ACHTUNG Daten Leck bei Miles and More

[nhobalu]

ANZEIGE

Und ich frage mich immer noch, wie genau eine 2FA diesen Vorfall verhindert hätte.

Hat was von: "Tankt Diesel! Dann ist Euer Scheibenwischer wieder in Ordnung."

 

[hippo72]

Und ich frage mich immer noch, wie genau eine 2FA diesen Vorfall verhindert hätte.

Überhaupt gar nicht.

 

[Thomas_B]

Miles & More Teilnehmer konnten in dem genannten Zeitraum Konten anderer Teilnehmer einsehen, die sich im gleichen Zeitraum eingeloggt haben. Insgesamt wurden während dieser Zeit 4.100 Logins vorgenommen, wobei einige Teilnehmer sich mehrfach eingeloggt haben.

In dieser Zeit konnten Miles & More Teilnehmer, die im oben genannten Zeitfenster eingeloggt waren, die Profildaten anderer parallel oder dauerhaft eingeloggter Miles & More Teilnehmer einsehen und Änderungen vornehmen. Konkret waren folgende Daten einsehbar: Servicekartennummer, Email-Adresse, Telefonnummer, Benutzername, Meilenstand, Transaktionsdaten, Reisepräferenzen (Abflughafen und Automatischer Check-In), Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Daneben bestand die Möglichkeit, Meilen einzulösen.

Das steht doch im Widerspruch zu dem über die Presse verteilten Text, wo behauptet wurde bzw. es meine Lesart war, dass nur 4.100 Personen betroffen waren und diese untereinander die Daten sehen konnten.

Nach der E-Mail waren aber alle Betroffen, die dauerhaft eingeloggt sind oder sich zu dem Zeitpunkt eingeloggt haben. Das ist ein großer Unterschied. 30 Mio * 1 % dauerhaft eingeloggt (Annahme) = 300k Betroffene. Ist man über die App nicht sogar meist dauerhaft eingeloggt? Falls ja, sollten es eher mehr als die 300k sein.

Typische Salami-Taktik, bewusste Täuschung oder Fehlinterpretation meinerseits?

 

[LE2012]

Zumindest zum Teil Letzteres - es liest sich aus einer der Mitteilungen heraus, dass nur die Sessions des Web-Logins betroffen waren, die Apps nutzen offenbar eine andere Datenbank. Außerdem halte ich deine 1% Abschätzung für sehr gewagt. Von den 30 Mio. sind doch eher schon mal 9x% Karteileichen bzw. schauen einmal im Jahr noch dem Urlaubsflug auf ihre Meilen. Die genannte Zahl wird schon stimmen - hat ja lange genug gedauert, sie herauszufinden.

 

[gsx650]

Vorab ohne den Post hier hätte ich gar nichts mitbekommen, dass es ein Datenleck gab...somit an dieser Stelle ein recht herzliches Danke an die Kolleg/inn/en bzw. an das Forum!

Man kann natürlich jetzt diskutieren, wie "besseres Krisenmanagement" bei M&M aussehen sollte, aber im Nachhinein ist man bekanntlich immer schlauer.

Wie dem auch sei, Status M & M AUT: => weder ein Login mit Benutzernamen & Kennwort, noch mit Kartennummer & Pin möglich,
=> bei der IOS Sitzung bin ich gestern Nachmittag raus geflogen und auch heute früh war ich wieder draußen, Anmelden mit PIN klappt aber

 

[Devilfish90]

Naja, wenn zB das Gerät unbekannt ist (bisher nie eingeloggt damit, Überprüfung anhand zB Mac Adresse), verschickt MM einen Code an die hinterlegte Nummer

Damit wäre wohl ausgeschlossen, dass ich mich auf einem Konto von einem Polen einlogge.

Funktioniert ja auch bei anderen Diensten, dass da die Meldung kommt, Login von fremden Gerät

Und ich frage mich immer noch, wie genau eine 2FA diesen Vorfall verhindert hätte.

Hat was von: "Tankt Diesel! Dann ist Euer Scheibenwischer wieder in Ordnung."

 

[CGNFlyer]

Naja, wenn zB das Gerät unbekannt ist (bisher nie eingeloggt damit, Überprüfung anhand zB Mac Adresse), verschickt MM einen Code an die hinterlegte Nummer

Damit wäre wohl ausgeschlossen, dass ich mich auf einem Konto von einem Polen einlogge.

