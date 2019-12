Beim Vielfliegerprogramm Miles & More der Lufthansa kam es am vergangenen Montag, dem 9. Dezember 2019 zu einer Datenschutzverletzung: Benutzer, die sich an ihrem Miles & More-Konto anmeldeten, konnten zeitweise Profildaten anderer Benutzerkonten einsehen. Zudem hätten sie wohl auch fremde Meilen einlösen können.

Gegenüber dem Autor dieser Meldung bestätigte ein Pressesprecher der Deutschen Lufthansa AG den Vorfall bei der 100-prozentigen Lufthansa-Tochter Miles & More GmbH. Das Problem habe am 9. Dezember ab 16 Uhr für rund 40 Minuten bestanden. Um 16:40 Uhr wurde die Login-Funktion des Miles-and-More-Portals, wohl aufgrund von Kundenbeschwerden bei der Hotline, zeitweise komplett deaktiviert.

Hinweise auf einen Hackerangriff gibt es laut Miles & More nicht; offenbar resultierte der Vorfall aus einem technischen Fehler seitens des Unternehmens.

Das Problem wurde dem Autor des Beitrags von Betroffenen gemeldet und mit Screenshots dokumentiert (Bild: Screenshot)

Knapp 10.000 potenziell betroffene Kunden

Laut Stellungnahme der Lufthansa sind lediglich Miles & More-Kunden von dem Vorfall betroffen, die am 9. Dezember im Zeitraum von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt waren. Das gelte auch für Portalzugriffsmöglichkeiten außerhalb der Miles & More Website wie der Miles & More App oder lufthansa.com.

Insgesamt seien innerhalb des fraglichen Zeitraums Daten aus maximal 9.885 Konten abgerufen worden. Angezeigt wurden sie demnach "teilweise dem Inhaber des Kontos" und "teilweise anderen, zeitgleich eingeloggten Teilnehmern".

Anhand von Protokolldateien sei ermittelt worden, dass sich im betreffenden Zeitraum 4100 Teilnehmer aktiv einloggten (und dabei unfreiwillig fremde Daten abriefen). Bei den übrigen betroffenen Konten habe es sich um solche von dauerhaft eingeloggten Teilnehmern gehandelt. Gegenüber dem Autor dieses Artikels berichteten Nutzer, dass ihnen bei mehreren Anmeldeversuchen jeweils unterschiedliche Datensätze fremder Profile im Browser angezeigt wurden.

Einsehbare Daten – und einlösbare Meilen

Aus der Stellungnahme geht hervor, dass potenziell Name, Servicekartennummer, Geburtsdatum, Adresse, Email, Telefonnummer, Benutzername, Meilenstand, Transaktionsdaten, Reisepräferenzen (Abflughafen und Automatischer Check-In), Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung der fremden Kundenkonten durch Dritte einsehbar waren.

Nicht einsehbar seien vollständige Daten von Bankkonten und Kreditkarten gewesen, sondern nur die jeweils letzten vier Stellen. Ein Kartenmissbrauch durch diese Daten schließt Miles & More daher aus.

Laut einer E-Mail, mit der Miles & More potenziell Betroffene mittlerweile über den Vorfall informiert hat, habe während der Datenpanne außerdem die Möglichkeit bestanden, im Rahmen des Miles-and-More-Programms fremde Meilen einzulösen. Das Unternehmen betont in der E-Mail allerdings, dass es widerrechtlich abgebuchte Meilen den Betroffenen "selbstverständlich" gutschreiben werde.

Aufräumarbeiten laufen noch

Einem Hinweis auf milesandmore.com zufolge ist die Login-Funktion wieder verfügbar; allerdings könne es zu Login-Verzögerungen kommen und Änderungen an Profildaten seien derzeit nicht möglich.

Ob der Datenschutzvorfall, der DSGVO-relevant sein dürfte, zeitnah den zuständigen Aufsichtsbehörden gemeldet wurde, geht aus den Verlautbarungen des Betreibers nicht hervor. (ovw)