Tausende Kundendaten im Internet einsehbar
Am Tag des öffentlichen Rücktritts von Unister-Geschäftsführer
Thomas Wagner kommt schon der nächste Skandal um das Leipziger
Internet-Unternehmen ans Tageslicht: Die Namen und Flugrouten von
Tausenden Passagieren, die über die Unister-Gesellschaft
„Urlaubstours“ eine Reise bei Ryanair gebucht haben, sind im Internet
für Fremde einseh- und änderbar.
Ryanair bietet seinen Kunden den Service an, über das Internet mit
einer gültigen Reservierungsnummer und einer registrierten
E-Mail-Adresse alle Buchungen zu kontrollieren, die unter dieser
Adresse getätigt wurden. So kann jeder Kunde sein Konto bei der
Airline einsehen und bei mehreren Flugbuchungen diese gemeinsam unter
seiner eigenen E-Mail-Adresse verwalten.
Das Problem: Der Reiseveranstalter Urlaubstours, eine Tochterfirma
der Unister-Gruppe, bucht offenbar für Tausende seiner Kunden Flüge
bei Ryanair über jeweils dieselbe E-Mail-Adresse. Das Resultat: Über
diese eine Adresse in Verbindung mit einem beliebigen gültigen
Reservierungscode sind die Buchungen von nicht nur einer, sondern
aktuell über 4.700 Personen online einseh- und veränderbar. Von
dieser Problematik konnte sich COMPUTER BILD im Zuge der Recherchen
überzeugen.
Die Sicherheitslücke war nicht nur leicht zu erkennen, zu allem
Überfluss wurde ungewollt noch darauf aufmerksam gemacht. So fordert
Urlaubstours – offenbar ohne die Konsequenzen sorgfältig überprüft zu
haben – seine Kunden schriftlich dazu auf, sich zum Online-Check-in
bei Ryanair anzumelden: Und zwar über eine tausendfach verwendete
E-Mail-Adresse in Kombination mit der jeweils individuellen
Reservierungsnummer des Kunden. Genau damit bekommt aber jeder Kunde
nicht nur Zugriff auf seine eigene, sondern auch alle anderen
Buchungen – als wären es seine eigenen.
COMPUTER BILD hat beide Unternehmen im Vorfeld über die
Sicherheitslücke informiert und mit dem Problem konfrontiert. Die
initialen Buchungen stammen vom Urlaubstours-Portal, Ryanair sieht
daher die Unister-Tochter beim Datenschutz in der Pflicht. Aber auch
die Airline muss sich Kritik gefallen lassen: Dass die Abwicklung und
Einsicht all dieser Buchungen unter einer einzigen E-Mail-Adresse
überhaupt möglich ist, spricht nicht für die Qualitätssicherung bei
der Airline.
Laut Ryanair-Pressesprecher Stephen McNamara arbeitet Urlaubstours
ohnehin ohne Einwilligung der Fluglinie: Die Unister-Tochter buche
tausendfach Reisen zum Ryanair-Preis und biete sie dann als eine Art
Vermittler über Urlaubstours teurer an. Da alles über die eine
Reservierungs-Mail-Adresse von Urlaubstours läuft, ist die
Kommunikation mit dem Kunden für Ryanair fast unmöglich, so McNamara.
Die Airline schiebt Unister den schwarzen Peter zu und fordert das
Unternehmen auf, sich mit hoher Priorität um das Sicherheitsproblem
zu kümmern. Indes versicherte Unister-Pressesprecher Konstantin
Korosides am 2.1.2013 auf Nachfrage von COMPUTER BILD, dass man den
Hinweis auf das Datenleck unverzüglich prüfen werde und alle
notwendigen Maßnahmen ergreife, um die Datensicherheit bei
Ryanair-Buchungen zu gewährleisten. Bislang ist das nicht geschehen;
COMPUTER BILD rät daher bis auf weiteres davon ab, entsprechende
Buchungen über Urlaubstours vorzunehmen.
Redaktions-Ansprechpartner:
Dirk Kuchel, Tel. 040-347 23400 – auch für Radio-Interviews via
Audiocodec in Studioqualität oder per Telefon.
COMPUTER BILD-Presseinformationen: www.presseportal.de/pm/51005