Allianzübergreifendes: Datenleck bei SITA - Details zu Vielfliegerkonten weltweit

ANZEIGE
Strolf

Strolf

Erfahrenes Mitglied
27.03.2020
2.829
2.253
ANZEIGE
Data Breach SQ Krisflyer bz. SITA

Kam eben per eMail:
IMPORTANT INFORMATION ABOUT YOUR KRISFLYER ACCOUNT
SITA, an information technology company providing passenger service systems, has informed Singapore Airlines of a data security breach involving their passenger service systems' (SITA PSS) servers. While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is.
All Star Alliance member airlines provide a restricted set of frequent flyer programme data to the alliance, which is then sent on to other member airlines to reside in their passenger service systems. This data transfer is necessary to enable the verification of membership tier status, and to accord to member airlines' customers the relevant benefits while travelling.
As a result, SITA has access to the restricted set of frequent flyer programme data for all 26 Star Alliance member airlines including Singapore Airlines.
We are contacting you as your KrisFlyer data was impacted by this breach of the SITA PSS server. The information involved is limited to your KrisFlyer membership name, membership number and tier status, which is the full extent of the frequent flyer data set that Singapore Airlines shares with other Star Alliance member airlines for this data transfer.
Specifically, this data breach does not involve your membership password, credit card information, and other customer data such as itineraries, reservations, ticketing, passport numbers, and email addresses as SIA does not share this information with other Star Alliance member airlines for this data transfer. Your KrisFlyer miles balance was also not compromised.
We would also like to reassure you that none of Singapore Airlines' IT systems have been affected by this incident.
The protection of our customers' personal data is of utmost importance to Singapore Airlines. We apologise for the inconvenience caused. We will work with our partners to review the
current procedures, and take all necessary steps to improve data security.


 
S

sbr

Erfahrenes Mitglied
18.01.2018
606
1.339
Data Breach bei SITA: *A FF Daten geleaked

Keine Ahnung wo es am besten reinpasst...

Bei SITA, einem IT-Dienstleister, gab es einen "Angriff" der dazu geführt hat, dass *A Vielfliegerdaten abhandengekommen sind:

"SITA confirms that it was the victim of a cyber-attack, leading to a data security incident involving certain passenger data that was stored on SITA Passenger Service System (US) Inc. servers. Passenger Service System (US) Inc. (“SITA PSS”) operates passenger processing systems for airlines."
Zum Vergrößern anklicken....

https://www.sita.aero/pressroom/news-releases/sita-statement-about-security-incident/

Die Info kam von SIA, der Breach betrifft aber einen anderen *A Partner, der SITA PSS nutzt:

"While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is."
Zum Vergrößern anklicken....

Jedenfalls sind wohl Daten von allen *A Partnern betroffen, allerdings nur die innerhalb der Allainz für die korrekte Anerkennung des Vielfliegerstatus erforderlich sind und nur eine Teilmenge:

"The information involved is limited to your KrisFlyer membership name, membership number and tier status, which is the full extent of the frequent flyer data set that Singapore Airlines shares with other Star Alliance member airlines for this data transfer."
Zum Vergrößern anklicken....

Irgendwelche Infos, welcher *A SITA PSS nutzt und was der Angreifer mit den Daten anstellen kann (wahrscheinlich eher nix)? Hat jemand von einem anderen *A Programm ähnliche Infos bekommen?

Vollständiger Wortlaut der SIA Mail:

Dear Mr sbr,
IMPORTANT INFORMATION ABOUT YOUR KRISFLYER ACCOUNT

SITA, an information technology company providing passenger service systems, has informed Singapore Airlines of a data security breach involving their passenger service systems' (SITA PSS) servers. While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is.


All Star Alliance member airlines provide a restricted set of frequent flyer programme data to the alliance, which is then sent on to other member airlines to reside in their passenger service systems. This data transfer is necessary to enable the verification of membership tier status, and to accord to member airlines' customers the relevant benefits while travelling.


As a result, SITA has access to the restricted set of frequent flyer programme data for all 26 Star Alliance member airlines including Singapore Airlines.


