checkmytrip account gehackt?

ANZEIGE
janfliegt

janfliegt

Erfahrenes Mitglied
28.07.2011
6.129
5
FHH (Feld hinterm Haus)
ANZEIGE
zolagola meinte:
Wäre es bei diesem Ausmaß und Risiko nicht angemessen, die Seite zunächst offline zu nehmen?
Zum Vergrößern anklicken....

Steppo meinte:
Man will wohl keine "Öffentlichkeit" und genau DAS stört mich.. schön untern Teppich kehren.
Zum Vergrößern anklicken....

Natürlich will man da möglichst wenig Öffentlichkeit. So lange das Problem akut ist, ist es auch gut, es nicht an die große Glocke zu hängen ;)

So einfach offline nehmen geht wohl nicht, da Funktionen der RBs und Airlines dranhängen...

Bekomme später ein Update...
 
T

tentacle

Erfahrenes Mitglied
19.02.2010
275
0
Das gefällt mir überhaupt nicht, habe bei mir auch Flüge samt Mietwagen und Hotel von fremden Personen für Ende Januar drin....
 
S

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
janfliegt meinte:
So einfach offline nehmen geht wohl nicht, da Funktionen der RBs und Airlines dranhängen....
Zum Vergrößern anklicken....
Wenn ich das richtig deute, sind ja nur PNRs betroffen, die mit einem CMT-Account verknüpft sind - da wird aktuell wohl nur die PNR abgefragt und nicht der Name dazu - meine Vermutung. Das Problem sind also nicht die PNRs sondern CMT.
Die sollen nicht Amadeus offline nehmen :eek: sondern einfach vorrübergehend mal CheckMyTrip - bzw. den betroffen Bereich. Ich behaupte einfach mal, man will das Problem gleich "sauber" lösen und das stinkt mir gewaltig! Je mehr Druck da ist.. umso eher bewegt sich was.. aber es sind nur ja nur Daten.. :stop:
 
Zuletzt bearbeitet:
XT600

XT600

Erfahrenes Mitglied
16.03.2009
21.611
1.300
weiss jemand ob sich Amadeus um den App-bug kümmert: man muss sich ab/anmelden, wenn man Änderungen an den Reisen sehen möchte (Android App)

Wurde das Stornieren einer x-beliebigen (auch GDS/OTA-)Buchung mittels PNR+Name eines Reisenden auf lh.com mittlerweile gefixed (abgestellt?)
 
Zuletzt bearbeitet:
janfliegt

janfliegt

Erfahrenes Mitglied
28.07.2011
6.129
5
FHH (Feld hinterm Haus)
Problem war, dass in Bezug auf historische PNRs die DB mit den aktuellen Buchungen angesprochen wurde, anstatt auf die Archiv-DBs zu verweisen.

Sollte nicht passieren - aber wo Menschen arbeiten, passieren Fehler.

Abwicklung und Handling empfand ich als äußerst professionell. Eine interne Aufarbeitung mit möglichen Konsequenzen aus den Erkenntnissen wird auch noch stattfinden, da das Thema recht hohe Wellen geschlagen hat.
 
  • Like
Reaktionen: maxbluebrosche, zolagola und Steppo
S

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Die Antwort kennst du. :p Reagiert wird dann, wenn es weh tut - nicht vorher. Sei es bei Kindern - "Achtung, der Herd ist heiß! - :cry:", EFs - das Spiel kennen wir ja nun zu genüge oder bei so etwas. Dass Unternehmen beim Thema Datenschutz gerne mal alle vorhandenen Augen zudrücken, ist ja nichts neues. Ich bin mal gespannt wie Amadeus da jetzt weiter agiert. Mich würde wirklich interessieren, ob meine Daten für andere sichtbar waren und abgerufen wurden - sie sollten das ja eigentlich nachvollziehen können. Transparenz muss man heute ja leider auch "erzwingen".
Aber ich tippe leider darauf, dass wir nichts weiter hören werden - da es a. keinen interessiert und b. keinen interessiert und c. falls es doch jemanden interessiert, interessiert wiederum keinen, dass es einen interessiert - siehe a. und b. - Amadeus hat die Chance mir das Gegenteil zu beweisen.

edit: @janfliegt
Darfst du uns erzählen, woher du diese Informationen hast?
 
Zuletzt bearbeitet:
  • Like
Reaktionen: zolagola
XT600

XT600

Erfahrenes Mitglied
16.03.2009
21.611
1.300
Steppo hat Recht!

