ACHTUNG Daten Leck bei Miles and More

[airhansa123]

ANZEIGE

Ach so, ich hatte eher folgende Meldung von LH erwartet:

"Die gestrige technische Störung wurde intern von einer Special Task Force der Lufthansa unter des Führung des zukünfitgen Vorstands für IT, Digitalisierung und Innovation, Thorsten Dirks, herbeigeführt, der ab 1. Januar 2020 das Ressort leiten wird. Dabei sollte im Vorfeld der Ressortübernahme im Rahmen einer Übung unter Realbedingungen getestet werden, wie die LH-IT auf solche Störfalle reagiert und welche Improvements möglich sind. Der Codename der Übung war "Digital Disruption". Solche innovativen, spontanen Disruptionen sind auch für die Zukunft geplant, da sie zu besseren Produkten führen, die den Kunden nachhaltig einen größeren Vorteil bieten als bekannte traditionelle Produkte und Services."

Der Test wurde von Beratern von McKinsey begleitet.
https://www.mckinsey.com/industries...ity-breaches-to-improve-operational-stability

 

[fhanfi]

Ach so, ich hatte eher folgende Meldung von LH erwartet:

"Die gestrige technische Störung wurde intern von einer Special Task Force der Lufthansa unter des Führung des zukünfitgen Vorstands für IT, Digitalisierung und Innovation, Thorsten Dirks, herbeigeführt, der ab 1. Januar 2020 das Ressort leiten wird. Dabei sollte im Vorfeld der Ressortübernahme im Rahmen einer Übung unter Realbedingungen getestet werden, wie die LH-IT auf solche Störfalle reagiert und welche Improvements möglich sind. Der Codename der Übung war "Digital Disruption". Solche innovativen, spontanen Disruptionen sind auch für die Zukunft geplant, da sie zu besseren Produkten führen, die den Kunden nachhaltig einen größeren Vorteil bieten als bekannte traditionelle Produkte und Services."

Der Test wurde von Beratern von McKinsey begleitet.
https://www.mckinsey.com/industries...ity-breaches-to-improve-operational-stability

hab ich das Wort Kundenwunsch über lesen und vielfach?

 

[nhobalu]

Wenn ich daran denke, welchen Unfug man an vielen Hotlines nach der Beantwortung von “Sicherheitsfragen” nach Straße und Geburtsdatum anstellen kann, und beides war ja zu sehen, dann sollten die Betroffenen dringend aktiv informiert werden.

Das sieht dann wohl ungefähr so aus:

"Werter Miles & More Kunde",

gestern in der Zeit von 16.00 - 16.40 Uhr war die Login Funktion auf unsere Miles & More Website gestört. Es besteht die Möglichkeit, dass Dritte durch einen Zufall, den wir uns auch nicht erklären können, Einsicht auf Ihre Profildaten bekommen haben. Hier besteht zumindest die Möglichkeit, dass Dritte sich Ihre Adresse und auch Ihr Geburtsdatum notiert haben. Somit können wir nicht ausschließen, dass diese Daten in der Folge missbräuchlich genutzt werden könnten. Also eventuell.

Wir empfehlen Ihnen daher folgende Maßnahmen:

1. Ziehen Sie um und legen Sie sich eine neue Postadresse zu. Ein Umzug innerhalb eines Mehrfamilienhauses ist hier nicht ausreichend. Am besten wechseln Sie das Bundesland.
2. Legen Sie sich ein neues Geburtsdatum zu. Informationen hierzu gibt Ihnen die zuständige Passstelle.

Wir bedauern diesen Umstand, hoffen aber auf Ihre Dankbarkeit, dass wir Sie aktiv darauf hingewiesen haben.

Bleiben Sie uns gewogen.
Bis bald.

Ihr Miles & More Serviceteam.
Oder so.

 

[TDO]

Aha, und wenn ich nicht eingeloggt war und jemand trotzdem meine Daten sehen konnte, bin ich wohl kein Betroffener?!

So ist es, da es disen Fall nicht gab bist du kein Betroffener.

Man konnte "nur" die Daten von anderen gerade eingeloggten Usern sehen.

 

[StefanR]

Überhaupt nicht. Falls sich jemand mit Deinem Account einloggt, könnte evtl. irgendwo stehen "Letzter Login", an dem Du dann sehen könntest, ob Du Dich zu dem Zeitpunkt eingeloggt hast.
Aber ich glaube das ist hier sowieso ein anderes Problem, deswegen wird das niemand merken, solange die Daten nicht manipuliert wurden.

Disagree. Ich würde vermuten, dass man Zugriffe und auch Transaktionen logt. Damit kann der Benutzer das nicht sehen, aber der ITler wohl schon.

 

[Kunstflieger]

Disagree. Ich würde vermuten, dass man Zugriffe und auch Transaktionen logt. Damit kann der Benutzer das nicht sehen, aber der ITler wohl schon.

+1

Man loggt Zugriffe, Transaktionen, Klicks, Verweildauern, so möglich sogar Mausbewegungen.

