ACHTUNG Daten Leck bei Miles and More

ANZEIGE

Reakawon

Aktives Mitglied
03.11.2014
171
0
FMO
ANZEIGE
Genau deswegen bin ich ja vielleicht etwas paranoid, da ja teilweise sogar Leute angerufen wurden, die keine Ahnung hatten wieso und länger nicht auf der Seite waren. Dies würde natürlich dazu passen, dass alle 4.100 Logins die Daten aller aktiver Sessions sehen konnten - das wären die kürzlich eingeloggten und die dauerhaft eingeloggten.

Und 30 Tage oder länger ist man ja häufig zB auch bei Gmail oder Outlook eingeloggt - oder im VFT.


Als ich bin/war wie gesagt im Kontakt mit demjenigen dessen Daten ich einsehen konnte. Er kann sich nicht daran erinnern war er sich das letztes Mal über das Web Interface eingeloggt hat weil er eigentlich immer nur alles über die App macht.
 
  • Like
Reaktionen: gsx650 und StefanR

slye

Neues Mitglied
11.08.2019
9
0
Als ich bin/war wie gesagt im Kontakt mit demjenigen dessen Daten ich einsehen konnte. Er kann sich nicht daran erinnern war er sich das letztes Mal über das Web Interface eingeloggt hat weil er eigentlich immer nur alles über die App macht.

Und genau das meine ich. Ob man bei das gesamte Ausmaß wirklich schon einschatzen kann, keine 24 Stunden danach? Ich glaube es ja nicht. Da kommt bestimmt noch das dicke Ende. :)
 

slutz

Erfahrenes Mitglied
06.10.2016
2.292
1.939
ich denke auch, dass die offizielle Stellungsnahme nicht richtig ist. Zudem soll es nur zu 4100 "Fällen" gekommen sein, das scheint auch geschönt zu sein.
Speziell nach dem es auf den verschiedenen Kanälen kommuniziert wurde, müssten doch noch viel weitere es innerhalb des Zeitraums bis 16:40 überprüft bzw sich eingeloggt haben...
 

Jens90

Aktives Mitglied
22.05.2017
240
204
awaywithdave.com
Echt schade, dass bei M&M ständig an der Seite gepfuscht wird. Wochenlang ging der Login nicht mit Firefox, Datenleck, Login geht nicht... Insgesamt scheint mir die IT Abteilung bei LH nicht ganz auf der Höhe zu sein. Die schlecht gelöste Suchfunktion etc. sind auch nicht gerade ein Meisterstück.
 

jolanda

Reguläres Mitglied
24.02.2010
33
0
Ich habe mich eingeloggt und ich habe fremde Daten gesehen. Davon habe ich auch Hardcopys gemacht.
Insofern ist hier mit an Sicherheit grenzender Wahrscheinlichkeit jemand betroffen, der sich gerade nicht eingewählt hat, weil ich seine Daten gesehen habe.

Deswegen ist die Aussage von LH falsch.

wieso, der hat doch dann sicher auch beim Login andere Daten gesehen und nicht seine
und man kann sich doch auch von mehreren Geräten gleichzeitig in einen Account einlogen
also könnte es sogar sein, das mehrere Leute die gleichen Daten angezeigt bekommen haben
 
  • Like
Reaktionen: Fighti

nhobalu

Forumskater
18.10.2010
10.832
-34
im Paralleluniversum
wieso, der hat doch dann sicher auch beim Login andere Daten gesehen und nicht seine
und man kann sich doch auch von mehreren Geräten gleichzeitig in einen Account einlogen
also könnte es sogar sein, das mehrere Leute die gleichen Daten angezeigt bekommen haben

Manchmal, nur manchmal, habe ich das Gefühl ich schreibe in irgendeiner Alien-Sprache.

Ich versuche es noch einmal: Die Aussage von LH lässt vermuten, dass nur diejenigen Datensätze betroffen sind von den ca. 4100 Leuten, die sich in dieser Zeit eingewählt haben.

Meine Erfahrungen - und auch Schilderungen weiterer Foristen - können dieses Statement aber nicht bestätigen. Vielmehr ist es so, dass ich als derjenige, der sich eingewählt hat eben die Daten anderer sehen konnte. Geschädigt sind also eine unbekannte Anzahl an Dritten, die sehr wahrscheinlich davon garnichts wissen. Von diesen Dritten war es möglich, die gesamten (!) Profildaten einzusehen als ob es meine wären. Ob die betroffenen Personen, deren Datensätze ich sehen konnte, sich zu dieser Zeit versucht haben selber einzuwählen und ob diese ggf. andere Daten gesehen haben, weiß ich nicht. Ich könnte es aber herausbekommen, denn ich könnte die fragliche Person anrufen. In mindestens einem Fall hier im Thread ist es aber offensichtlich so, dass die betroffene dritte Person sich zu dieser Zeit eben nicht selber eingewählt hat.

