SZ titelt "Sicherheitslücke...in Flugzeuge einszeigen ohne zu zahlen" -

ANZEIGE

technikelse

Erfahrenes Mitglied
18.05.2016
2.092
8
Wiesbaden
ANZEIGE
SZ titelt "Sicherheitslücke...in Flugzeuge einszeigen ohne zu zahlen" -

Geld ist IMHO nicht mal das einzige - und vielleicht nicht mal das entscheidende - Problem.

Ein viel größeres Problem ist, dass die Buchungssysteme mittlerweile "hysterisch gewachsen" :)rolleyes:) sind und unzählige Schnittstellen bzw. angeschlossene Systeme - dokumentierte und "weniger dokumentierte" - haben.
Im Grunde müsste man ein Architektur-Redesign machen, das
Oh ja, da haben sich regelrechte Monster entwickelt.

  • erstens: Die aktuelle Komplexität erkennt und reduziert, geht wahrscheinlich nicht ohne umfangreichere Änderungen in Datenmodellen einher

  • Leider passiert mit gerade mit NDC das Gegenteil. Die Komplexität wird steigen.
    [*]und zwotens (und hier liegt der Hase im Pfeffer): Die Schnittstellen (seien sie legacy oder WS) so anpasst, dass sie sicher sind. Problem: Die angeschlossenen Kundensysteme müssten natürlich ebenfalls angepasst werden
    Der Pfeffer killt den Hasen, denn Reisebüros der bekannten großen globalen Ketten bekämpfen seit Jahren jegliche Innovation. Eine Branche, die einen PNR mangels Alternativen als Vorgangverwaltungssystem nutzt und sogar für Non-GDS Buchungen passive PNRs zu absurden Kosten erzwingt, ist noch nicht im 3. Jahrtausend nach Christi Geburt angekommen.
 

datschi

Erfahrenes Mitglied
23.06.2010
768
1
DUB
Im Prinzip nichts neues im Vortrag, dem Zielpublikum, die sich davor noch nie damit beschäftigt haben, einen schnellen Einstieg (und Motivation) vermittelnd.

Bei den Q&As hat sich doch ein paar gröbere Sachfehler eingeschlichen, zum Beispiel das mit dem Löschen der PNR (wie man vor ein paar Monaten sehr gut sehen konnte). Die "Fehler" davor sind angesichts dem o.g. Ziel verkraftbar ;)
 

pimpcoltd

Erfahrenes Mitglied
03.07.2009
3.316
10
Ich will Dir nicht zu nahe treten, wenn ich Dir bescheinige, dass Deine Phantasie offenbar beschränkt ist in Sachen "Kriminelle missbrauchen Daten und Zugänge"...

Ich verweise auf den lustigen Beitrag über den Kaugummi-Automaten. Wenn man nix zu sagen hat, muss man es halt aufpusten. Manche nennen das Phantasie. Andere kennen selbstgemachte QR-Codes, um sich Lounge-Zugang zu verschaffen, schon länger. Das wäre ein Thema gewesen, das von allgemeinem Interesse ist, weil sich hier schwere Sicherheitslücken auftun – nein, nicht in Bezug auf Kartoffelsalat.
 
  • Like
Reaktionen: Fare_IT

pimpcoltd

Erfahrenes Mitglied
03.07.2009
3.316
10
Ein Wort vielleicht noch zur kriminellen Nutzung: Bevor man sich dank großer Phantasie zu weit aus dem Fenster lehnt, was gefischte KK-Daten anlangt, sollte man sich vielleicht erst mal fachkundig machen, wer im SEPA-Raum den Schaden bei nicht authentifizierten Zahlungsvorgängen trägt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Fare_IT

Fare_IT

Erfahrenes Mitglied
06.12.2012
4.492
20
Farewell City
denn Reisebüros der bekannten großen globalen Ketten bekämpfen seit Jahren jegliche Innovation.

Würdest Du das einmal KONKRET machen bitte.

Eine Branche, die einen PNR mangels Alternativen als Vorgangverwaltungssystem nutzt

Und? Was ist daran schlecht?

und sogar für Non-GDS Buchungen passive PNRs zu absurden Kosten erzwingt

Bitte KONKRET - wer erzwingt hier was, das RSB erzwingt hohe Kosten bei wem?
 

