Aufgeflogen: Großes Datenleck bei Unister
Hamburg (ots)
Tausende Kundendaten im Internet einsehbar
Am Tag des öffentlichen Rücktritts von Unister-Geschäftsführer Thomas Wagner kommt schon der nächste Skandal um das Leipziger Internet-Unternehmen ans Tageslicht: Die Namen und Flugrouten von Tausenden Passagieren, die über die Unister-Gesellschaft "Urlaubstours" eine Reise bei Ryanair gebucht haben, sind im Internet für Fremde einseh- und änderbar.
Ryanair bietet seinen Kunden den Service an, über das Internet mit einer gültigen Reservierungsnummer und einer registrierten E-Mail-Adresse alle Buchungen zu kontrollieren, die unter dieser Adresse getätigt wurden. So kann jeder Kunde sein Konto bei der Airline einsehen und bei mehreren Flugbuchungen diese gemeinsam unter seiner eigenen E-Mail-Adresse verwalten.
Das Problem: Der Reiseveranstalter Urlaubstours, eine Tochterfirma der Unister-Gruppe, bucht offenbar für Tausende seiner Kunden Flüge bei Ryanair über jeweils dieselbe E-Mail-Adresse. Das Resultat: Über diese eine Adresse in Verbindung mit einem beliebigen gültigen Reservierungscode sind die Buchungen von nicht nur einer, sondern aktuell über 4.700 Personen online einseh- und veränderbar. Von dieser Problematik konnte sich COMPUTER BILD im Zuge der Recherchen überzeugen.
Die Sicherheitslücke war nicht nur leicht zu erkennen, zu allem Überfluss wurde ungewollt noch darauf aufmerksam gemacht. So fordert Urlaubstours - offenbar ohne die Konsequenzen sorgfältig überprüft zu haben - seine Kunden schriftlich dazu auf, sich zum Online-Check-in bei Ryanair anzumelden: Und zwar über eine tausendfach verwendete E-Mail-Adresse in Kombination mit der jeweils individuellen Reservierungsnummer des Kunden. Genau damit bekommt aber jeder Kunde nicht nur Zugriff auf seine eigene, sondern auch alle anderen Buchungen - als wären es seine eigenen.
COMPUTER BILD hat beide Unternehmen im Vorfeld über die Sicherheitslücke informiert und mit dem Problem konfrontiert. Die initialen Buchungen stammen vom Urlaubstours-Portal, Ryanair sieht daher die Unister-Tochter beim Datenschutz in der Pflicht. Aber auch die Airline muss sich Kritik gefallen lassen: Dass die Abwicklung und Einsicht all dieser Buchungen unter einer einzigen E-Mail-Adresse überhaupt möglich ist, spricht nicht für die Qualitätssicherung bei der Airline.
Laut Ryanair-Pressesprecher Stephen McNamara arbeitet Urlaubstours ohnehin ohne Einwilligung der Fluglinie: Die Unister-Tochter buche tausendfach Reisen zum Ryanair-Preis und biete sie dann als eine Art Vermittler über Urlaubstours teurer an. Da alles über die eine Reservierungs-Mail-Adresse von Urlaubstours läuft, ist die Kommunikation mit dem Kunden für Ryanair fast unmöglich, so McNamara. Die Airline schiebt Unister den schwarzen Peter zu und fordert das Unternehmen auf, sich mit hoher Priorität um das Sicherheitsproblem zu kümmern. Indes versicherte Unister-Pressesprecher Konstantin Korosides am 2.1.2013 auf Nachfrage von COMPUTER BILD, dass man den Hinweis auf das Datenleck unverzüglich prüfen werde und alle notwendigen Maßnahmen ergreife, um die Datensicherheit bei Ryanair-Buchungen zu gewährleisten. Bislang ist das nicht geschehen; COMPUTER BILD rät daher bis auf weiteres davon ab, entsprechende Buchungen über Urlaubstours vorzunehmen.
Redaktions-Ansprechpartner:
Dirk Kuchel, Tel. 040-347 23400 - auch für Radio-Interviews via
Audiocodec in Studioqualität oder per Telefon.
COMPUTER BILD-Presseinformationen: www.presseportal.de/pm/51005
Original content of: COMPUTER BILD, transmitted by news aktuell