ACHTUNG Daten Leck bei Miles and More

ANZEIGE

Thomas_B

Erfahrenes Mitglied
31.05.2009
666
39
Miles & More Teilnehmer konnten in dem genannten Zeitraum Konten anderer Teilnehmer einsehen, die sich im gleichen Zeitraum eingeloggt haben. Insgesamt wurden während dieser Zeit 4.100 Logins vorgenommen, wobei einige Teilnehmer sich mehrfach eingeloggt haben.

In dieser Zeit konnten Miles & More Teilnehmer, die im oben genannten Zeitfenster eingeloggt waren, die Profildaten anderer parallel oder dauerhaft eingeloggter Miles & More Teilnehmer einsehen und Änderungen vornehmen. Konkret waren folgende Daten einsehbar: Servicekartennummer, Email-Adresse, Telefonnummer, Benutzername, Meilenstand, Transaktionsdaten, Reisepräferenzen (Abflughafen und Automatischer Check-In), Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Daneben bestand die Möglichkeit, Meilen einzulösen.

Das steht doch im Widerspruch zu dem über die Presse verteilten Text, wo behauptet wurde bzw. es meine Lesart war, dass nur 4.100 Personen betroffen waren und diese untereinander die Daten sehen konnten.

Nach der E-Mail waren aber alle Betroffen, die dauerhaft eingeloggt sind oder sich zu dem Zeitpunkt eingeloggt haben. Das ist ein großer Unterschied. 30 Mio * 1 % dauerhaft eingeloggt (Annahme) = 300k Betroffene. Ist man über die App nicht sogar meist dauerhaft eingeloggt? Falls ja, sollten es eher mehr als die 300k sein.

Typische Salami-Taktik, bewusste Täuschung oder Fehlinterpretation meinerseits?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Rambuster

LE2012

Erfahrenes Mitglied
14.05.2012
3.861
880
LEJ
Zumindest zum Teil Letzteres - es liest sich aus einer der Mitteilungen heraus, dass nur die Sessions des Web-Logins betroffen waren, die Apps nutzen offenbar eine andere Datenbank. Außerdem halte ich deine 1% Abschätzung für sehr gewagt. Von den 30 Mio. sind doch eher schon mal 9x% Karteileichen bzw. schauen einmal im Jahr noch dem Urlaubsflug auf ihre Meilen. Die genannte Zahl wird schon stimmen - hat ja lange genug gedauert, sie herauszufinden.
 

gsx650

Erfahrenes Mitglied
25.04.2014
332
0
AUT
Vorab ohne den Post hier hätte ich gar nichts mitbekommen, dass es ein Datenleck gab...somit an dieser Stelle ein recht herzliches Danke an die Kolleg/inn/en bzw. an das Forum!

Man kann natürlich jetzt diskutieren, wie "besseres Krisenmanagement" bei M&M aussehen sollte, aber im Nachhinein ist man bekanntlich immer schlauer.

Wie dem auch sei, Status M & M AUT: => weder ein Login mit Benutzernamen & Kennwort, noch mit Kartennummer & Pin möglich,
=> bei der IOS Sitzung bin ich gestern Nachmittag raus geflogen und auch heute früh war ich wieder draußen, Anmelden mit PIN klappt aber
 

Devilfish90

Erfahrenes Mitglied
13.12.2016
851
770
FRA
Naja, wenn zB das Gerät unbekannt ist (bisher nie eingeloggt damit, Überprüfung anhand zB Mac Adresse), verschickt MM einen Code an die hinterlegte Nummer

Damit wäre wohl ausgeschlossen, dass ich mich auf einem Konto von einem Polen einlogge.

Funktioniert ja auch bei anderen Diensten, dass da die Meldung kommt, Login von fremden Gerät
Und ich frage mich immer noch, wie genau eine 2FA diesen Vorfall verhindert hätte.

Hat was von: "Tankt Diesel! Dann ist Euer Scheibenwischer wieder in Ordnung."
 

CGNFlyer

Erfahrenes Mitglied
23.05.2012
4.868
1.311
Naja, wenn zB das Gerät unbekannt ist (bisher nie eingeloggt damit, Überprüfung anhand zB Mac Adresse), verschickt MM einen Code an die hinterlegte Nummer

Damit wäre wohl ausgeschlossen, dass ich mich auf einem Konto von einem Polen einlogge.