Analog hierzu werden Apps für den Apfel bis ins Details optimiert, das Droid-App bleibt Buggy (re-Login für Änderungen, das ist doch der absolute Schwachsinn, für was brauche ich ein App, das mit Änderungen nur nach Neu-Login anzeigt?)

Das Thema LH.com "Storno von fremden Buchungen, wenn man nur einen Nachnamen und die PNR kennt" dürfte ähnlich brisant sein, wird aber weder von der LH.com Management Site noch von Amadeus wirklich ernst genommen. Sollte man hier mal den Datenschutzbeauftragten hinzuziehen?
 
S

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
XT600 meinte:
Das Thema LH.com "Storno von fremden Buchungen, wenn man nur einen Nachnamen und die PNR kennt" dürfte ähnlich brisant sein, wird aber weder von der LH.com Management Site noch von Amadeus wirklich ernst genommen. Sollte man hier mal den Datenschutzbeauftragten hinzuziehen?
Zum Vergrößern anklicken....
Das Thema Lufthansa, sprich Stornierung fremder Buchungen, ist in meinen Augen nicht wirklich Datenschutzrelevant. Das Aufrufen fremder "Buchungen" hingegen schon. Aber die Diskussion ob die Kombination PNR/Name ausreichend sicher ist, gehört hier wohl nicht her. Nur macht es einen gewaltigen Unterschied, ob ich selber Daten eingeben/probieren muss oder mir diese auf dem Silbertablett präsentiert werden. Fehler passieren und das verurteile ich auch nicht. Was ich allerdings nicht leiden kann: Die Seite blieb unverändert online - für mindestens 3 Stunden - obwohl sie davon wussten. Es hätte ja auch gereicht das Einloggen zu unterbinden oder ähnliches - da hätten sich die ITler völlig frei austoben können. Man hat dann wohl in den drei Stunden den Fehler gesucht, gefunden und behoben.. nimmt die Seite offline (geht auf einmal?!), vermutlich um das Update einzuspielen und alles ist in Butter?!
Dieses Vorgehen mag zwar professionell sein - bevor man in Hektik noch mehr vermurkst. Aber aus Datenschutzsicht ist es nicht die optimale Lösung.
Aber meckern ist immer einfach.. Der Datenabfluss dürfte sich in Grenzen gehalten haben und müsste definitiv nachvollziehbar sein. Erstmal abwarten ob da noch was kommt. Denn in der "Nachsorge" und Aufbereitung zeigt sich wahre Professionalität und da wird es dann häufig vergeigt - nicht zuletzt wegen der Kosten.
 
janfliegt

janfliegt

Erfahrenes Mitglied
28.07.2011
6.129
5
FHH (Feld hinterm Haus)
Steppo meinte:
Die Antwort kennst du. :p Reagiert wird dann, wenn es weh tut - nicht vorher. Sei es bei Kindern - "Achtung, der Herd ist heiß! - :cry:", EFs - das Spiel kennen wir ja nun zu genüge oder bei so etwas. Dass Unternehmen beim Thema Datenschutz gerne mal alle vorhandenen Augen zudrücken, ist ja nichts neues. Ich bin mal gespannt wie Amadeus da jetzt weiter agiert. Mich würde wirklich interessieren, ob meine Daten für andere sichtbar waren und abgerufen wurden - sie sollten das ja eigentlich nachvollziehen können. Transparenz muss man heute ja leider auch "erzwingen".
Aber ich tippe leider darauf, dass wir nichts weiter hören werden - da es a. keinen interessiert und b. keinen interessiert und c. falls es doch jemanden interessiert, interessiert wiederum keinen, dass es einen interessiert - siehe a. und b. - Amadeus hat die Chance mir das Gegenteil zu beweisen.

edit: @janfliegt
Darfst du uns erzählen, woher du diese Informationen hast?
Zum Vergrößern anklicken....

Ich hatte nicht den Eindruck, dass die vor dem heißen Herd standen ;)

Ich denke nicht, dass Abrufe einzelner Buchungen geloggt werden. Maximal die Anmeldung an das Account. Da das Problem begrenzt war, glaube ich nicht, dass eine offizielle Stellungnahme von Amadeus folgt. Aber wir werden sehen.

Die Infos zum Problem selbst bzw. zum Fix habe ich von Amadeus direkt. Das obenstehende ist Spekulation...
 