Sollte es jetzt immer noch nicht verständlich sein, lerne ich erst einmal timbuktanisch. Vielleicht versteht man mich dann besser.
 
  • Like
Reaktionen: mpm und unseen_shores

RogerM

Aktives Mitglied
23.12.2015
206
3
ZRH
In mindestens einem Fall hier im Thread ist es aber offensichtlich so, dass die betroffene dritte Person sich zu dieser Zeit eben nicht selber eingewählt hat.

Es ist doch inwzwischen ziemlich klar, dass alle aktiven Sessions betroffen waren. Und als aktive Sessions gelten wohl: "das wären die kürzlich eingeloggten und die dauerhaft eingeloggten." Gehört diese dritte Person ev. zu denen, die dauerhaft eingeloggt sind?
 

Thomas_B

Erfahrenes Mitglied
31.05.2009
666
39
Es ist doch inwzwischen ziemlich klar, dass alle aktiven Sessions betroffen waren. Und als aktive Sessions gelten wohl: "das wären die kürzlich eingeloggten und die dauerhaft eingeloggten." Gehört diese dritte Person ev. zu denen, die dauerhaft eingeloggt sind?

Betroffener ist also nach M&M Logik scheinbar jemand, der falsche Daten gesehen hat.

Dann ist jetzt nur noch die Frage wer nach M&M Logik "dauerhaft eingeloggt" ist. Nur wenn man auf der Webseite den Haken gesetzt hat oder auch z.B. wenn man die App nutzt und dort dauerhaft eingeloggt ist? Und wie nennt man die Person dann, da sie ja keine "Betroffene" sind?
 

born2fly

Erfahrenes Mitglied
25.10.2009
5.546
2.688
FRA
MM ist wirklich süß...
Genau genommen ist mir egal, wer nach deren Definition "betroffen" war. Zu der Frage, wer "geschädigt" wurde, äußern sie sich nicht. Gar nicht lustig wie man versucht, das verbal runter zu spielen!
 
  • Like
Reaktionen: Weltenbummlerin

RogerM

Aktives Mitglied
23.12.2015
206
3
ZRH
Betroffener ist also nach M&M Logik scheinbar jemand, der falsche Daten gesehen hat.
M&M schreibt auf der Website: "Betroffen waren ausschließlich Teilnehmer, die in diesem Zeitraum parallel eingeloggt waren". Wie das genau gemeint ist, wird sich schon noch zeigen. Die Behörden werden hier schon noch reagieren. Aber bis dahin muss man einfach froh sein, dass der Login abgestellt ist und M&M nun daran arbeitet, dass es nicht mehr passiert. Die weiteren Konsequenzen werden sich noch zeigen.

Dann ist jetzt nur noch die Frage wer nach M&M Logik "dauerhaft eingeloggt" ist. Nur wenn man auf der Webseite den Haken gesetzt hat oder auch z.B. wenn man die App nutzt und dort dauerhaft eingeloggt ist? Und wie nennt man die Person dann, da sie ja keine "Betroffene" sind?
Davon ausgehend, dass andere Zugriffswege (App, LH.com) nicht betroffen seien, gehe ich mal schwer davon aus, dass man nur dauerhaft auf der Website eingeloggt ist, wenn man den Haken auf der Website gesetzt hat.
 

Thomas_B

Erfahrenes Mitglied
31.05.2009
666
39
M&M schreibt auf der Website: "Betroffen waren ausschließlich Teilnehmer, die in diesem Zeitraum parallel eingeloggt waren". Wie das genau gemeint ist, wird sich schon noch zeigen. Die Behörden werden hier schon noch reagieren. Aber bis dahin muss man einfach froh sein, dass der Login abgestellt ist und M&M nun daran arbeitet, dass es nicht mehr passiert. Die weiteren Konsequenzen werden sich noch zeigen.

Davon ausgehend, dass andere Zugriffswege (App, LH.com) nicht betroffen seien, gehe ich mal schwer davon aus, dass man nur dauerhaft auf der Website eingeloggt ist, wenn man den Haken auf der Website gesetzt hat.

Das Problem ist doch:
Bis auf die rund 4.000 Leute weiß keiner ob seine Daten potentiell durch Dritte eingesehen wurden. Es ist ja eben unklar wer alles "dauerhaft eingeloggt" ist. Und selbst wenn es nur auf der Webseite war: Wenn ich den Haken vor 6 Monaten auf einem alten PC gesetzt habe, zählt das immer noch oder zählt die aktuelle Einstellung? Falls nur die aktuelle Einstellung zählt, war ich dauerhaft eingeloggt? Ich bin mir sicher, dass nicht, aber in Zeiten von Passwort-Autofill ist das vielleicht auch nicht jedem 100% klar.
 