Funktioniert ja auch bei anderen Diensten, dass da die Meldung kommt, Login von fremden Gerät
Jetzt erwartest du aber viel zu viel von dem Laden.
Die bekommen es doch seit über 1 Jahr noch nicht mal hin die Meilen zuverlässig und richtig gutzuschreiben...
Das ist doch schon zu komplex für die IT und das Personal.
 

Devilfish90

Erfahrenes Mitglied
13.12.2016
851
770
FRA
Hab mich auch eher darauf bezogen bzgl man hätte es auch mit 2FA nicht verhindern können ;).

Aber ja, ich erwarte sowas durchaus von einer LH IT :D
Jetzt erwartest du aber viel zu viel von dem Laden.
Die bekommen es doch seit über 1 Jahr noch nicht mal hin die Meilen zuverlässig und richtig gutzuschreiben...
Das ist doch schon zu komplex für die IT und das Personal.
 

jodost

Erfahrenes Mitglied
23.10.2011
4.082
921
CGN
Naja, wenn zB das Gerät unbekannt ist (bisher nie eingeloggt damit, Überprüfung anhand zB Mac Adresse), verschickt MM einen Code an die hinterlegte Nummer

Damit wäre wohl ausgeschlossen, dass ich mich auf einem Konto von einem Polen einlogge.

Ohne Kenntnisse über deren Systeme im Hintergrund ist das alles reine Spekulation.

Aber wenn im Session-Management irgendwo etwas durcheinander geworfen wurde (und das würde zumindest zu deren Erklärung über die Anzahl der betroffenen Personen passen, d.h. ist durchaus nicht unwahrscheinlich) dann bringt dir eine Absicherung des vorherigen Schnittes genau gar nichts.

Völlig egal, ob du mit Pin, fünf Faktoren oder gegen Abgabe einer Niere den Login absicherst - wenn der Login korrekt erfolgt, und du danach Mist baust und ihm falsche Inhalte anzeigst, nützt das alles nichts.
 

Volume

Erfahrenes Mitglied
01.06.2018
11.571
9.323
Die bekommen es doch seit über 1 Jahr noch nicht mal hin die Meilen zuverlässig und richtig gutzuschreiben...
Ja, deswegen würde ich mich eigentlich mal gerne einloggen, nicht das am Ende der Status an ein paar nicht gutgeschriebenen Flügen scheitert, und die IT zwar nachträglich gutschreiben, aber nicht daraufhin auch den Status updaten kann...

aber

Leider gibt es aktuell technische Schwierigkeiten. Ein Login ist derzeit nicht möglich. Wir arbeiten bereits an einer Lösung.

Na hoffen wir mal, es dauert nicht wieder "über 1 Jahr"...

Bei der Gelegenheit können sie das Programm ja auch gleich umbenennen, in Zukunft werden die geflogenen Meilen ja keinerlei Einfluss mehr auf die Prämienmeilen (Preisabhängig) und Statuspunkte (Streckenunabhängig) haben, also kann man es auch gleich in Money&More oder Points&More umbenennen wenn man die Homepage sowiso anfasst...
 

Scorn_Addiction

Erfahrenes Mitglied
07.09.2017
1.844
87
ZRH
Kann sich eigentlich irgendwer irgendwo wieder anmelden, oder ist der Login noch immer für alle gesperrt/kaputt? So langsam würde ich nämlich auch mal gern in mein Konto reinschauen, aber es scheitert noch immer mit diversen Fehlermeldungen.


über die App funzt es doch schon die ganze Zeit
 

airhansa123

Erfahrenes Mitglied
03.11.2012
4.144
14
Ich fürchte, sie scheuen den Supportaufwand hinter MFA.
Keine Fluggesellschaft, bei der ich ein Meilenkonto habe, bietet sowas an.

Krisflyer von Singapore Airlines hat dieses Jahr auf 2FA ungestellt. Reines Login in das Meilenkonto ist aber auch auf einfachen weg noch möglich.

Krisflyer 2FA.PNG

Wenn ich zu Hause am PC sitzte und Codes parallel auf das Handy und eine e-mail Adresse geschickt werden ist 2FA noch erträglich, ansonsten finde ich das Verfahren zu kompliziert.
 