Fare_IT

Erfahrenes Mitglied
06.12.2012
4.492
20
Farewell City
Amadeus hat sich in der Sache per Pressemitteilung erklärt:

Stellungnahme der Amadeus IT Group zum Bericht des WDR/SZ-Rechercheteams:

Amadeus nimmt eine Bewertung der Ergebnisse von SR Labs für die Sicherheit der Reisebranche vor.

Wir geben der Sicherheit von Kundensystemen und Daten höchste Priorität und unsere Systeme und Prozesse werden kontinuierlich überprüft. Wir werden diese Erkenntnisse berücksichtigen und mit unseren Partnern in der Branche zusammenarbeiten, um die hier dargelegten Probleme anzusprechen und Lösungen für mögliche Probleme zu finden.

Während eines temporären Wartungsfensters unterlag die Check My Trip-Website einer Reihe von sogenannten "Brute-Force-Attacken" durch Dritte.

CheckMyTrip ist selbstverständlich durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert.

Der Angriff auf Check My Trip führte zu einem Alarm in unseren Monitoring-Tools, die sofort interne Untersuchungen auslösten.

Wir haben schnell eine IP-Blockierung für die betroffenen IP-Adressen angefordert. Die Seite ist jetzt gegen diese Art von Angriffen geschützt.
 

technikelse

Erfahrenes Mitglied
18.05.2016
2.092
8
Wiesbaden
SZ titelt "Sicherheitslücke...in Flugzeuge einszeigen ohne zu zahlen" -

Würdest Du das einmal KONKRET machen bitte.
Wenn ich seit Jahren meine Prozesse und Routinen auf die Vergewaltigung von PNRs zum Zwecke der Vorgangsverwaltung aufbaue, habe ich natürlich kein Interesse es zu ändern, weil es mich Zeit und Geld kostet. Dabei gibt es weitaus bessere Möglichkeiten Daten zu erfassen und zu nutzen als PNRs aufzublähen.

Und? Was ist daran schlecht?
Ein GDS ist ein Reservierungssystem und kein Vorgangsverwaltungssystem. Es dient dazu Leistungen zu reservieren und nicht seitenweise Bearbeitungsvermerke für Mid-Office Routinen zu verwalten. Einen PNR mit zig Remark-Elementen aufzublähen ist umständlich, kostenintensiv, fehleranfällig und ist technologisch frühste Bronzezeit. Zudem kostet es Technologieanbieter Zeit und Geld, weil sie gezwungen sind sich mit altem Kram zu beschäftigen anstatt mit innovative Lösungen, weil große RSB Ketten (neudeutsch TMCs) ständig bremsen und jammern wie schlecht doch alles ist.
Ich habe 10 Jahre selbst für einen solchen Bremserverein gearbeitet und gemäß Managementvorgabe kräftig mit gebremst.

Bitte KONKRET - wer erzwingt hier was, das RSB erzwingt hohe Kosten bei wem?
Bei Kunden und Leistungsanbietern. Passive Segmente kosten Geld und nutzen nur den Betreibern der GDS. Die verdienen sich daran nämlich dumm und dämlich. Anbieter, wie Fluggesellschaften und Autovermieter hassen sie aus gutem Grunde wie die Pest und fangen an sie zu bekämpfen. Airlines wie z.B. AB verschicken ADMs für passive Segmente, die in Sabre angelegt werden, weil sie es Leid sind für die Innovationsresitenz einer Branche die Zeche zu zahlen. Man kann Non-GDS Buchungen auch anders verwalten.
 

Travelling_Geek

Erfahrene Reiseschreibmaschine
17.05.2009
1.846
3
HKG
Amadeus hat sich in der Sache per Pressemitteilung erklärt:

Hier meine Übersetzung der PI:
Amadeus nimmt eine Bewertung der Ergebnisse von SR Labs für die Sicherheit der Reisebranche vor.
Shice, die haben uns rechts überholt mit dem Mist und wir müssen jetzt mal auf Zeit spielen, da wir nicht so genau wissen, wie lange wir eigentlich brauchen, um das Demonstrierte abzustellen. Es ist auf jeden Fall nur die Reisebranche betroffen, das Internetz ist weiterhin sicher.
Wir geben der Sicherheit von Kundensystemen und Daten höchste Priorität und unsere Systeme und Prozesse werden kontinuierlich überprüft.
Wasser ist nass.
Davon abgesehen waren unseren Prüfungen bisher auf so abscheulich niedrigem Niveau, dass wir solch idiotische Angriffe nicht unterbinden konnten.
Wir werden diese Erkenntnisse berücksichtigen ...
Diese Hacker-Heinis sind da echt auf was Dickes gestoßen und wir müssen uns jetzt endlich mal bewegen. Um die Größe des Problems zu verschleiern, tun wir im folgenden Text einfach so, als wäre nur CMT betroffen und nicht etwa unsere 40 Jahre alte Kacke, auf der das alles beruht.

... und mit unseren Partnern in der Branche zusammenarbeiten, um die hier dargelegten Probleme anzusprechen und Lösungen für mögliche
Probleme zu finden.
Nachdem wir es nicht alleine verkackt haben, müssen alle anderen Beteiligten auch mit ans Werk und sich ohnehin an den Kosten beteiligen.

Während eines temporären Wartungsfensters unterlag die Check My Trip-Website einer Reihe von sogenannten "Brute-Force-Attacken" durch Dritte.
Das Wartungsfenster wurde vor ungefähr acht Jahren geöffnet. Oder wann auch immer wir CMT ins Netz gestellt haben. Erst als SRL sich bei uns gemeldet haben, hat der indische IT-Prakti sich mal die Firewall-Logs angeschaut.
Dass das eigentliche Problem so gar nichts mit CMT zu tun hat, merkt hoffentlich keiner. Ist ja alles schrecklich kompliziert mit diesem IT-Zeug.

CheckMyTrip ist selbstverständlich durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe in Echtzeit erkennt und blockiert.
Warum das Ding auch in diesem Fall mal wieder versagt hat, weiß kein Mensch. Hätte es angeschlagen, hätten wir wie folgt formuliert: "CheckMyTrip ist selbstverständlich durch ein System der Benutzerverhaltensanalyse geschützt, das automatisierte Roboterangriffe wie den durch SRL in Echtzeit erkennt sowie blockiert und im vorliegenden Fall dafür gesorgt hat, dass die Hacker gar nicht erst ans Ziel kamen."
Der Angriff auf Check My Trip führte zu einem Alarm in unseren Monitoring-Tools, die sofort interne Untersuchungen auslösten.
Wir nahmen sofort Untersuchungen auf, nachdem sich SRL ein paar Tage vor ihrem Vortrag im Rahmen der Coordinated Disclosure freiwillig bei uns gemeldet hat.
Wir haben schnell eine IP-Blockierung für die betroffenen IP-Adressen angefordert. Die Seite ist jetzt gegen diese Art von Angriffen geschützt.
Wir haben das kleinste Pflaster aufgeklebt, dass der Inder vor Weihnachten innerhalb von 45 Sekunden auftreiben konnte. Gegen jegliche andere Angriffe (Botnet, anyone?) oder halbwegs ordentliches IP-Spoofing ist nach wie vor kein Kraut gewachsen. Wir können ja schlecht den ganzen Adressraum von AWS blockieren, da dort schätzungsweise 90 Prozent der Systeme unserer Kunden laufen.
Wenn wir mal Zeit haben (siehe "... und mit unseren Partnern"), kümmern wir uns um halbwegs ordentliche Absicherung der Web-Schnittstellen von CMT.

Meine Einschätzung:
Nicht nur deren IT-Systeme sind aus den 70ern. Sondern auch die Denke in der Kommunikationsabteilung bzw Unternehmensführung.
 

chrini1

Erfahrenes Mitglied
26.03.2013
7.613
9.922
HAM
Na, immerhin gibts jetzt ein "Käptscha"*. :D




*Gut, vielleicht hätte man nach der ersten erfolgreichen Eingabe keinen Cookie setzen sollen, der eine weitere Eingabe in Folge unnötig macht, aber hey - es soll schliesslich anwenderfreundlich sein. ;)

Noch dazu hat man nicht alle Systeme der Gruppe umgestellt....
 