  • Like
Reaktionen: maxbluebrosche
janfliegt

janfliegt

Erfahrenes Mitglied
28.07.2011
6.129
5
FHH (Feld hinterm Haus)
Steppo meinte:
Das Thema Lufthansa, sprich Stornierung fremder Buchungen, ist in meinen Augen nicht wirklich Datenschutzrelevant. Das Aufrufen fremder "Buchungen" hingegen schon. Aber die Diskussion ob die Kombination PNR/Name ausreichend sicher ist, gehört hier wohl nicht her. Nur macht es einen gewaltigen Unterschied, ob ich selber Daten eingeben/probieren muss oder mir diese auf dem Silbertablett präsentiert werden. Fehler passieren und das verurteile ich auch nicht. Was ich allerdings nicht leiden kann: Die Seite blieb unverändert online - für mindestens 3 Stunden - obwohl sie davon wussten. Es hätte ja auch gereicht das Einloggen zu unterbinden oder ähnliches - da hätten sich die ITler völlig frei austoben können. Man hat dann wohl in den drei Stunden den Fehler gesucht, gefunden und behoben.. nimmt die Seite offline (geht auf einmal?!), vermutlich um das Update einzuspielen und alles ist in Butter?!
Dieses Vorgehen mag zwar professionell sein - bevor man in Hektik noch mehr vermurkst. Aber aus Datenschutzsicht ist es nicht die optimale Lösung.
Aber meckern ist immer einfach.. Der Datenabfluss dürfte sich in Grenzen gehalten haben und müsste definitiv nachvollziehbar sein. Erstmal abwarten ob da noch was kommt. Denn in der "Nachsorge" und Aufbereitung zeigt sich wahre Professionalität und da wird es dann häufig vergeigt - nicht zuletzt wegen der Kosten.
Zum Vergrößern anklicken....

Die Amadeus-Systeme sind sehr komplex. Du stellst dir das "Abschalten" zu einfach vor. Das Offline-Stellen ist ein Prozess, der dauern kann. Es ist ja nicht so, dass irgendwo ein PC steht, den man einfach ausschaltet. Das sind verteilte und geclusterte Systeme, die aus vielen Komponenten bestehen. Aus Gründen der (Datenschutz) Compliance und Qualitätssicherung müssen Ablaufprozesse zudem eingehalten werden. In großen Strukturen verlangsamt dann oft noch die zwingend einzuhaltende "Befehlskette".

Nochmal - ich empfand das Vorgehen professionell und kann mit dem Ergebnis leben, auch wenn ich es natürlich als Betroffener auch lieber gehabt hätte, meine Daten wären nicht potenziell von einem Dritten einsehbar gewesen.
 
  • Like
Reaktionen: Steppo
tian

tian

Erfahrenes Mitglied
26.12.2009
10.709
140
Abschalten vielleicht nicht, aber man hätte relativ simpel die Domain auf eine Fehlerseite umleiten können.
 
  • Like
Reaktionen: zolagola
S

Steppo

Erfahrenes Mitglied
05.12.2012
893
6
TXL
Mir ist schon klar, dass da nicht ein PC mit Knopf im Keller steht wobei mir die Vorstellung gefällt. "In case of emergency - press here *blinkender Pfeil*"
Wenn ich man sich aber anschaut was da teilweise für ein Affentanz bei EFs veranstaltet wird: Auskommentieren im Quelltext (u.a. AZ) - entfernen von Select-Einträgen (u.a. UA & SU).
Da scheint doch so einiges "möglich" zu sein.. :sick:
 
XT600

XT600

Erfahrenes Mitglied
16.03.2009
21.611
1.300
Ich freue mich, daß ich endlich mal ein Thema eröffnen durfte, was wirklich relevant war und hier ernsthaft diskutiert wurde:
 
  • Like
Reaktionen: maex und Steppo
maxbluebrosche

maxbluebrosche

Super-Moderator
Teammitglied
17.01.2010
8.529
21
zwischen HAJ & PAD
Bei mir stehen noch immer Daten Dritter zum Abruf bereit aktuell - sowohl neue als auch alte Flüge :(

Edit - solange man keinen 'refresh' manuell macht
 
Zuletzt bearbeitet:
XT600

XT600

Erfahrenes Mitglied
16.03.2009
21.611
1.300
maxbluebrosche meinte:
Bei mir stehen noch immer Daten Dritter zum Abruf bereit aktuell - sowohl neue als auch alte Flüge :(

Edit - solange man keinen 'refresh' manuell macht
Zum Vergrößern anklicken....

sprichst du von der App? welches OS? Beim Android muss man sich aus/einloggen um Änderungen zu sehen, refresh funzt nicht!
 
Um antworten zu können musst
du eingeloggt sein.
Oben Unten