We are contacting you as your KrisFlyer data was impacted by this breach of the SITA PSS server. The information involved is limited to your KrisFlyer membership name, membership number and tier status, which is the full extent of the frequent flyer data set that Singapore Airlines shares with other Star Alliance member airlines for this data transfer.


Specifically, this data breach does not involve your membership password, credit card information, and other customer data such as itineraries, reservations, ticketing, passport numbers, and email addresses as SIA does not share this information with other Star Alliance member airlines for this data transfer. Your KrisFlyer miles balance was also not compromised.


We would also like to reassure you that none of Singapore Airlines' IT systems have been affected by this incident.


The protection of our customers' personal data is of utmost importance to Singapore Airlines. We apologise for the inconvenience caused. We will work with our partners to review the current procedures, and take all necessary steps to improve data security.


Please contact your nearest Singapore Airlines office if you require any assistance* on this matter.

Yours sincerely,

Ryan Pua
Vice President Loyalty Marketing
Zum Vergrößern anklicken....


---

Edit: Mein Parallel-Thread wurde hierher gemerged
 
Zuletzt bearbeitet:
R

roffe8

Erfahrenes Mitglied
14.01.2017
545
155
LHR
sbr meinte:
Irgendwelche Infos, welcher *A SITA PSS nutzt und was der Angreifer mit den Daten anstellen kann (wahrscheinlich eher nix)? Hat jemand von einem anderen *A Programm ähnliche Infos bekommen?
Zum Vergrößern anklicken....

Ich würde mal spekulieren, dass es Air India ist (habe aber nicht sonderlich viel aktuelle Info gefunden). - https://www.internationalairportrev...ers-smooth-star-alliance-entry-for-air-india/

Vielleicht auch noch andere Airlines.

Von LH, SK, NH, bisher noch keine Info gesehen, bei anderen Programmen bin ich nicht angemeldet.

Edit: Mache mir wegen der Daten weniger Sorgen, habe aber mal überprüft dass meine Passwörter bei den FFPs noch OK (also unik und komplex genug) sind.
 
  • Like
Reaktionen: sbr
Strolf

Strolf

Erfahrenes Mitglied
27.03.2020
2.829
2.253
Super Firma. Am 24.2.21 war der Vorfall, und schon heute schicken die das Mail raus. Wozu jetzt noch das PW ändern. Die Meilen wären eh schon längst weg...
 
S

sbr

Erfahrenes Mitglied
18.01.2018
606
1.339
Jetoaita meinte:
Hab von Finnair ebenfalls die E-Mail bekommen :(
Zum Vergrößern anklicken....

Dann ist es wohl definitiv allianzübergreifend und betrifft potentiell alle Vielfliegerprogramme, wenn ein Allianzmitglied Kunde von SITA ist.

Impact sollte aber eher gering sein, aber man weiss ja nie, ob nicht doch noch andere Daten abgeflossen sind.
 
U

un_lustig

Erfahrenes Mitglied
14.02.2011
1.865
232
VIE
Datenvorfall bei einem Dienstleister eines Star Alliance Partners

Lieber Herr Xxx,

zwischen dem 21.01. und dem 11.02.2021 hat es bei einem Dienstleister einer unserer Star Alliance Partner einen Datenvorfall gegeben. Bei dem Vorfall gelang es Hackern, in ein Reservierungssystem einzudringen und Kundendaten von Star Alliance Partnern abzugreifen.

Dabei handelt es sich ausschließlich um Informationen zur Servicekartennummer, zum Statuslevel und teilweise zum Namen. Leider sind auch Ihre Kundendaten von diesem Vorfall betroffen. Fest steht: Es wurden in diesem Zusammenhang keine Passwörter, E-Mail-Adressen oder anderen persönlichen Kundendaten entwendet.

Transparenz ist für uns bei Miles & More besonders wichtig. Deshalb informieren wir Sie hiermit über den Vorfall - obwohl er außerhalb der Lufthansa Group stattgefunden hat. Sie müssen in diesem Zusammenhang nicht aktiv werden.