  • Like
Reaktionen: Anonym-36803

jolanda

Reguläres Mitglied
24.02.2010
33
0
Ich denke auch, dass das offline Daten sind. Ich hätte sonst bereits schon neue Meilen bekommen müssen..

bin auch betroffen und hab die Mail gestern von M&M bekommen
kann mich nur in der iOS-App anmelden (Browser geht nicht), allerdings hatte ich auch gestern 2x neue Meilengutschriften, es dürfte sich also nicht um Offline-Daten handeln
 

Flo86

Erfahrenes Mitglied
24.06.2017
1.284
968
VIE
Hatte heute auch eine Meilengutschrift vom gestrigen Flug, also nix Offline Daten
 

Thomas_B

Erfahrenes Mitglied
31.05.2009
666
39
Zumindest zum Teil Letzteres - es liest sich aus einer der Mitteilungen heraus, dass nur die Sessions des Web-Logins betroffen waren, die Apps nutzen offenbar eine andere Datenbank. Außerdem halte ich deine 1% Abschätzung für sehr gewagt. Von den 30 Mio. sind doch eher schon mal 9x% Karteileichen bzw. schauen einmal im Jahr noch dem Urlaubsflug auf ihre Meilen. Die genannte Zahl wird schon stimmen - hat ja lange genug gedauert, sie herauszufinden.

Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen.

Meinst Du diesen Satz? Ich würde ihn in Kombination mit der E-Mail so lesen (Fettdruck von mir):
Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen - konnten also keine fremden Daten sehen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen, auch hier konnten keine fremde Daten eingesehen werden.

Eine Klarstellung wäre wohl wünschenswert oder eben individuell per Auskunftsersuchen.
 

LE2012

Erfahrenes Mitglied
14.05.2012
3.861
880
LEJ
Ich interpretiere es so, dass nur die Daten von dem Mitgliedern in dem "Einseh-Pool" waren, die sich in dem Zeitfenster am Web-Interface eingelogt haben oder eine alte aktive Session hatten. So interpretiere ich auch den Erklärungsversuch von einem Juser ein paar Seiten weiter vorn, der ja offenbar auch recht zutreffend war.
 

slye

Neues Mitglied
11.08.2019
9
0
Gab es nicht Berichte das man Accounts einsehen konnte von Leuten die seitWochen nicht eingeloggt waren? Kann mir das schlecht vorstellen.

Sollten allerdings temporäre Logins so lange aktiv bleiben ... :doh:
 

Thomas_B

Erfahrenes Mitglied
31.05.2009
666
39
Gab es nicht Berichte das man Accounts einsehen konnte von Leuten die seitWochen nicht eingeloggt waren? Kann mir das schlecht vorstellen.

Sollten allerdings temporäre Logins so lange aktiv bleiben ... :doh:

Genau deswegen bin ich ja vielleicht etwas paranoid, da ja teilweise sogar Leute angerufen wurden, die keine Ahnung hatten wieso und länger nicht auf der Seite waren. Dies würde natürlich dazu passen, dass alle 4.100 Logins die Daten aller aktiver Sessions sehen konnten - das wären die kürzlich eingeloggten und die dauerhaft eingeloggten.

Und 30 Tage oder länger ist man ja häufig zB auch bei Gmail oder Outlook eingeloggt - oder im VFT.
 

nhobalu

Forumskater
18.10.2010
10.832
-34
im Paralleluniversum
ANZEIGE
300x250
Meinst Du diesen Satz? Ich würde ihn in Kombination mit der E-Mail so lesen (Fettdruck von mir):
Miles & More Teilnehmer, die sich außerhalb des Zeitraums von 16:00 bis 16:40 Uhr auf der Miles & More Website eingeloggt haben, sind von dem Vorfall nicht betroffen - konnten also keine fremden Daten sehen. Ebenso sind andere Systeme außerhalb der Miles & More Website (z.B. LH.com oder Miles & More App) nicht betroffen, auch hier konnten keine fremde Daten eingesehen werden.

Eine Klarstellung wäre wohl wünschenswert oder eben individuell per Auskunftsersuchen.

Ich habe mich eingeloggt und ich habe fremde Daten gesehen. Davon habe ich auch Hardcopys gemacht.
Insofern ist hier mit an Sicherheit grenzender Wahrscheinlichkeit jemand betroffen, der sich gerade nicht eingewählt hat, weil ich seine Daten gesehen habe.

Deswegen ist die Aussage von LH falsch.