Allianzübergreifendes: Datenleck bei SITA - Details zu Vielfliegerkonten weltweit

ANZEIGE

Strolf

Erfahrenes Mitglied
27.03.2020
865
329
ANZEIGE
Data Breach SQ Krisflyer bz. SITA

Kam eben per eMail:
IMPORTANT INFORMATION ABOUT YOUR KRISFLYER ACCOUNT
SITA, an information technology company providing passenger service systems, has informed Singapore Airlines of a data security breach involving their passenger service systems' (SITA PSS) servers. While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is.
All Star Alliance member airlines provide a restricted set of frequent flyer programme data to the alliance, which is then sent on to other member airlines to reside in their passenger service systems. This data transfer is necessary to enable the verification of membership tier status, and to accord to member airlines' customers the relevant benefits while travelling.
As a result, SITA has access to the restricted set of frequent flyer programme data for all 26 Star Alliance member airlines including Singapore Airlines.
We are contacting you as your KrisFlyer data was impacted by this breach of the SITA PSS server. The information involved is limited to your KrisFlyer membership name, membership number and tier status, which is the full extent of the frequent flyer data set that Singapore Airlines shares with other Star Alliance member airlines for this data transfer.
Specifically, this data breach does not involve your membership password, credit card information, and other customer data such as itineraries, reservations, ticketing, passport numbers, and email addresses as SIA does not share this information with other Star Alliance member airlines for this data transfer. Your KrisFlyer miles balance was also not compromised.
We would also like to reassure you that none of Singapore Airlines' IT systems have been affected by this incident.
The protection of our customers' personal data is of utmost importance to Singapore Airlines. We apologise for the inconvenience caused. We will work with our partners to review the
current procedures, and take all necessary steps to improve data security.


 

sbr

Reguläres Mitglied
18.01.2018
57
24
Data Breach bei SITA: *A FF Daten geleaked

Keine Ahnung wo es am besten reinpasst...

Bei SITA, einem IT-Dienstleister, gab es einen "Angriff" der dazu geführt hat, dass *A Vielfliegerdaten abhandengekommen sind:

"SITA confirms that it was the victim of a cyber-attack, leading to a data security incident involving certain passenger data that was stored on SITA Passenger Service System (US) Inc. servers. Passenger Service System (US) Inc. (“SITA PSS”) operates passenger processing systems for airlines."

https://www.sita.aero/pressroom/news-releases/sita-statement-about-security-incident/

Die Info kam von SIA, der Breach betrifft aber einen anderen *A Partner, der SITA PSS nutzt:

"While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is."

Jedenfalls sind wohl Daten von allen *A Partnern betroffen, allerdings nur die innerhalb der Allainz für die korrekte Anerkennung des Vielfliegerstatus erforderlich sind und nur eine Teilmenge:

"The information involved is limited to your KrisFlyer membership name, membership number and tier status, which is the full extent of the frequent flyer data set that Singapore Airlines shares with other Star Alliance member airlines for this data transfer."

Irgendwelche Infos, welcher *A SITA PSS nutzt und was der Angreifer mit den Daten anstellen kann (wahrscheinlich eher nix)? Hat jemand von einem anderen *A Programm ähnliche Infos bekommen?

Vollständiger Wortlaut der SIA Mail:

Dear Mr sbr,
IMPORTANT INFORMATION ABOUT YOUR KRISFLYER ACCOUNT

SITA, an information technology company providing passenger service systems, has informed Singapore Airlines of a data security breach involving their passenger service systems' (SITA PSS) servers. While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is.


All Star Alliance member airlines provide a restricted set of frequent flyer programme data to the alliance, which is then sent on to other member airlines to reside in their passenger service systems. This data transfer is necessary to enable the verification of membership tier status, and to accord to member airlines' customers the relevant benefits while travelling.


As a result, SITA has access to the restricted set of frequent flyer programme data for all 26 Star Alliance member airlines including Singapore Airlines.


We are contacting you as your KrisFlyer data was impacted by this breach of the SITA PSS server. The information involved is limited to your KrisFlyer membership name, membership number and tier status, which is the full extent of the frequent flyer data set that Singapore Airlines shares with other Star Alliance member airlines for this data transfer.


Specifically, this data breach does not involve your membership password, credit card information, and other customer data such as itineraries, reservations, ticketing, passport numbers, and email addresses as SIA does not share this information with other Star Alliance member airlines for this data transfer. Your KrisFlyer miles balance was also not compromised.