Mit freundlichen Grüßen

Ihr Miles & More Serviceteam
 
  • Like
Reaktionen: oschkosch und marioconi
marioconi

marioconi

Erfahrenes Mitglied
10.01.2011
1.347
86
Kam bei mir auch gerade rein. Und nun.... ? Unternehmt ihr trotzdem was? PW ist ja angeblich nicht betroffen.
 
bacchus85

bacchus85

Erfahrenes Mitglied
20.01.2018
639
574
HAJ
Ich denke vorsichtshalber das Passwort ändern kann nicht schaden - das wäre es dann aber auch.
 
C

conaly

Erfahrenes Mitglied
16.10.2016
431
219
NUE
www.anisearch.de
Hab die Mail eben auch bekommen. Da versucht sich Miles&More wohl geschickt aus der Affäre zu ziehen:

Deshalb informieren wir Sie hiermit über den Vorfall - obwohl er außerhalb der Lufthansa Group stattgefunden hat. Sie müssen in diesem Zusammenhang nicht aktiv werden.
Zum Vergrößern anklicken....

Blöd nur, dass M&M da genauso mit drin hängt. Wenn die Daten beim Dienstleister von Miles&More kamen, dann ist es sogar ihre Pflicht die Betroffenen zu informieren. Auch müssen die dann einen Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister haben, andernfalls dürften die Daten gar nicht dort erst gelandet sein und M&M hätte damit bereits vorher einen Datenschutzverstoß begangen. Bei einem AVV allerdings haftet der Auftraggeber in der Regel für den Auftragnehmer, da der Verarbeiter nur nach Weisung die Daten verarbeiten darf. Die Kontrolle des Auftragnehmers obliegt dem Auftraggeber. Miles&More ist nach DSGVO damit also definitiv mitverantwortlich.

Natürlich werd ich denen eine dicke Mail schreiben und anfragen, wieso die Daten dort überhaupt beim Dienstleister gelandet sind und warum M&M meint, das sei alles kein Problem. Allerdings muss man einschränkend dazu sagen, dass wenn wirklich nur Kartennummer, Statuslevel und Name abgegriffen worden da wohl nicht viel passieren wird, da keine dieser Daten besonders schutzbedürftig sind (sind ja z.B. keine Gesundheitsdaten), damit ist vermutlich nicht mal eine Meldung an die Datenschutzbehörde nötig, einzig eine interne Dokumentation über den Vorfall und eben die Information der Betroffenen.
 
J

jc8136

Erfahrenes Mitglied
19.02.2011
1.276
27
ZRH
Mir fehlt die Kreativität: Welche Informationen könnten abgeflossen sein? Mail kam eben von Swiss bei mir an
 
rcs

rcs

Gründungsmitglied
Teammitglied
06.03.2009
27.568
4.718
München
Steht doch drin: Servicekartennummer, Statuslevel und teilweise der Name.
 
delpiero223

delpiero223

Erfahrenes Mitglied
30.11.2011
1.553
230
RLG
kreuzundpeer.de
conaly meinte:
Blöd nur, dass M&M da genauso mit drin hängt. Wenn die Daten beim Dienstleister von Miles&More kamen, dann ist es sogar ihre Pflicht die Betroffenen zu informieren. Auch müssen die dann einen Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister haben, andernfalls dürften die Daten gar nicht dort erst gelandet sein und M&M hätte damit bereits vorher einen Datenschutzverstoß begangen. Bei einem AVV allerdings haftet der Auftraggeber in der Regel für den Auftragnehmer, da der Verarbeiter nur nach Weisung die Daten verarbeiten darf. Die Kontrolle des Auftragnehmers obliegt dem Auftraggeber. Miles&More ist nach DSGVO damit also definitiv mitverantwortlich.

Natürlich werd ich denen eine dicke Mail schreiben und anfragen, wieso die Daten dort überhaupt beim Dienstleister gelandet sind und warum M&M meint, das sei alles kein Problem. Allerdings muss man einschränkend dazu sagen, dass wenn wirklich nur Kartennummer, Statuslevel und Name abgegriffen worden da wohl nicht viel passieren wird, da keine dieser Daten besonders schutzbedürftig sind (sind ja z.B. keine Gesundheitsdaten), damit ist vermutlich nicht mal eine Meldung an die Datenschutzbehörde nötig, einzig eine interne Dokumentation über den Vorfall und eben die Information der Betroffenen.
Zum Vergrößern anklicken....