Bonbonpapier

Erfahrenes Mitglied
07.02.2013
693
26
Ist es zutreffend, dass alle betroffenen Nutzer bereits informiert wurden und es nur welche betraf, die gegenwärtig im besagten Zeitraum eingeloggt waren?

Die Hotline will es mir so verkaufen.
 

unseen_shores

Erfahrenes Mitglied
30.10.2015
7.249
10.551
Trans Balkan Express
Ist es zutreffend, dass alle betroffenen Nutzer bereits informiert wurden und es nur welche betraf, die gegenwärtig im besagten Zeitraum eingeloggt waren?

Diese Frage wird Dir hier niemand beantworten können, da unklar ist, wieviele Betroffene es tatsächlich gibt. Die große Preisfrage ist ja, was mit den über die App Dauereingeloggten ist (siehe frühere Posts). Betroffen sind ja wohl auch diejenigen, deren Profil beim einloggen durch Dritte angezeigt wurde.

Hier wird gewaltig abgewiegelt. Die Kommunikation ist ein Desaster. Aber auch das wurde bereits von Vorpostern geschrieben.
 

RogerM

Aktives Mitglied
23.12.2015
206
3
ZRH
Die große Preisfrage ist ja, was mit den über die App Dauereingeloggten ist (siehe frühere Posts). Betroffen sind ja wohl auch diejenigen, deren Profil beim einloggen durch Dritte angezeigt wurde.
1. M&M sagt klar, dass die Zugänge via App nicht betroffen waren.
2. Es wurden solche Profile angezeigt von Leuten, die gleichzeitig eingeloggt waren. Wer sich in der Zeit nicht eingeloggt hat oder nicht dauernd eingeloggt war, wurde auch nicht angezeigt.

Wie hier schon mehrfach gesagt wurde, scheint es ein Problem mit den Sessions gegeben zu haben. Nur wenn eine offene Session bestand, konnten die Daten auch einem Dritten angezeigt werden. Die Daten eines Users, bei dem keine Session offen war, konnten auch nicht bei einem anderen User angezeigt werden. Momentan muss man davon ausgehen, dass die Sessions und die Zugänge via Webzugriff auf der M&M-Website betroffen haben. Also nur die Nutzer, die sich in dem betroffenen Zeitraum aktiv eingeloggt haben oder aufgrund der eigenen Einstellung permament auf der Website eingeloggt waren, müssen davon ausgehen, dass ihre Daten von Dritten gesehen wurden.
 
  • Like
Reaktionen: unseen_shores

unseen_shores

Erfahrenes Mitglied
30.10.2015
7.249
10.551
Trans Balkan Express
... Also nur die Nutzer, die sich in dem betroffenen Zeitraum aktiv eingeloggt haben oder aufgrund der eigenen Einstellung permament auf der Website eingeloggt waren, müssen davon ausgehen, dass ihre Daten von Dritten gesehen wurden.

Allerdings berichtet im Kommentarteil des Aerotelegraphs ein Nutzer, dass sein Account bereits vor den ominösen 40 Minuten gehackt und Meilen an ein "Klimaschutzprojekt" "gespendet" wurden.
 
  • Like
Reaktionen: gsx650

tiswas01

Erfahrenes Mitglied
17.11.2010
1.153
32
Casa Grande/Arizona
MM kann viel sagen...
Sie wollen natürlich den medialen Schaden begrenzen und wir können deren Aussagen momentan (eher) nicht widerlegen.

Ich stimme Dir zu.

Ist es nicht schrecklich, dass so gut wie alles was M&M (aber auch LH) von sich gibt in Zweifel gezogen werden muss durch die vielen schlechten Erfahrungen der Forummitglieder.

Es scheint mir, dass jegliches Vertrauen verloren gegangen ist.

Für mich eine schlimme Entwicklung - leider.
 

Dirkster

Erfahrenes Mitglied
09.12.2017
495
906
LBC/HAM
ANZEIGE
300x250
Was sagen denn eigentlich die hier versammelten ITler zu dieser schwerwiegenden Panne? Nach wieviel Stunden/Tagen sollte denn sowas behoben sein?

Das lässt sich nicht seriös beantworten, da wir die genauen technischen Details nicht kennen.

Sagen wir, es wurden am Montag Änderungen vorgenommen, die diesen Fehler ausgelöst haben, und man hätte es durch Zurücksetzen auf die letzte funktionsfähige Version provisorisch beheben können, dann natürlich noch am selben Tag.

Ganz so trivial ist es aber offenbar nicht.