Fare_IT

Erfahrenes Mitglied
06.12.2012
4.492
20
Farewell City
OT /

Das Thema ist ziemlich speziell und OT - ich beschäftige mich glücklicherweise nur
50% meiner Zeit damit...


Wenn ich seit Jahren meine Prozesse und Routinen auf die Vergewaltigung von PNRs zum Zwecke der Vorgangsverwaltung aufbaue, habe ich natürlich kein Interesse es zu ändern, weil es mich Zeit und Geld kostet. Dabei gibt es weitaus bessere Möglichkeiten Daten zu erfassen und zu nutzen als PNRs aufzublähen.

Absolut korrekt. Ich wundere mich schon lange mit welchen Operating Procedures die grossen 4 (Amex, BCD, HRG und DER FCM) agieren. Auf der anderen Seite sind Servicefees iHv 0 - 15 Euro offline nicht gerade die passende Ausgangsbasis für "große Innovationen" auf Seiten der Reisebüros (TMC). Bevor hier jemand fragt, die 0 Euro soll die neue Servicecharge Basis des BUND Reiseetats sein - so erzählt man sich im Markt.

Ein GDS ist ein Reservierungssystem und kein Vorgangsverwaltungssystem.

Korrekt.

Es dient dazu Leistungen zu reservieren und nicht seitenweise Bearbeitungsvermerke für Mid-Office Routinen zu verwalten. Einen PNR mit zig Remark-Elementen aufzublähen ist umständlich, kostenintensiv, fehleranfällig und ist technologisch frühste Bronzezeit.

Ja, auch das ist richtig. Der inflationäre Umgang mit RM / AP Elementen ist tatsächlich "erstaunlich". Es gibt aber auch TMCs mit mit Verstand an die Sache gehen, mit der Policy "as short as possible".

Aus der Praxis: Wenn ich in einer TMC zum ersten Mal bin, und einem MA dort über die Schulter schaue, dann achte ich zuerst darauf wie der MA die Profile in eine PNR übernimmt: pt* = schlecht (sehr gewichtiges Indiz das die TMC wenig von Prozessen verstanden hat / sich darum kümmert) dagegen pt = gut. (Nach meiner EInschätzung arbeiten 90 % der TMC Agents mit pt*) ;-)

Zudem kostet es Technologieanbieter Zeit und Geld, weil sie gezwungen sind sich mit altem Kram zu beschäftigen anstatt mit innovative Lösungen, weil große RSB Ketten (neudeutsch TMCs) ständig bremsen und jammern wie schlecht doch alles ist.

Du willst also ernsthaft sagen dass sich die TMCs gegen Innovationen der GDS (im dt Markt eben nur Amadeus) sperren? Das finde ich, gelinde gesagt, befremdlich und ist m.A. eine Vertauschung der Tatsachen. Richtig ist: Amadeus hat schon vor langer Zeit den Anschluss der TMCs (im Gegensatz zum high profit business mit den Suppliern) als "sekundär" in der Geschäftspolitik eingestuft imho. Amadeus investiert ausschließlich in Geschäft das PNRs bringt - weil diese durch die Airlines entsprechend honoriert werden.

Technische Innovationen in Bezug auf die Agents bei Amadeus beschränken sich auf die Ticketgrosshändler, aktuelle Beispiele dazu gibt es mehrere.

Ich habe 10 Jahre selbst für einen solchen Bremserverein gearbeitet und gemäß Managementvorgabe kräftig mit gebremst.

Wie gesagt: Ich teile Deine Sicht ganz und gar nicht.

Bei Kunden und Leistungsanbietern. Passive Segmente kosten Geld und nutzen nur den Betreibern der GDS. Die verdienen sich daran nämlich dumm und dämlich. Anbieter, wie Fluggesellschaften und Autovermieter hassen sie aus gutem Grunde wie die Pest und fangen an sie zu bekämpfen. Airlines wie z.B. AB verschicken ADMs für passive Segmente, die in Sabre angelegt werden, weil sie es Leid sind für die Innovationsresitenz einer Branche die Zeche zu zahlen. Man kann Non-GDS Buchungen auch anders verwalten.

