ACHTUNG Daten Leck bei Miles and More

ANZEIGE

nhobalu

Forumskater
18.10.2010
10.832
-34
im Paralleluniversum
ANZEIGE
Doch bzw. ziemlich sicher. Die genutzte Lösung ist veraltet und wird noch an anderen Schwächen leiden. Würde M&M eine aktuelle Lösung anschaffen, so dürften auch andere Schwachstellen gefixt sein.

Ziemlich sicher nicht. Denn Du musstest Dich mit Deinen Credentials erst einmal anmelden. Erst wenn die richtig waren, bist Du dann halt auf die Daten eines falschen Benutzers gekommen.

Ob das nun per einfacher oder Zwei Faktor Authentifizierung passiert, tut doch hierbei nichts zur Sache. Hier wurde einfach falsche Datensätze aufgerufen. Daher glaube ich persönlich auch nicht auch nicht an einen Hackerangriff sondern an einen Programmierfehler.
 

TrickMcDave

Erfahrenes Mitglied
16.07.2015
4.039
2.795
ZRH
Daher glaube ich persönlich auch nicht auch nicht an einen Hackerangriff sondern an einen Programmierfehler.
Glauben kannst du in der Kirche.
Nein im Ernst, du gibst Dir mit dem Programmierfehler ja die Antwort selbst. Die aktuelle Lösung hat Schwachstellen, unter Anderem keine 2FA und so lustige Sachen wie einen auf 5 Stellen begrenzten PIN. Natürlich ändert der Anmeldemechanismus nichts an der darunterliegenden Architektur, aber wenn schon die Anmeldung so veraltet ist, dann wird der Rest auch nicht up2date sein.

Ob Hackerangriff oder Programmierfehler ist mir als Nutzer übrigens egal. M&M soll ihre IT sorgfältig pflegen und da gehört ab und zu auch mal eine Revision dazu.
 

nhobalu

Forumskater
18.10.2010
10.832
-34
im Paralleluniversum
Glauben kannst du in der Kirche.
Nein im Ernst, du gibst Dir mit dem Programmierfehler ja die Antwort selbst. Die aktuelle Lösung hat Schwachstellen, unter Anderem keine 2FA und so lustige Sachen wie einen auf 5 Stellen begrenzten PIN. Natürlich ändert der Anmeldemechanismus nichts an der darunterliegenden Architektur, aber wenn schon die Anmeldung so veraltet ist, dann wird der Rest auch nicht up2date sein.

Ob Hackerangriff oder Programmierfehler ist mir als Nutzer übrigens egal. M&M soll ihre IT sorgfältig pflegen und da gehört ab und zu auch mal eine Revision dazu.

Mein Glaube tut hier nichts zur Sache. Aber Danke für diesen ziemlich unnützen Hinweis dazu.

Ansonsten lasse Dir Deine Meinung. Ich habe von IT keine Ahnung, gar keine Ahnung. Daher hast Du ganz bestimmt ganz Recht.
 

longhaulgiant

Erfahrenes Mitglied
22.02.2015
9.269
8.122
Natürlich ändert der Anmeldemechanismus nichts an der darunterliegenden Architektur, aber wenn schon die Anmeldung so veraltet ist, dann wird der Rest auch nicht up2date sein.

Ich meine das nicht despektierlich aber du trägst hier deine Unwissenheit über Software Systeme offen zur Schau.
Natürlich kann ein altes Produkt Sicherheitslücken haben wenn man es nicht patched. Das ist hier aber mit ziemlicher Sicherheit nicht der Fall. Im Gegenteil weist ein von Grund auf neues System in aller Regel ein Vielfaches an Fehlern (auch schwerwiegenden!) auf als es ein länger laufendes und fortlaufend gepatchtes System tut.
Es ist ziemlich wahrscheinlich, dass man hier unbeabsichtigt etwas am Login geändert hat. Und es existiert wohl kein Standardtest um diesen Fehler abzufangen. Wenn überhaupt dann müsste man M&M vorwerfen so etwas essenzielles wie den Login nicht automatisiert zu testen und/oder das Ergebnis ordentlich zu validieren.
 

abundzu

Erfahrenes Mitglied
24.10.2016
413
136
FRA
Ich kann mich nicht in der M&M App (iOS) anmelden. Angeblich ist das Passwort falsch.
 