Die Daten (Vielfliegernummer, Statuslevel und tlw. Name) hat doch jeder, der irgendwie Zugriff auf ein Buchungssystem der Star Alliance hat? Stehen ja auch (tlw. gekürzt) auf dem Boardingpass. Ich sehe jetzt nicht, dass Miles&More darin stärker verwickelt ist als KrisFlyer, MileagePlus und wie sie alle heißen.
 
  • Like
Reaktionen: unseen_shores, DerSenator und ServMan
C

conaly

Erfahrenes Mitglied
16.10.2016
431
219
NUE
www.anisearch.de
delpiero223 meinte:
Die Daten (Vielfliegernummer, Statuslevel und tlw. Name) hat doch jeder, der irgendwie Zugriff auf ein Buchungssystem der Star Alliance hat? Stehen ja auch (tlw. gekürzt) auf dem Boardingpass. Ich sehe jetzt nicht, dass Miles&More darin stärker verwickelt ist als KrisFlyer, MileagePlus und wie sie alle heißen.
Zum Vergrößern anklicken....

Macht ja nix, die rechtliche Grundlage nach DSGVO warum die Partner diese Daten haben möchte ich trotzdem Erfahren. Kann ja soweit völlig legitim sein, aber ein bisschen mehr Informationen als in der Mail erwarte ich schon.
 
rcs

rcs

Gründungsmitglied
Teammitglied
06.03.2009
27.568
4.718
München
Dort handelt es sich mit 99,9% Wahrscheinlichkeit um ein berechtigtes Interesse, da ansonsten in den Check-In-Systemen der Vielfliegerstatus nicht für die Bordkarte verarbeitet werden könnte und auch die Meilengutschrift nicht angstoßen würde.
 
  • Like
Reaktionen: delpiero223
B

Boeing736

Guest
conaly meinte:
Macht ja nix, die rechtliche Grundlage nach DSGVO warum die Partner diese Daten haben möchte ich trotzdem Erfahren. Kann ja soweit völlig legitim sein, aber ein bisschen mehr Informationen als in der Mail erwarte ich schon.
Zum Vergrößern anklicken....

Da SITA Produkte quasi an jedem Airport dieser Welt Verwendung finden (lt. deren Website waren sie in 1Mrd Abfertigungen involviert) würde ich mal davon ausgehen, dass das datenschutzrechtlich auf sicheren Beinen steht. Was genau sie machen kannst du dir recht gut auf der Website anschauen, würde da von M&M nicht allzu viele Details erwarten.
 
StefanR

StefanR

Erfahrenes Mitglied
17.07.2016
515
177
Planet Earth
Spätestens im Zuge von GDPR sollte man solche Daten wohl nicht mehr zentral und im Klartext speichern. Jedem halbwegs begabten IT Studenten oder Fachinformatiker Azubi sollten da mehrere Hand voll geeignete Möglichkeiten einfallen...
 
G

garnet

Neues Mitglied
26.10.2020
5
0
Diese Diskussion hier ist mal wieder typisch Deutsch. Ggf. stellt man sich mal die Frage was mit der API bezweckt wird. Und dann wird einem ggf. auch deutlich wie das Interesse der einzelnen Parteien ist dort mehr als nur das für das Anwendungszweck nötige anzubieten.
Und dann legt man sich wieder schlafen.
 
  • Like
Reaktionen: Boeing736
D

diwlo

Aktives Mitglied
02.09.2015
136
11
FRA, BSL, STR
Verstehe ich da was falsch?

M&M gibt als Zeitraum des Datenzugriffs 21.01.2021-11.02.2021 an.
SITA spricht von einem Datenzugriff, der am 24.02.2021 stattgefunden haben soll.

Das deckt sich doch nicht.