Und daran sollen die TMCs Schuld sein? Dir ist schon klar, dass Amadeus (in bestimmten GDS Verträgen mit Agents) sehr hohe Gebühren für passive PNRs berechnet (also GDS belastet Agent)? Nun, irgendwie ja auch nachvollziehbar dass sich Amadeus auch am "Gewinn" eines Kunden beteiligen möchte, der z.B. nicht über Cytric AeTM bucht, oder?

Fazit: Amadeus ist ein Unternehmen, das wie die Made im Speck sitzt - und sich nicht zu schade ist, jedes Jahr aufs Neue einen Milliardengewinn in der Fachpresse hinaus zu posaunen, in deren Marktumfeld die TMCs und Airlines mehr schlecht als recht zurande kommen. Die Position von Amadeus erklärt sich dabei nicht aus besonderer technischer Kompetenz, Innovationskraft oder Engagement sondern vielmehr und einzig aus der historischen Inhaberschaft der GDS Systeme aus den 70 - 90er Jahren.

Wir hatten hier zur Einführung der DCC (Distribution Cost Charge) eine Diskussion zum Thema...
 

technikelse

Erfahrenes Mitglied
18.05.2016
2.092
8
Wiesbaden
Das Thema ist ziemlich speziell und OT - ich beschäftige mich glücklicherweise nur
50% meiner Zeit damit...
Du hast Recht es ist wirklich OT. Wir können gerne an anderer Stelle ausgiebig weiter diskutieren, wenn die Mods den Betrag verschieben. Ich beschäftige mich im 18. Jahr hauptberuflich mit dem Thema. Ich war lange auf TMC Seite, dann auf Kundenseite und seit 5 Jahren bei einem Technolgieanbieter (nicht GDS) ;-)

Du willst also ernsthaft sagen dass sich die TMCs gegen Innovationen der GDS (im dt Markt eben nur Amadeus) sperren?
Nicht doch, die GDSse leben in ihrem Oligopol wie die Made im Speck. TMCs beharren auf starren Prozessen, die sie auf Basis veralteter GDS Technologie vor einer Dekade mal etabliert haben und bewegen sich keinen Milimeter weg davon. Technolgieanbieter (z.B. OBE Anbieter) müssen rückwärtsgewandte Technologie entwicklen bzw. am Leben erhalten, weil TMCs ihre Produkte als Reseller sonst nicht verkaufen.

Das finde ich, gelinde gesagt, befremdlich und ist m.A. eine Vertauschung der Tatsachen. Richtig ist: Amadeus hat schon vor langer Zeit den Anschluss der TMCs (im Gegensatz zum high profit business mit den Suppliern) als "sekundär" in der Geschäftspolitik eingestuft imho. Amadeus investiert ausschließlich in Geschäft das PNRs bringt - weil diese durch die Airlines entsprechend honoriert werden.
Stimmt absolut, weil TMCs einen schleichenden Tod sterben. Durch neue Technologien werden sie zunehmend überflüssig. Die, die sich neuen Technologien verweigern und ihren A***h nicht hochkriegen sind schneller weg vom Fenster als sie gucken können. Sie müssen sich entweder neu erfinden oder den Betrieb einstellen.

Technische Innovationen in Bezug auf die Agents bei Amadeus beschränken sich auf die Ticketgrosshändler, aktuelle Beispiele dazu gibt es mehrere.
Wen wundert es. Wie sagten einst die Dakota Indianer? Wenn du entdeckst, dass du ein totes Pferd reitest, steig ab. ;-)

Und daran sollen die TMCs Schuld sein? Dir ist schon klar, dass Amadeus (in bestimmten GDS Verträgen mit Agents) sehr hohe Gebühren für passive PNRs berechnet (also GDS belastet Agent)? Nun, irgendwie ja auch nachvollziehbar dass sich Amadeus auch am "Gewinn" eines Kunden beteiligen möchte, der z.B. nicht über Cytric AeTM bucht, oder?
Ich spreche ja auch nicht von Amadeus, Sabre und Co. Die verdienen sich dumm und duselig an dem passive Segment Wahn, den nur TMCs wollen, den aber Kunden und Leistungsträger teuer bezahlen müssen. Ich weiss von einigen großen Airlines, die sich in Richtung Direct Connect orientieren oder von LCCs, dass sie diesen Wahn in Zukunft unterbinden werden. AB schickt bereits ADMs für passive Segmente von Buchungen, die über Direct Connect gebucht wurden. Andere werden folgen, weil sie es satt haben für Steinzeitprozesse einer Gruppe zu zahlen.