 

[Reakawon]

Ich habe soeben die offizielle Stellungnahme von Miles & More erhalten:

Wir können bestätigen, dass es am Montag, den 9. Dezember 2019 im Zeitraum von 16:00 bis 16:40 Uhr eine technische Störung beim Login auf der Miles & More Website gab. Miles & More Teilnehmer konnten in dem genannten Zeitraum Konten anderer Teilnehmer einsehen, die sich im gleichen Zeitraum eingeloggt haben. Insgesamt wurden während dieser Zeit 4.100 Logins vorgenommen, wobei einige Teilnehmer sich mehrfach eingeloggt haben.


Um 16:40 Uhr wurde daraufhin die Login-Funktion deaktiviert und damit die Störung abgestellt. Somit waren keine Zugriffe auf Teilnehmer-Konten mehr möglich.

Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen.


Die Miles & More IT arbeitet mit Hochdruck an der Fehleranalyse und führt umfangreiche Tests durch. Wir bitten unsere Teilnehmer weiterhin um Geduld. Die Login-Funktion wird fortlaufend intensiv überwacht und nach der Fehlerbehebung stufenweise freigeschaltet. Für einen Hackerangriff gibt es aktuell keinerlei Anzeichen.


Falls es in Einzelfällen zu Auffälligkeiten in den betroffenen Teilnehmer-Konten gekommen ist, wird Miles & More diese identifizieren und schnellstmöglich korrigieren. Zudem wird sichergestellt, dass den betroffenen Teilnehmern keine Meilen unrechtmäßig abgebucht werden. Übergriffe krimineller Art sind aktuell nicht erkennbar. Betroffene Miles & More Teilnehmer werden unverzüglich informiert. Miles & More empfiehlt diesen Teilnehmern, ihre Anmeldedaten sicherheitshalber zu ändern.


Miles & More steht zu dem Vorfall mit den Datenschutzbehörden in Kontakt. Eine abschließende datenschutzrechtliche Bewertung steht noch aus.

https://www.zdnet.de/88374651/miles-more-kunden-berichten-ueber-datenleck/

Also das ist so zu 100% nicht korrekt wie M&M das hier darstellt. Ich habe mich nämlich mit meinen Daten eingeloggt und war dann in einem Profil von jemand anderen. Diese Fremde Person habe ich dann angerufen weil seine Mobilnummer hinterlegt war und darüber informiert. Derjenige hat zu 100% an diesem Tag keinen Login Versuch vorgenommen. Es war also nicht so das man Konten von Teilnehmern sehen konnte die zur selben Zeit über die Website eingeloggt waren sondern einfach willkürlich irgendwelche Konten.

 

[Moostal]

Der ganze Vorfall ist schon ziemlich stümperhaft.

 

[GoldenEye]

Weiß ich doch. Aber man wird ja noch träumen dürfen
Im Übrigen reichen auch schon geringere Summen. 1&1 wurde gerade eine Strafe über 1,1 Mio. aufgebrummt - und wie sie aufheulen! Das stimmt mich recht zuversichtlich, dass die DSGVO langfristig ihr Ziel erreichen wird.

Fragt sich nur, zu welchem Preis....

 

[Thomas_B]

Also das ist so zu 100% nicht korrekt wie M&M das hier darstellt. Ich habe mich nämlich mit meinen Daten eingeloggt und war dann in einem Profil von jemand anderen. Diese Fremde Person habe ich dann angerufen weil seine Mobilnummer hinterlegt war und darüber informiert. Derjenige hat zu 100% an diesem Tag keinen Login Versuch vorgenommen. Es war also nicht so das man Konten von Teilnehmern sehen konnte die zur selben Zeit über die Website eingeloggt waren sondern einfach willkürlich irgendwelche Konten.

Die Leute, die Screenshots gemacht haben, sollten das ja relativ leicht prüfen können über eine Nachfrage. Eine Fehlinformation/Kommunikation wäre natürlich eine krasse Nummer.

 

[Hwy93]

Kann sich eigentlich irgendwer irgendwo wieder anmelden, oder ist der Login noch immer für alle gesperrt/kaputt? So langsam würde ich nämlich auch mal gern in mein Konto reinschauen, aber es scheitert noch immer mit diversen Fehlermeldungen.

 

[Batman]

Kann sich eigentlich irgendwer irgendwo wieder anmelden, oder ist der Login noch immer für alle gesperrt/kaputt? So langsam würde ich nämlich auch mal gern in mein Konto reinschauen, aber es scheitert noch immer mit diversen Fehlermeldungen.

Ich konnte mich heute Vormittag schon wieder über IOS Anwendung in mein Konto anmelden. War alles so wie vorher.

 

[deecee]

Ich bin gerade über LH drin, nachdem es zwei Mal bei MM nicht geklappt hat.

 

[Hwy93]

Ich konnte mich heute Vormittag schon wieder über IOS Anwendung in mein Konto anmelden. War alles so wie vorher.

Okay, bei mir gehts nichts, weder über Username, noch über Servicekartennummer, und Versuche Passwort/PIN zurückzusetzen enden im "Technical Error".

 

[micha75]

IOS App klappt seit heute morgen, am PC wird immer noch auf einen technischen Fehler verwiesen und ich kann mich nicht einloggen.

