ACHTUNG Daten Leck bei Miles and More

ANZEIGE

wizzard

Erfahrenes Mitglied
09.03.2009
9.059
2.849
ANZEIGE
99% der Kunden legen eh keinen Wert auf lange Erklärungen mit technischen Hintergründen. Insofern finde ich das okay. Hauptsache es läuft wieder. Mehr interessiert doch (außer ein paar Nerds) eh niemanden.
 

Rennip

Erfahrenes Mitglied
28.02.2016
1.451
381
Es wäre doch wohl mehr als merkwürdig, wenn veröffentlicht würde, was schief gelaufen ist - etwa damit mögliche Nachahmungstäter es leichter hätten?
 
  • Like
Reaktionen: MisterG

peter42

Moderator
Teammitglied
09.03.2009
13.265
1.088
Es wäre doch wohl mehr als merkwürdig, wenn veröffentlicht würde, was schief gelaufen ist - etwa damit mögliche Nachahmungstäter es leichter hätten?

Wieso der Bug sollte ja weg sein, daher sehe ich keine Sicherheitsgründe, die dagegensprechen, high level über die Ursachen zu informieren.
 
  • Like
Reaktionen: emptee

wizzard

Erfahrenes Mitglied
09.03.2009
9.059
2.849
Und welche Gründe sprechen dafür, einfache Kunden wie dich und mich über die Ursachen zu informieren?
 

wizzard

Erfahrenes Mitglied
09.03.2009
9.059
2.849
Ich würde als LH bzw. M&M nicht anders reagieren. Die paar Kunden, die sich für noch mehr Hintergrundinfos, als schon gegeben wurden, interessieren ... drauf geschi....
 
  • Like
Reaktionen: MisterG

Nitus

Erfahrenes Mitglied
04.04.2013
5.664
25.789
MUC
Ist man bei M&M jetzt paranoid geworden? Bei jedem Öffnen der M&M-App hier in Thailand, egal ob über Hotel-WLAN oder lokales 4G, erhalte ich die Meldung:

Verdächtige Aktivität festgestellt. Wir empfehlenn alle VPN- oder Proxy-Dienste zu deaktivieren. Wenn das Problem weiterhin besteht, kontaktieren Sie bitte das Miles & More Service Team über unsere Webseite unter Hilfe & Kontakt.

Nach einem erneute Login mit Benutzername und Kennwort habe ich dann ganz normal Zugriff auf mein Konto. Jeder weitere Aufruf der App resultiert dann wieder in dem gleichen Fehler. War das schon immer bei der App-Nutzung im Ausland? Kann mich da eigentlich nicht dran erinnern.
 

koeby

Erfahrenes Mitglied
24.08.2016
2.299
1.756
Gerade bekommen:

Sehr geehrter Herr

mit dieser Mail kommen wir auf unsere Mitteilung vom 10.12.2019, dass Ihr Konto während der technischen Störung auf der Miles & More Webseite potentiell von anderen, gleichzeitig angemeldeten Nutzern eingesehen werden konnte, zurück.

Wir können nunmehr ausschließen, dass während des Zeitraums der Störung Änderungen an Ihren Profildaten vorgenommen oder unberechtigte Meilentransaktionen getätigt wurden.

Wir bitten für die technische Störung und die daraus resultierenden Unannehmlichkeiten um Entschuldigung und verbleiben

mit freundlichen Grüßen

Ihr Miles & More Team
 

Takeoff53

Erfahrenes Mitglied
17.03.2013
822
33
Great Circle
Ich kann auf dem Handy mit der App meine Daten sehen, ist alles ok. Über den PC kann ich mich nicht einloggen. Nach Servicekartennummer und PIN kommt immer "es ist ein technisches Problem aufgetreten. Anruf bei M+M nötig oder hatten das andere User auch und es wurde quasi automatisch gefixt?
 

ekel alfred

Erfahrenes Mitglied
26.05.2010
1.836
1.332
BRE / HAJ
Sehr geehrter Herr ekel alfred,

Ihr Schreiben ist bei mir eingegangen und wird unter dem

Aktenzeichen XX.56XX345

bearbeitet. Bitte geben Sie dieses Aktenzeichen bei jedem Schriftverkehr mit meiner Dienststelle an.

Die von Ihnen beschriebene Datenschutzpanne wurde meiner Behörde seitens der Miles & More GmbH bereits gemäß Art. 33 DS-GVO gemeldet. Danach ist der Verantwortliche im Falle der Verletzung des Schutzes personenbezogener Daten verpflichtet, mir als zuständige Datenschutzaufsichtsbehörde die Verletzung zu melden, wenn sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Der Vorfall befindet sich derzeit bei mir noch in Prüfung.