Funktioniert ja auch bei anderen Diensten, dass da die Meldung kommt, Login von fremden Gerät

Jetzt erwartest du aber viel zu viel von dem Laden.
Die bekommen es doch seit über 1 Jahr noch nicht mal hin die Meilen zuverlässig und richtig gutzuschreiben...
Das ist doch schon zu komplex für die IT und das Personal.

 

[Devilfish90]

Hab mich auch eher darauf bezogen bzgl man hätte es auch mit 2FA nicht verhindern können .

Aber ja, ich erwarte sowas durchaus von einer LH IT

Jetzt erwartest du aber viel zu viel von dem Laden.
Die bekommen es doch seit über 1 Jahr noch nicht mal hin die Meilen zuverlässig und richtig gutzuschreiben...
Das ist doch schon zu komplex für die IT und das Personal.

 

[jodost]

Naja, wenn zB das Gerät unbekannt ist (bisher nie eingeloggt damit, Überprüfung anhand zB Mac Adresse), verschickt MM einen Code an die hinterlegte Nummer

Damit wäre wohl ausgeschlossen, dass ich mich auf einem Konto von einem Polen einlogge.

Ohne Kenntnisse über deren Systeme im Hintergrund ist das alles reine Spekulation.

Aber wenn im Session-Management irgendwo etwas durcheinander geworfen wurde (und das würde zumindest zu deren Erklärung über die Anzahl der betroffenen Personen passen, d.h. ist durchaus nicht unwahrscheinlich) dann bringt dir eine Absicherung des vorherigen Schnittes genau gar nichts.

Völlig egal, ob du mit Pin, fünf Faktoren oder gegen Abgabe einer Niere den Login absicherst - wenn der Login korrekt erfolgt, und du danach Mist baust und ihm falsche Inhalte anzeigst, nützt das alles nichts.

 

[Volume]

Die bekommen es doch seit über 1 Jahr noch nicht mal hin die Meilen zuverlässig und richtig gutzuschreiben...

Ja, deswegen würde ich mich eigentlich mal gerne einloggen, nicht das am Ende der Status an ein paar nicht gutgeschriebenen Flügen scheitert, und die IT zwar nachträglich gutschreiben, aber nicht daraufhin auch den Status updaten kann...

aber

Leider gibt es aktuell technische Schwierigkeiten. Ein Login ist derzeit nicht möglich. Wir arbeiten bereits an einer Lösung.

Na hoffen wir mal, es dauert nicht wieder "über 1 Jahr"...

Bei der Gelegenheit können sie das Programm ja auch gleich umbenennen, in Zukunft werden die geflogenen Meilen ja keinerlei Einfluss mehr auf die Prämienmeilen (Preisabhängig) und Statuspunkte (Streckenunabhängig) haben, also kann man es auch gleich in Money&More oder Points&More umbenennen wenn man die Homepage sowiso anfasst...

 

[Scorn_Addiction]

Kann sich eigentlich irgendwer irgendwo wieder anmelden, oder ist der Login noch immer für alle gesperrt/kaputt? So langsam würde ich nämlich auch mal gern in mein Konto reinschauen, aber es scheitert noch immer mit diversen Fehlermeldungen.

über die App funzt es doch schon die ganze Zeit

 

[Kunstflieger]

über die App funzt es doch schon die ganze Zeit

Tut es das wirklich?

Mein Eindruck ist eher, dass die App im Kontobereich Offline-Daten anzeigt.

 

[airhansa123]

Ich fürchte, sie scheuen den Supportaufwand hinter MFA.
Keine Fluggesellschaft, bei der ich ein Meilenkonto habe, bietet sowas an.

Krisflyer von Singapore Airlines hat dieses Jahr auf 2FA ungestellt. Reines Login in das Meilenkonto ist aber auch auf einfachen weg noch möglich.



Wenn ich zu Hause am PC sitzte und Codes parallel auf das Handy und eine e-mail Adresse geschickt werden ist 2FA noch erträglich, ansonsten finde ich das Verfahren zu kompliziert.

 

[TimTonic]

Tut es das wirklich?

Mein Eindruck ist eher, dass die App im Kontobereich Offline-Daten anzeigt.

Ich denke auch, dass das offline Daten sind. Ich hätte sonst bereits schon neue Meilen bekommen müssen..

 

[Hwy93]

über die App funzt es doch schon die ganze Zeit

Ich komm nicht rein, nach wie vor.