Batman

Erfahrenes Mitglied
18.11.2017
6.680
4.178
Hamburg
Ich kann mich nicht in der M&M App (iOS) anmelden. Angeblich ist das Passwort falsch.

Das Anmeldesystem im Hintergrund scheint noch abgestellt. Da gibt es dann die Fehlermeldung. Wie hier schon an anderer Stelle geschrieben, bei Lufthansa anmelden und dort gucken. Bis auf "Kontoauszug" (direkt mit miles and more verbunden), kann man die StandardInformationen einsehen.
 
  • Like
Reaktionen: abundzu

Rast

Aktives Mitglied
28.08.2014
213
76
Das Anmeldesystem im Hintergrund scheint noch abgestellt. Da gibt es dann die Fehlermeldung. Wie hier schon an anderer Stelle geschrieben, bei Lufthansa anmelden und dort gucken. Bis auf "Kontoauszug" (direkt mit miles and more verbunden), kann man die StandardInformationen einsehen.

Aber leider keine Meilenschnäppchen Buchen...argh, wollte ich gerade. Hoffentlich ist es morgen noch verfügbar :)
 

Pegasos

Erfahrenes Mitglied
01.02.2017
890
810
Alpen
Auf der LH Homepage zeigt es mir noch den „alten“ korrekten Kontostand an. Hab gleich nen Screenshot gemacht. Wenn ich auf Kontostand klicke muss ich mich neu einloggen und das geht nicht mehr? Als ich mich das letzte mal einloggen Konto waren ca. 60000+ weg.
Als mir die Abbuchung aufgefallen ist hab ich sofort den PIN geändert da mir da was faul vorkam. Wusste ja das die HP gerade nen Tick hat. Dann direkt bei der FTL Hotline angerufen und den Fall gemeldet.... ging dann später nochmals mit dem Login und dann waren 7000 weg. Jetzt geht nichts mehr.
Konten von AF und EK sind clean.

Was soll ich machen ?????
 

spotterking

Erfahrenes Mitglied
14.07.2012
4.941
3.147
FRA
Bei mir Login ueber die App problemlos gerade. Zahlen scheinen zu stimmen. Flüge von vorgestern heute gutgeschrieben worden.
Ohne das Forum haett ich nix gmerkt.
 

Rena

Aktives Mitglied
25.07.2019
175
155
Login über M&M ging nicht, über LH-Website problemlos. Meilenstand unverändert.
 

Dirkster

Erfahrenes Mitglied
09.12.2017
495
906
LBC/HAM
"Auf Anfrage von aeroTELEGRAPH heißt es von Miles & More, man befinde sich gerade in Abklärungen."

https://www.aerotelegraph.com/massive-probleme-bei-miles-and-more-it-probleme-datenleck-login

Der Artikel wurde inzwischen aktualisiert. Demnach war der Zugriff auf fremde Userdaten zwischen 16:08 und 16:40 Uhr möglich. Um 16:40 Uhr soll der Login deaktiviert worden sein.

"Seither sei kein Zugriff auf die Kundenkonten möglich. Man arbeite mit Hochdruck an der Lösung des Problems und werde parallel die nötigen Maßnahmen ergreifen, um Betroffene zu kontaktieren."

Auf meine Daten kann ich weiterhin via M&M App, LH App und lufthansa.com zugreifen. (Mein Meilenstand ist unverändert.) Nur der Loginversuch auf der M&M Website wirft einen technischen Fehler.
 

icemann

Erfahrenes Mitglied
09.06.2016
257
11
BaWü
Was mir mehr sorgen macht, ist das ich habe keine Ahnung wer jetzt potentiell meine Daten haben könnte.

Kann irgendwer hier Seriös sagen, wie der Schaden sein könnte wenn jemand aus irgendeinen Land jetzt meine Daten hat?

Kann mich immer noch nicht einloggen mal schauen.
 

