Wie die Süddeutsche Zeitung berichtet gab es beim Ticket-Großhändler Aerticket eine verheerende Sicherheitslücke. Die Daten von Millionen Fluggästen waren ungeschützt im Internet abrufbar.

Die Daten von Millionen Flugreisenden waren seit Ende 2011 aufgrund einer Sicherheitslücke beim Ticket-Großhändler Aerticket ungeschützt im Internet abrufbar, berichtet die Süddeutsche Zeitung. Aerticket hat die Lücke inzwischen geschlossen, sie soll nicht von Kriminellen ausgenutzt worden sein. Jedenfalls hat das Unternehmen keine besondere Häufung an Zugriffen von einzelnen IP-Adressen feststellen können.

Die abrufbaren Daten beinhalteten unter anderem Namen, Anschriften, Reisedaten und Ticketpreise. Auch Rechnungen waren abrufbar. Diese enthielten auch IBAN und BIC der Kunden; wenn die Kunden mit Kreditkarten gezahlt hatten, waren zumindest die letzten drei Zahlen unkenntlich gemacht. Von der Lücke sollen laut Aerticket etwa 1,5 Millionen Buchungen pro Jahr betroffen sein.

Abruf über Ziffern-URL

Laut dem Bericht hat Aerticket den Kunden im Auftrag seiner Resale-Partner eine E-Mail mit einer URL zu den Flugdokumenten geschickt. Diese URL enthielt acht Ziffern, die der Buchung zugewiesen wurden. Darüber hinaus gab es keinen Zugriffsschutz. Daher konnte jeder durch simples Ändern der Ziffern in der URL auf die Fluggastdaten anderer Reisender zugreifen.

Aerticket ist laut eigenen Angaben der größte konzernunabhängige Flugticket-Großhändler in Deutschland. Einer der größten Kunden Aertickets ist die in die Schlagzeilen geratene Unister-Gruppe aus Leipzig.

Quelle: //heise.de/-3282816