Auf der Website der Miles & More GmbH unter folgendem Link https://www.miles-and-more.com/de/de/general-information/technical-malfunction.html wurden für alle Kunden Informationen zu dem Vorfall veröffentlicht.

Die Miles & More GmbH hat mir zudem versichert, dass alle Betroffenen persönlich benachrichtigt wurden. Sollten Sie demnach keine Mitteilung seitens der Miles & More GmbH per E-Mail oder Post erhalten haben, können Sie davon ausgehen, dass Ihre Daten von dem Vorfall nicht betroffen sind.

Ich hoffe Ihnen mit dieser Information behilflich gewesen zu sein und verbleibe

mit freundlichen Grüßen
Im Auftrag


Nathalie Natz

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Verkehr, Daseinsvorsorge, Umwelt, Landwirtschaft, Forsten, Geodaten
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 611 1408 132
Telefax: +49 611 1408 932
E-Mail: Nathalie.Natz@datenschutz.hessen.de
Internet: https://datenschutz.hessen.de

Hinweise zur Verarbeitung Ihrer personenbezogenen Daten finden Sie hier.


Antwort vom hessischen Datenschutzbeauftragten.

Erwähnenswert sei noch, dass der angegeben Link nicht funktioniert.
 

Biohazard

Erfahrenes Mitglied
29.10.2016
6.840
6.539
LEJ
Auch wenn diese Seite vertrauenswürdig scheint, und schon lang existiert, halte ich es für beinahe wahnsinnig, ein wichtiges Passwort dort einzugeben.

Würde ich auch niemals machen. Besserer Vorschlag: die Pwned Password List herunterladen, in KeePass das AddOn HIBPOfflineCheck (https://github.com/mihaifm/HIBPOfflineCheck) herunterladen und integrieren und aus KeePass heraus einen Offline Password Check gegen die Pwned Password List fahren.
 

Travelling_Geek

Erfahrene Reiseschreibmaschine
17.05.2009
1.845
3
HKG
Wer sich neu in diesem Thema bewegt, kann auf dieser Website prüfen, inwieweit seine Daten auf andere Weise bereits im Umlauf sind.

So gern ich HIBP mag und Troys Arbeit zu schätzen weiß: Im Fall von M&M führt der Tipp ins Leere. Denn weder kann man nach Kundennummern suchen, noch gibts einen Dump mit geklauten M&M-Logindaten, den er auswerten kann.
 

Travelling_Geek

Erfahrene Reiseschreibmaschine
17.05.2009
1.845
3
HKG
Auch wenn diese Seite vertrauenswürdig scheint, und schon lang existiert, halte ich es für beinahe wahnsinnig, ein wichtiges Passwort dort einzugeben.

Hast Du Dir mal durchgelesen, wie die Site sicherstellt, dass Deine Passwörter nicht komplett übertragen werden? Sondern lediglich die ersten fünf Stellen des SHA-1-Hashes. Dein Browser speichert den kompletten Hash Deines Passworts zwischen und gleicht ihn dann mit den vom Server zurückgeschickten Hashes ab, die ebenfalls die gleichen ersten fünf Stellen haben (im Schnitt gut 470 Hashes pro Anfrage).
Dass dem so ist, kannst Du leicht mit den Entwickler-Tools nachvollziehen, die Teil Deines Browsers sind...

Erdacht hat dieses Prinzip zur Anonymisierung ein Entwickler von Cloudflare, daher gibts bei denen die technischen Details: https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/
 

StefanR

Erfahrenes Mitglied
17.07.2016
514
173
Planet Earth
ANZEIGE
300x250
Hast Du Dir mal durchgelesen, wie die Site sicherstellt, dass Deine Passwörter nicht komplett übertragen werden?

Selbst wenn du (und vielleicht ich) in der Lage sind, das zu verstehen und nachzuvollziehen:
- für mich ist und bleibt es generell keine gute Idee, sein Passwort irgendwo einzugeben, wo es nicht dem originären Zweck dient
- das versteht höchstens ein ITler und seine Freunde
- die Seite weckt eine trügerische Sicherheit, die einfach nicht besteht

Ich bleibe dabei: man sollte sein Passwort nirgendwo eingeben, um zu prüfen ob es einem Datenverlust irgendwo zum Opfer gefallen ist. Ungefähr alle anderen Regeln zum Umgang mit Passwörtern sind besser und wichtiger.
 
  • Like
Reaktionen: HAM76