TrickMcDave

Erfahrenes Mitglied
16.07.2015
4.039
2.795
ZRH
Ich meine das nicht despektierlich aber du trägst hier deine Unwissenheit über Software Systeme offen zur Schau.
Natürlich kann ein altes Produkt Sicherheitslücken haben wenn man es nicht patched. Das ist hier aber mit ziemlicher Sicherheit nicht der Fall. Im Gegenteil weist ein von Grund auf neues System in aller Regel ein Vielfaches an Fehlern (auch schwerwiegenden!) auf als es ein länger laufendes und fortlaufend gepatchtes System tut.
Es ist ziemlich wahrscheinlich, dass man hier unbeabsichtigt etwas am Login geändert hat. Und es existiert wohl kein Standardtest um diesen Fehler abzufangen. Wenn überhaupt dann müsste man M&M vorwerfen so etwas essenzielles wie den Login nicht automatisiert zu testen und/oder das Ergebnis ordentlich zu validieren.
Hihi, ich schreibe wohl nach der Arbeit etwas zu oberflächlich. Ich trage IT in meiner Berufsbezeichnung und hab vor 20 J. eine Berufslehre als Applikationsentwickler mit eidg. FZ abgeschlossen.

Um es mit deinem Beispiel auszudrücken: was sagt es uns über den Betreiber eines Systems, der den Login nicht ordentlich testet bei einem Publikumssystem, das geldwerte Leistungen speichert? Vertrauenswürdig?

Ich weiss nicht ob bzw. Wann M&M ein Wartungsintervall hatte, aber das Problem war so lange nicht behoben, dass es hier gepostet und breitgetreten wurde. Mit dem Besuch von polnischen Profilen etc. Ihr REsponse team scheint nicht so auf zack zu sein.
Und überhaupt, wer bei M&M hat am Loginmechanismus herumgeschraubt? Der Praktikant ohne Überwachung? Warum? Sind sie selbst auf die Idee gekommen, man könnte z.B. 2FA einführen und haben dann einen Murks gemacht der den rollback trotzdem überlebt hat?

Ich meine es sind genügend Anzeichen da, von einem ungenügenden System und ungenügender Betreuung zu sprechen.
 

longhaulgiant

Erfahrenes Mitglied
22.02.2015
9.269
8.122
Ich meine es sind genügend Anzeichen da, von einem ungenügenden System und ungenügender Betreuung zu sprechen.

Da stimme ich dir voll zu. Das bedeutet aber nicht, dass das System an sich schlecht ist. Die Prozesse drum herum sind da eher der Knackpunkt.
Ich habe in meinen knapp 15 Jahren als Entwickler und Architekt auch schon richtig üble Code Bases gesehen aber das ein System so kaputt ist, dass man es besser neu schreibt als das bestehende schrittweise zu verbessern ist extrem selten da die Nachteile bei einer Neuentwicklung fast immer überwiegen.
 

Pegasos

Erfahrenes Mitglied
01.02.2017
890
810
Alpen
Auf der LH Homepage zeigt es mir noch den „alten“ korrekten Kontostand an. Hab gleich nen Screenshot gemacht. Wenn ich auf Kontostand klicke muss ich mich neu einloggen und das geht nicht mehr? Als ich mich das letzte mal einloggen Konto waren ca. 60000+ weg.
Als mir die Abbuchung aufgefallen ist hab ich sofort den PIN geändert da mir da was faul vorkam. Wusste ja das die HP gerade nen Tick hat. Dann direkt bei der FTL Hotline angerufen und den Fall gemeldet.... ging dann später nochmals mit dem Login und dann waren 7000 weg. Jetzt geht nichts mehr.
Konten von AF und EK sind clean.

Was soll ich machen ?????

Störe die Diskussion ja nur ungern aber hat jemand ne Idee wie ich ich jetzt weiter vorgehen soll???
 

Couponschneider

Gesperrt
07.08.2019
177
0
ANZEIGE
300x250
Hat die LH-IT, die uns Kunden ja stets ein zuverlässiger Zeitvertreib ist, eigentlich auch etwas mit der Wartung der IT in den Flugzeugen zu tun?