Fazit: Amadeus ist ein Unternehmen, das wie die Made im Speck sitzt - und sich nicht zu schade ist, jedes Jahr aufs Neue einen Milliardengewinn in der Fachpresse hinaus zu posaunen, in deren Marktumfeld die TMCs und Airlines mehr schlecht als recht zurande kommen. Die Position von Amadeus erklärt sich dabei nicht aus besonderer technischer Kompetenz, Innovationskraft oder Engagement sondern vielmehr und einzig aus der historischen Inhaberschaft der GDS Systeme aus den 70 - 90er Jahren.
Du hast vollkommen Recht. Besser kann es nicht umschreiben. Sabre ist auf dem amerikanischen Markt noch eine Spur unerträglicher und dazu noch im Vergleich zu Amadeus auf noch älterer Technologie unterwegs.
 
  • Like
Reaktionen: Fare_IT und rotanes

holgor2000

Aktives Mitglied
24.03.2013
172
7
Im Prinzip nichts neues im Vortrag, dem Zielpublikum, die sich davor noch nie damit beschäftigt haben, einen schnellen Einstieg (und Motivation) vermittelnd.

Bei den Q&As hat sich doch ein paar gröbere Sachfehler eingeschlichen, zum Beispiel das mit dem Löschen der PNR (wie man vor ein paar Monaten sehr gut sehen konnte). Die "Fehler" davor sind angesichts dem o.g. Ziel verkraftbar ;)

Worin bestanden denn die Fehler und was wäre die richtige Antwort gewesen?

Danke.
 
L

LH 796

Guest
Außer zum Fisch einwickeln taugt dieses linksreaktionäre Blatt zu nichts. :rolleyes:
 

datschi

Erfahrenes Mitglied
23.06.2010
768
1
DUB
Worin bestanden denn die Fehler und was wäre die richtige Antwort gewesen?

Danke.

Was bei mir spontan hängen geblieben ist:

1) Die PNR wird nach Benutzung nicht gelöscht sondern erstmal verschoben (der RLOC wird damit auch wieder benutzbar). Der Aufruf der PNR ist immer noch relativ simpel möglich (aber nicht via der bekannten Webseiten). Nach weiterer bestimmter Zeit wird der weiter ins Archiv geschoben. $Irgendwann werden die dann auch da gelöscht.

2) Bei der Frage zu den Social Media Accounts beim Esta Antrag: In der PNR ist nichts dazu drin (zugegeben, die Antwort kam aus dem Publikum...). Das liegt beim DHS.

3) Ging auch noch um die Fare Rule Strings und da zu versuchen ein paar Special Character einzuschleusen um den "Parser" zu verwirren. Reichlich sinnlos, da das Human readable Format ist und aus dem Fare rule Modell gebaut wird.
 
  • Like
Reaktionen: holgor2000

holgor2000

Aktives Mitglied
24.03.2013
172
7
Was bei mir spontan hängen geblieben ist:

1) Die PNR wird nach Benutzung nicht gelöscht sondern erstmal verschoben (der RLOC wird damit auch wieder benutzbar). Der Aufruf der PNR ist immer noch relativ simpel möglich (aber nicht via der bekannten Webseiten). Nach weiterer bestimmter Zeit wird der weiter ins Archiv geschoben. $Irgendwann werden die dann auch da gelöscht.
Vielen Dank für die Erläuterungen.

Und in der PNR sind die personenbezogenen Daten nach der Reise auch weiterhin drinnen? Das wäre IMHO nach der EU Datenschutzverordnung nicht rechtens.

Darin steht in Artikel 5 im Abschnitt "Grundsätze für die Verarbeitung personenbezogener Daten" folgendes:
(1) Personenbezogene Daten müssen
e)
in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; ...


Diesen Zweck sehe ich nach der Reise als nicht mehr gegeben.