We would also like to reassure you that none of Singapore Airlines' IT systems have been affected by this incident.


The protection of our customers' personal data is of utmost importance to Singapore Airlines. We apologise for the inconvenience caused. We will work with our partners to review the current procedures, and take all necessary steps to improve data security.


Please contact your nearest Singapore Airlines office if you require any assistance* on this matter.

Yours sincerely,

Ryan Pua
Vice President Loyalty Marketing


---

Edit: Mein Parallel-Thread wurde hierher gemerged
 
Zuletzt bearbeitet:

roffe8

Erfahrenes Mitglied
14.01.2017
497
111
LHR
Irgendwelche Infos, welcher *A SITA PSS nutzt und was der Angreifer mit den Daten anstellen kann (wahrscheinlich eher nix)? Hat jemand von einem anderen *A Programm ähnliche Infos bekommen?

Ich würde mal spekulieren, dass es Air India ist (habe aber nicht sonderlich viel aktuelle Info gefunden). - https://www.internationalairportrev...ers-smooth-star-alliance-entry-for-air-india/

Vielleicht auch noch andere Airlines.

Von LH, SK, NH, bisher noch keine Info gesehen, bei anderen Programmen bin ich nicht angemeldet.

Edit: Mache mir wegen der Daten weniger Sorgen, habe aber mal überprüft dass meine Passwörter bei den FFPs noch OK (also unik und komplex genug) sind.
 
  • Like
Reaktionen: sbr

Strolf

Erfahrenes Mitglied
27.03.2020
865
329
Super Firma. Am 24.2.21 war der Vorfall, und schon heute schicken die das Mail raus. Wozu jetzt noch das PW ändern. Die Meilen wären eh schon längst weg...
 

sbr

Reguläres Mitglied
18.01.2018
57
24
Hab von Finnair ebenfalls die E-Mail bekommen :(

Dann ist es wohl definitiv allianzübergreifend und betrifft potentiell alle Vielfliegerprogramme, wenn ein Allianzmitglied Kunde von SITA ist.

Impact sollte aber eher gering sein, aber man weiss ja nie, ob nicht doch noch andere Daten abgeflossen sind.
 

un_lustig

Erfahrenes Mitglied
14.02.2011
1.376
11
VIE
Datenvorfall bei einem Dienstleister eines Star Alliance Partners

Lieber Herr Xxx,

zwischen dem 21.01. und dem 11.02.2021 hat es bei einem Dienstleister einer unserer Star Alliance Partner einen Datenvorfall gegeben. Bei dem Vorfall gelang es Hackern, in ein Reservierungssystem einzudringen und Kundendaten von Star Alliance Partnern abzugreifen.

Dabei handelt es sich ausschließlich um Informationen zur Servicekartennummer, zum Statuslevel und teilweise zum Namen. Leider sind auch Ihre Kundendaten von diesem Vorfall betroffen. Fest steht: Es wurden in diesem Zusammenhang keine Passwörter, E-Mail-Adressen oder anderen persönlichen Kundendaten entwendet.

Transparenz ist für uns bei Miles & More besonders wichtig. Deshalb informieren wir Sie hiermit über den Vorfall - obwohl er außerhalb der Lufthansa Group stattgefunden hat. Sie müssen in diesem Zusammenhang nicht aktiv werden.

Mit freundlichen Grüßen

Ihr Miles & More Serviceteam
 

marioconi

Erfahrenes Mitglied
10.01.2011
1.223
20
Kam bei mir auch gerade rein. Und nun.... ? Unternehmt ihr trotzdem was? PW ist ja angeblich nicht betroffen.
 

bacchus85

Erfahrenes Mitglied
20.01.2018
332
77
HAJ
Ich denke vorsichtshalber das Passwort ändern kann nicht schaden - das wäre es dann aber auch.
 

conaly

Aktives Mitglied
16.10.2016
211
0
NUE
www.anisearch.de
Hab die Mail eben auch bekommen. Da versucht sich Miles&More wohl geschickt aus der Affäre zu ziehen:

Deshalb informieren wir Sie hiermit über den Vorfall - obwohl er außerhalb der Lufthansa Group stattgefunden hat. Sie müssen in diesem Zusammenhang nicht aktiv werden.