 

[deecee]

Ich bin gerade über LH drin, nachdem es zwei Mal bei MM nicht geklappt hat.

iOS-App ohne Probleme...

 

[nacho.gll]

Die Ihnen in Zukunft hoffentlich nachhaltig abtrainiert wird nachdem ihnen mit 4% des Umsatzes als Strafe die Hammelbeine langgezogen wurden...

Leider nur 4% vom Umsatz der Miles and More GmbH (wird leider nicht publiziert) und nicht vom Umsatz der Lufthansa AG (Da wären 4% 1,4 Milliarden €)

 

[Pegasos]

Kam eben per Mail.


Lieber Herr ..........
*
am 09.12.2019 gab es zwischen 16.00 und ‪16.40 Uhr‬ (lokale Zeit Deutschland) eine technische Störung auf unserer Webseite ‪miles-and-more.com‬, die die Login-Funktion betraf. Diese wurde daraufhin sofort abgestellt.
*
In dieser Zeit konnten Miles & More Teilnehmer, die im oben genannten Zeitfenster eingeloggt waren, die Profildaten anderer parallel oder dauerhaft eingeloggter Miles & More Teilnehmer einsehen und Änderungen vornehmen. Konkret waren folgende Daten einsehbar: Servicekartennummer, Email-Adresse, Telefonnummer, Benutzername, Meilenstand, Transaktionsdaten, Reisepräferenzen (Abflughafen und Automatischer Check-In), Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Daneben bestand die Möglichkeit, Meilen einzulösen.
*
Da Sie in diesem Zeitraum eingeloggt waren, prüfen wir, ob Ihr Profil betroffen war und es in Ihrem Profil zu Unregelmäßigkeiten gekommen ist. Sollte dies der Fall sein, kontaktieren wir Sie. In dem genannten Zeitraum möglicherweise widerrechtlich abgebuchte Meilen werden wir Ihnen selbstverständlich gutschreiben.
*
Da uns der Schutz Ihrer Daten wichtig ist, können wir zurzeit weiterhin keine Login-Funktion auf unserer Webseite anbieten und bitten Sie dafür um Ihr Verständnis. Wir arbeiten mit Hochdruck an der Fehleranalyse und der Implementierung geeigneter Maßnahmen, um Ihnen schnellstmöglich ein sicheres Login auf unserer Webseite zu ermöglichen. Nutzen Sie alternativ gerne den Zugang über die Miles & More App.
*
Auch wenn es für einen Hacker-Angriff zurzeit keine Anzeichen gibt, empfehlen wir Ihnen, Ihre Anmeldedaten zu ändern.
*
Sollten Sie Auffälligkeiten in Ihrem Profil feststellen oder weitere Informationen benötigen, wenden Sie sich gern an datenschutz@milesandmore.com.
*
Mit freundlichen Grüßen
*
Ihr Miles & More Team

 

[Pegasos]

Scheint so als ob nur die Konten noch nicht funktionieren die Betroffenen waren.

+1 funktioniert und die meines Bruders auch....

 

[StefanR]

Scheint so als ob nur die Konten noch nicht funktionieren die Betroffenen waren.

+1 funktioniert und die meines Bruders auch....

Website oder app?

Oben steht doch klar, dass nur die Website betroffen war / ist.

 

[Pegasos]

Website oder app?

Oben steht doch klar, dass nur die Website betroffen war / ist.

Beides geht bei mir nicht

 

[dirk772]

Disagree. Ich würde vermuten, dass man Zugriffe und auch Transaktionen logt. Damit kann der Benutzer das nicht sehen, aber der ITler wohl schon.

ACK.

Ich hatte die Frage so verstanden, dass der Poster wissen wollte, ob er selbst es merken erkennen kann.

 

[fueldrop]

Vor etwa einem Jahr (das hat mit diesem Vorgang natürlich garnix zu tun), war ich von einem Hackerangriff in einem ungesicherten WLAN betroffen und mir wurden ca. 240.000 Meilen "geraubt". Die habe ich zwar recht unproblematisch (kulant) zurück bekommen und parallel den zugehörigen email-account sowie das Passwort geändert, die Sperrung allerdings aufrecht erhalten. Zur Zeit bin ich recht froh darüber.
Nur mal so als Idee, falls man nicht ständig auf Meilen fliegen möchte: Account gesperrt halten und nur bei Bedarf öffnen.

 

[Devilfish90]

Wäre eine Möglichkeit.

Die IT-Systeme gescheit aufbauen und etwas für die Sicherheit tun (zB 2FA, etc.) Wäre natürlich auch eine alternative

 

[hippo72]

ANZEIGE

Wäre eine Möglichkeit.

Die IT-Systeme gescheit aufbauen und etwas für die Sicherheit tun (zB 2FA, etc.) Wäre natürlich auch eine alternative

Ich fürchte, sie scheuen den Supportaufwand hinter MFA.
Keine Fluggesellschaft, bei der ich ein Meilenkonto habe, bietet sowas an.

Und beispielsweise auch nicht die Deutsche Telekom (für zB Magenta Festnetz-/Internetverträge). Auch nicht die Stadtwerke.