondern die Fluggesellschaften unsorgfältig mit den Daten umgehen. Genau dies ist bei der Lufthansa-Gruppe Anfang April passiert. Vertrauliche Zugangsdaten von Flugbuchungen sind in die Hände von Dritten gelangt. Die Medienstelle der Schweizer Airline Swiss hat entsprechende Hinweise, die der NZZ vorliegen, bestätigt. Die Swiss ist Teil des Lufthansa-Konzerns.
Die Ursache des Lecks war eine manuelle Fehlkonfiguration. In der Folge konnten Nutzer der LufthansaApp oder der Website am Nachmittag des 8. April die Reise- und Buchungsdaten anderer Fluggäste während kurzer Zeit einsehen. Der Fehler sei sofort erkannt und behoben worden, sagt die Swiss-Sprecherin Karin Montani.
Unverhoffter Florenz-Flug
Die Log-in-Details sind allerdings nicht nur über die Website und die App, sondern auch über einen anderen Weg verbreitet worden: Die fremden Buchungen tauchten aus dem Nichts im AppleKalender auf. Dorthin hochgeladen hatte sie Apples KI-Assistentin Siri.
Bekannt ist Siri vor allem als Dienst, der auf gesprochene Befehle reagiert («Hey Siri, ruf Sabine an»). Die Anwendung kann aber viel mehr. Sofern man ihr dazu die Erlaubnis erteilt, liest Siri auch Daten aus anderen Apps auf dem Mobiltelefon oder Tablet mit. Erkennt Siri etwas, das wie ein Termin aussieht, zum Beispiel eine Flugbuchung, überträgt sie die Zeiten, die Flugnummer und die Buchungsreferenz als Vorschlag in den Kalender. Das ist praktisch, weil es den Reisenden das mühsame manuelle Kopieren der Daten erspart.
Wählerisch ist Siri bei diesem Vorgang nicht. Sie stellt auch Flugbuchungen von Unbekannten in den Kalender. Die NZZ konnte zwei Fälle von Flügen verifizieren, die so aus dem LufthansaDatenleck in die Kalender-App einer
Drittperson gelangten, und zwar vollautomatisch.
Bei den Daten handelt es sich um zwei separate Buchungen, die über eine identische E-Mail-Adresse getätigt worden waren. Beim ersten Fall ist es ein Flug einer Person Ende April von Florenz nach Frankfurt und wenige Tage später zurück. Die zweite Buchung war für einen Flug von Frankfurt nach Florenz. Die Flüge wurden von der LufthansaTochter Air Dolomiti durchgeführt, und sie trugen Lufthansa-Flugnummern.
Wie aus dem Kalendereintrag hervorgeht, den Siri erstellte, fand die Apple-Assistentin die Daten der beiden Buchungen in der Swiss-App, welche also ebenfalls von der Fehlkonfiguration betroffen gewesen sein dürfte. Dass die Lufthansa das Datenleck schon nach sehr kurzer Zeit wieder schloss, spielte für Siri offenbar keine Rolle. Sie hatte die Flugbuchung bereits heruntergeladen und zeigte sie auch Wochen später beim Öffnen der Kalender-App noch an.
Mysteriöse Annullationen
Mit den Daten stehen Tür und Tor offen für Manipulationen. Wer sich in der App oder auf der Website einloggt, erhält Zugriff auf weitere Angaben der Reisenden, darunter deren Telefonnummer, die E-Mail-Adresse und die Nummer ihres Vielfliegerkontos.
Über weitere Schaltflächen ist es möglich, für den Flug einzuchecken, die Bordkarte herunterzuladen oder die Reise zu annullieren – was nicht nur Ärger, sondern auch sehr hohe Folgekosten mit sich bringen kann, denn bei vielen Flugtarifen gibt es bei einer Stornierung den Ticketpreis nicht zurück. Nicht einsehbar sind hingegen Bezahlinformationen wie etwa die Kreditkarte. Auf Anfrage erklärte die Swiss, dass sie die Kosten einer neuen Buchung übernehme, sollten Unbekannte aufgrund der Panne einen Flug annulliert haben.
Der Vorfall vom 8. April weckt Erinnerungen an das, was der Schweizer Radsportlegende Urs Freuler vor einigen Monaten passiert war. Wie der «Blick» damals berichtete, hielt sich Freuler im letzten November mit seiner Frau auf der spanischen Ferieninsel Mallorca auf, als ihre Rückflüge annulliert wurden. Wie und von wem, weiss er bis heute nicht. «Zwei Tage vor dem Rückflug loggten wir uns in die SwissApp ein», erzählt Freuler der NZZ. «Wir sahen ganz kurz den Rückflug, doch dann war er plötzlich verschwunden.»
Ein Anruf auf die Swiss-Hotline brachte keine Klärung. «Dort hiess es nur, dass unsere Flüge nicht im System zu finden seien.» Freuler und seiner Frau blieb nichts anderes übrig, als neue Flüge zu buchen – auf eigene Rechnung. Freuler sagt, er habe von der Swiss immerhin einen Teil der Auslagen zurückerhalten.
Dass Fremde seine vertraulichen Log-in-Daten gesehen hatten und so Zugriff auf die Flüge erhielten, schliesst Freuler aus. «Auf meine Buchungsreferenz hatten genau drei Stellen Zugriff: ich selbst, meine Frau und die Swiss.» Die Swiss sagt, dass es bei Freulers Fall nicht um dieselbe Thematik gehe wie beim Zwischenfall vom 8. April. Was es genau mit den stornierten Flügen Freulers auf sich hat, hat die Airline allerdings bis heute nicht eruieren können, «trotz umfassender Recherche», sagt die Mediensprecherin Karin Montani.
Gemeinsam ist den automatischen Kalendereinträgen aus dem Datenleck und den seltsamen Stornierungen der Flüge aber ein anderes, viel grundlegenderes Problem: Airlines schützen die Flugbuchungen ihrer Passagiere nach wie vor nur unzureichend.
Während das Fliegen an sich dank modernen und redundanten Systemen heute so sicher ist wie noch nie, basieren die Buchungsvorgänge auf Abläufen, die seit vielen Jahrzehnten kaum geändert worden sind. In keinem modernen Online-Shop ist es vorstellbar, dass jemand bloss mit dem Nachnamen des Kunden und mit einem kurzen Code Zugriff auf eine Bestellung erhält und diese manipulieren kann. In der Airline-Industrie aber ist das nach wie vor Branchenstandard.
Bordkarten sind Datenschätze
Um sich in fremde Flugbuchungen einzuloggen, braucht es nicht einmal besondere Computerkenntnisse – und auch keine Fehlmanipulation der IT-Abteilung der Fluggesellschaft. Jeder achtlos weggeworfene Boarding-Pass am Flughafen enthält sämtliche Zugangsdaten. Sie sind in einem Strichcode nur sehr rudimentär versteckt.
Wie einfach es ist, sich damit – oder mit einem auf Instagram oder Facebook geposteten Bild einer Bordkarte – einzuloggen, zeigten Hacker bereits vor sieben Jahren an einem Kongress in Hamburg auf – der entsprechende Videomitschnitt, der nichts anderes ist als eine Anleitung zum unbefugten Zugriff, ist bis heute auf Youtube zu finden.