Blöd nur, dass M&M da genauso mit drin hängt. Wenn die Daten beim Dienstleister von Miles&More kamen, dann ist es sogar ihre Pflicht die Betroffenen zu informieren. Auch müssen die dann einen Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister haben, andernfalls dürften die Daten gar nicht dort erst gelandet sein und M&M hätte damit bereits vorher einen Datenschutzverstoß begangen. Bei einem AVV allerdings haftet der Auftraggeber in der Regel für den Auftragnehmer, da der Verarbeiter nur nach Weisung die Daten verarbeiten darf. Die Kontrolle des Auftragnehmers obliegt dem Auftraggeber. Miles&More ist nach DSGVO damit also definitiv mitverantwortlich.

Natürlich werd ich denen eine dicke Mail schreiben und anfragen, wieso die Daten dort überhaupt beim Dienstleister gelandet sind und warum M&M meint, das sei alles kein Problem. Allerdings muss man einschränkend dazu sagen, dass wenn wirklich nur Kartennummer, Statuslevel und Name abgegriffen worden da wohl nicht viel passieren wird, da keine dieser Daten besonders schutzbedürftig sind (sind ja z.B. keine Gesundheitsdaten), damit ist vermutlich nicht mal eine Meldung an die Datenschutzbehörde nötig, einzig eine interne Dokumentation über den Vorfall und eben die Information der Betroffenen.
 

jc8136

Erfahrenes Mitglied
19.02.2011
1.257
0
ZRH
Mir fehlt die Kreativität: Welche Informationen könnten abgeflossen sein? Mail kam eben von Swiss bei mir an
 

rcs

Gründungsmitglied
Teammitglied
06.03.2009
26.662
2.845
München
Steht doch drin: Servicekartennummer, Statuslevel und teilweise der Name.
 

delpiero223

Erfahrenes Mitglied
30.11.2011
1.417
48
RLG
kreuzundpeer.de
Blöd nur, dass M&M da genauso mit drin hängt. Wenn die Daten beim Dienstleister von Miles&More kamen, dann ist es sogar ihre Pflicht die Betroffenen zu informieren. Auch müssen die dann einen Auftragsverarbeitungsvertrag (AVV) mit dem Dienstleister haben, andernfalls dürften die Daten gar nicht dort erst gelandet sein und M&M hätte damit bereits vorher einen Datenschutzverstoß begangen. Bei einem AVV allerdings haftet der Auftraggeber in der Regel für den Auftragnehmer, da der Verarbeiter nur nach Weisung die Daten verarbeiten darf. Die Kontrolle des Auftragnehmers obliegt dem Auftraggeber. Miles&More ist nach DSGVO damit also definitiv mitverantwortlich.

Natürlich werd ich denen eine dicke Mail schreiben und anfragen, wieso die Daten dort überhaupt beim Dienstleister gelandet sind und warum M&M meint, das sei alles kein Problem. Allerdings muss man einschränkend dazu sagen, dass wenn wirklich nur Kartennummer, Statuslevel und Name abgegriffen worden da wohl nicht viel passieren wird, da keine dieser Daten besonders schutzbedürftig sind (sind ja z.B. keine Gesundheitsdaten), damit ist vermutlich nicht mal eine Meldung an die Datenschutzbehörde nötig, einzig eine interne Dokumentation über den Vorfall und eben die Information der Betroffenen.

Die Daten (Vielfliegernummer, Statuslevel und tlw. Name) hat doch jeder, der irgendwie Zugriff auf ein Buchungssystem der Star Alliance hat? Stehen ja auch (tlw. gekürzt) auf dem Boardingpass. Ich sehe jetzt nicht, dass Miles&More darin stärker verwickelt ist als KrisFlyer, MileagePlus und wie sie alle heißen.
 

conaly

Aktives Mitglied
16.10.2016
211
0
NUE
www.anisearch.de
Die Daten (Vielfliegernummer, Statuslevel und tlw. Name) hat doch jeder, der irgendwie Zugriff auf ein Buchungssystem der Star Alliance hat? Stehen ja auch (tlw. gekürzt) auf dem Boardingpass. Ich sehe jetzt nicht, dass Miles&More darin stärker verwickelt ist als KrisFlyer, MileagePlus und wie sie alle heißen.