M&M schreibt zwar, dass Transparenz "besonders wichtig" sei, aber wo das Datenleck entstanden ist, wird nicht erwähnt.
*confused*
 
A

alex42

Erfahrenes Mitglied
02.04.2012
4.053
194
MUC
garnet meinte:
Diese Diskussion hier ist mal wieder typisch Deutsch.
Zum Vergrößern anklicken....

Nein, dieses "Transparenz ist uns besonders wichtig, deshalb informieren wir Sie" ist vor allem typisch M&M. Genau wie die Relativierung, dass er "außerhalb der Lufthansa Group stattgefunden" habe.

M&M ist gesetzlich dazu verpflichtet, betroffene Kundinnen und Kunden umgehend zu informieren - nennt aber nicht einmal Details. Stattdessen heißt es "war ja nur ein Dienstleister", obwohl M&M auch in so einem Fall laut Verordnung die Verantwortung trägt.

Einfach nur peinlich der Laden.
 
  • Like
Reaktionen: JFK-LAX, frabkk, Strolf und eine andere Person
janetm

janetm

Erfahrenes Mitglied
11.02.2012
4.042
1.241
DUS, HAJ, PAD
Von BA kam nun auch eine email:

"We have been notified of a data breach at global technology company SITA, an IT services provider to many airlines around the world."

Weitere Details werden nicht genannt, ausser das man sein Passwort ändern soll... Spannend ist dann sowas:

"The password you use for your account is not held by SITA and has not been put at risk by this breach.

As a precaution, given the potential that customers have re-used passwords used for other websites, we are taking the following action to protect you:

Please log into your account and reset your password
Please create a new password that you have not used elsewhere
Once your password has been reset and you have completed a verification step, you will be able to regain full access to your account"

Hervorhebungen durch mich...
 
F

FlyUsa

Aktives Mitglied
26.07.2015
243
67
Es sind wohl mehr oder weniger alle Allianzen und somit viele Vielfliegerprogramme betroffen. SITA wird bei vielen fuer den Datenaustausch genutzt.
Soeben von IBERIA eine Email bekommen. Hier aehnlich klingende Hinweise, das es nicht ihr System ist und das nur sehr wenige Daten abgegriffen wurden.

We have been notified of a data breach at global technology company SITA, an IT services provider to many airlines around the world. SITA is not Iberia’s booking and reservations system provider and SITA’s breach does not involve our customers’ financial information or password as SITA does not have access to this data. Please be reassured that this incident was not a breach of Iberia's systems.

Along with many other airlines, we do share limited information with partner airlines in order to enhance your experience when flying with them. We have been notified by SITA that IB Plus members’ names, membership numbers and some of their preferences, such as seating, has been impacted.
Zum Vergrößern anklicken....

Abweichend und damit auffallend jedoch, dass IBERIA alle Passwoerter der Vielfliegerkonten zuruecksetzt und die Kunden informiert, dass sie anschliessend ein neues Passwort setzen muessen.
As a precaution, given the potential that customers have re-used passwords used for other websites, we are taking the following actions to protect you:
  • We are going to reset the password to access your Iberia Plus account.
  • Once your password has been reset, you will receive an email indicating a new password that you will need to access to your account.
Zum Vergrößern anklicken....

Mal abwarten welche Airlines & Vielfliegersysteme sich noch so in den naechsten Tagen melden...
 
M

Manuel83

Erfahrenes Mitglied
09.05.2012
1.144
894
alex42 meinte:
Nein, dieses "Transparenz ist uns besonders wichtig, deshalb informieren wir Sie" ist vor allem typisch M&M. Genau wie die Relativierung, dass er "außerhalb der Lufthansa Group stattgefunden" habe.

M&M ist gesetzlich dazu verpflichtet, betroffene Kundinnen und Kunden umgehend zu informieren - nennt aber nicht einmal Details. Stattdessen heißt es "war ja nur ein Dienstleister", obwohl M&M auch in so einem Fall laut Verordnung die Verantwortung trägt.

Einfach nur peinlich der Laden.
Zum Vergrößern anklicken....

Das ist genau die Definition von typisch Deutsch, du beweist es ja mit deinem künstlichen Gejammer
 
  • Like
Reaktionen: Aladin
Um antworten zu können musst
du eingeloggt sein.
Oben Unten