 

[EinerWieKeiner]

Ich denke auch, dass das offline Daten sind. Ich hätte sonst bereits schon neue Meilen bekommen müssen..

Hier auch. Buchung von Sonntag ist drin, danach fehlt einiges. Alte Daten. Einloggen immer noch nicht möglich.

 

[jolanda]

Ich denke auch, dass das offline Daten sind. Ich hätte sonst bereits schon neue Meilen bekommen müssen..

bin auch betroffen und hab die Mail gestern von M&M bekommen
kann mich nur in der iOS-App anmelden (Browser geht nicht), allerdings hatte ich auch gestern 2x neue Meilengutschriften, es dürfte sich also nicht um Offline-Daten handeln

 

[Flo86]

Hatte heute auch eine Meilengutschrift vom gestrigen Flug, also nix Offline Daten

 

[FlyFan]

Hatte heute auch eine Meilengutschrift vom gestrigen Flug, also nix Offline Daten

Bei mir ebenfalls gerade Meilen angekommen.

 

[Rambuster]

Tut es das wirklich?

Mein Eindruck ist eher, dass die App im Kontobereich Offline-Daten anzeigt.

Die App zeigt auch neue Transaktionen an.
Flüge von Montag und gestern sind bei mir gutgeschrieben worden!

 

[Thomas_B]

Zumindest zum Teil Letzteres - es liest sich aus einer der Mitteilungen heraus, dass nur die Sessions des Web-Logins betroffen waren, die Apps nutzen offenbar eine andere Datenbank. Außerdem halte ich deine 1% Abschätzung für sehr gewagt. Von den 30 Mio. sind doch eher schon mal 9x% Karteileichen bzw. schauen einmal im Jahr noch dem Urlaubsflug auf ihre Meilen. Die genannte Zahl wird schon stimmen - hat ja lange genug gedauert, sie herauszufinden.

Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen.

Meinst Du diesen Satz? Ich würde ihn in Kombination mit der E-Mail so lesen (Fettdruck von mir):
Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen - konnten also keine fremden Daten sehen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen, auch hier konnten keine fremde Daten eingesehen werden.

Eine Klarstellung wäre wohl wünschenswert oder eben individuell per Auskunftsersuchen.

 

[LE2012]

Ich interpretiere es so, dass nur die Daten von dem Mitgliedern in dem "Einseh-Pool" waren, die sich in dem Zeitfenster am Web-Interface eingelogt haben oder eine alte aktive Session hatten. So interpretiere ich auch den Erklärungsversuch von einem Juser ein paar Seiten weiter vorn, der ja offenbar auch recht zutreffend war.

 

[slye]

Gab es nicht Berichte das man Accounts einsehen konnte von Leuten die seitWochen nicht eingeloggt waren? Kann mir das schlecht vorstellen.

Sollten allerdings temporäre Logins so lange aktiv bleiben ...

 

[Thomas_B]

Gab es nicht Berichte das man Accounts einsehen konnte von Leuten die seitWochen nicht eingeloggt waren? Kann mir das schlecht vorstellen.

Sollten allerdings temporäre Logins so lange aktiv bleiben ...

Genau deswegen bin ich ja vielleicht etwas paranoid, da ja teilweise sogar Leute angerufen wurden, die keine Ahnung hatten wieso und länger nicht auf der Seite waren. Dies würde natürlich dazu passen, dass alle 4.100 Logins die Daten aller aktiver Sessions sehen konnten - das wären die kürzlich eingeloggten und die dauerhaft eingeloggten.

Und 30 Tage oder länger ist man ja häufig zB auch bei Gmail oder Outlook eingeloggt - oder im VFT.

 

[nhobalu]

ANZEIGE

Meinst Du diesen Satz? Ich würde ihn in Kombination mit der E-Mail so lesen (Fettdruck von mir):
Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen - konnten also keine fremden Daten sehen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen, auch hier konnten keine fremde Daten eingesehen werden.

Eine Klarstellung wäre wohl wünschenswert oder eben individuell per Auskunftsersuchen.

Ich habe mich eingeloggt und ich habe fremde Daten gesehen. Davon habe ich auch Hardcopys gemacht.
Insofern ist hier mit an Sicherheit grenzender Wahrscheinlichkeit jemand betroffen, der sich gerade nicht eingewählt hat, weil ich seine Daten gesehen habe.

Deswegen ist die Aussage von LH falsch.