Übrigens ist mir bei der Lufthansa Buchung folgendes aufgefallen: Es gibt einen Haken, den man setzen kann. Darin wird einem die Möglichkeit gegeben, dass der 6-stellige Buchungscode nicht mehr in der Bestätigungs-E-Mail angegeben wird. Diese E-Mails werden unverschlüsselt versendet. Somit kann der Buchungscode mitgelesen werden.
Ist das neu oder war das schon länger so und mir ist es nur noch nicht aufgefallen?


Ciao
 

holgor2000

Aktives Mitglied
24.03.2013
172
7
Die sonstigen. Wir reden hier doch aber über die personenbezogenen Daten in der PNR.

Ein übliches Verfahren in der IT ist es, die personenbezogenen Daten zu entfernen und den Rest dann in der Tat noch einige Zeit als Archiv aufzubewahren bevor der Datensatz endgültig gelöscht wird. Die Frage ist, ob das mit der PNR auch gemacht wird. Als die PNR Architektur entwickelt wurde, dachte da sicher noch niemand dran.

Ciao
 
Zuletzt bearbeitet:

holgor2000

Aktives Mitglied
24.03.2013
172
7
Doch, aber das EU DP schlägt Dein HGB. Die EU DP wurde wegen der wachsenden Bedeutung in der IT dieses Jahr erst erweitert und aktualisiert.
 

datschi

Erfahrenes Mitglied
23.06.2010
768
1
DUB
Und in der PNR sind die personenbezogenen Daten nach der Reise auch weiterhin drinnen? Das wäre IMHO nach der EU Datenschutzverordnung nicht rechtens.

[..]

Diesen Zweck sehe ich nach der Reise als nicht mehr gegeben.

Der Zweck ist hier nicht nur die Reise an sich, sondern z.B. auch die Abrechnung und Dokumentation von etwaigen Ansprüchen.

Es gibt da auch noch eine andere EU-Verordnung dazu, 80/2009 (Verordnung über einen Verhaltenskodex in Bezug auf Computerreservierungssysteme). Dazu in Artikel 11, Abs. 4:
Vom Systemverkäufer kontrollierte Informationen über identifizierbare Einzelbuchungen werden binnen 72 Stunden nach Abwicklung des letzten Teils des Einzelbuchungsvorgangs offline archiviert und binnen drei Jahren gelöscht. Ein Zugriff auf diese Daten ist nur bei Unstimmigkeiten in Bezug auf die Abrechnung zulässig.
 
  • Like
Reaktionen: rotanes

holgor2000

Aktives Mitglied
24.03.2013
172
7
Der Zweck ist hier nicht nur die Reise an sich, sondern z.B. auch die Abrechnung und Dokumentation von etwaigen Ansprüchen.

Es gibt da auch noch eine andere EU-Verordnung dazu, 80/2009 (Verordnung über einen Verhaltenskodex in Bezug auf Computerreservierungssysteme). Dazu in Artikel 11, Abs. 4:
Vom Systemverkäufer kontrollierte Informationen über identifizierbare Einzelbuchungen werden binnen 72 Stunden nach Abwicklung des letzten Teils des Einzelbuchungsvorgangs offline archiviert und binnen drei Jahren gelöscht. Ein Zugriff auf diese Daten ist nur bei Unstimmigkeiten in Bezug auf die Abrechnung zulässig.

Offline archiviert ist aber was anderes als simpel im Zugriff wie Du es weiter oben geschrieben hast.
Offline archiviert bedeutet doch für den Hacker da draußen das gleiche wie gelöscht, weil nicht mehr extern erreichbar übers www. Also war die Antwort des CCC IMHO logisch korrekt gewesen.

Danke für die Erläuterungen.

Ciao
 
  • Like
Reaktionen: JustLHFTL und datschi

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Da gab es doch mal das Problem, dass archivierte PNRs über die App mit aktuellen Daten aufgefüllt wurden. Wer erinnert sich? :rolleyes: Also ganz raus aus dem Web sind die Daten nicht.
 
  • Like
Reaktionen: datschi

phxsun

Erfahrenes Mitglied
02.01.2010
1.746
58
OWL
AF scheint eine der wenigen Gesellschaften zu sein, welche eine Abfrage ihrer PNRs via CMT unterbinden. Als ich hierzu mal eine Anfrage an AF geschickt habe, kam hier als Antwort, man habe bei diesem Weg Sicherheitsbedenken.