Macht ja nix, die rechtliche Grundlage nach DSGVO warum die Partner diese Daten haben möchte ich trotzdem Erfahren. Kann ja soweit völlig legitim sein, aber ein bisschen mehr Informationen als in der Mail erwarte ich schon.
 

rcs

Gründungsmitglied
Teammitglied
06.03.2009
26.662
2.845
München
Dort handelt es sich mit 99,9% Wahrscheinlichkeit um ein berechtigtes Interesse, da ansonsten in den Check-In-Systemen der Vielfliegerstatus nicht für die Bordkarte verarbeitet werden könnte und auch die Meilengutschrift nicht angstoßen würde.
 
  • Like
Reaktionen: delpiero223

Boeing736

Erfahrenes Mitglied
31.01.2011
2.367
170
Macht ja nix, die rechtliche Grundlage nach DSGVO warum die Partner diese Daten haben möchte ich trotzdem Erfahren. Kann ja soweit völlig legitim sein, aber ein bisschen mehr Informationen als in der Mail erwarte ich schon.

Da SITA Produkte quasi an jedem Airport dieser Welt Verwendung finden (lt. deren Website waren sie in 1Mrd Abfertigungen involviert) würde ich mal davon ausgehen, dass das datenschutzrechtlich auf sicheren Beinen steht. Was genau sie machen kannst du dir recht gut auf der Website anschauen, würde da von M&M nicht allzu viele Details erwarten.
 

StefanR

Erfahrenes Mitglied
17.07.2016
397
4
Planet Earth
Spätestens im Zuge von GDPR sollte man solche Daten wohl nicht mehr zentral und im Klartext speichern. Jedem halbwegs begabten IT Studenten oder Fachinformatiker Azubi sollten da mehrere Hand voll geeignete Möglichkeiten einfallen...
 

garnet

Neues Mitglied
26.10.2020
5
0
Diese Diskussion hier ist mal wieder typisch Deutsch. Ggf. stellt man sich mal die Frage was mit der API bezweckt wird. Und dann wird einem ggf. auch deutlich wie das Interesse der einzelnen Parteien ist dort mehr als nur das für das Anwendungszweck nötige anzubieten.
Und dann legt man sich wieder schlafen.
 
  • Like
Reaktionen: Boeing736

diwlo

Aktives Mitglied
02.09.2015
116
0
BRU, BSL
Verstehe ich da was falsch?

M&M gibt als Zeitraum des Datenzugriffs 21.01.2021-11.02.2021 an.
SITA spricht von einem Datenzugriff, der am 24.02.2021 stattgefunden haben soll.

Das deckt sich doch nicht.

M&M schreibt zwar, dass Transparenz "besonders wichtig" sei, aber wo das Datenleck entstanden ist, wird nicht erwähnt.
*confused*
 

alex42

Erfahrenes Mitglied
02.04.2012
3.938
12
MUC
Diese Diskussion hier ist mal wieder typisch Deutsch.

Nein, dieses "Transparenz ist uns besonders wichtig, deshalb informieren wir Sie" ist vor allem typisch M&M. Genau wie die Relativierung, dass er "außerhalb der Lufthansa Group stattgefunden" habe.

M&M ist gesetzlich dazu verpflichtet, betroffene Kundinnen und Kunden umgehend zu informieren - nennt aber nicht einmal Details. Stattdessen heißt es "war ja nur ein Dienstleister", obwohl M&M auch in so einem Fall laut Verordnung die Verantwortung trägt.

Einfach nur peinlich der Laden.
 

janetm

Erfahrenes Mitglied
11.02.2012
3.554
66
FRA, CGN, DUS
Von BA kam nun auch eine email:

"We have been notified of a data breach at global technology company SITA, an IT services provider to many airlines around the world."

Weitere Details werden nicht genannt, ausser das man sein Passwort ändern soll... Spannend ist dann sowas:

"The password you use for your account is not held by SITA and has not been put at risk by this breach.

As a precaution, given the potential that customers have re-used passwords used for other websites, we are taking the following action to protect you:

Please log into your account and reset your password
Please create a new password that you have not used elsewhere
Once your password has been reset and you have completed a verification step, you will be able to regain full access to your account"

Hervorhebungen durch mich...
 

FlyUsa

Aktives Mitglied
26.07.2015
156
11
Es sind wohl mehr oder weniger alle Allianzen und somit viele Vielfliegerprogramme betroffen. SITA wird bei vielen fuer den Datenaustausch genutzt.
Soeben von IBERIA eine Email bekommen. Hier aehnlich klingende Hinweise, das es nicht ihr System ist und das nur sehr wenige Daten abgegriffen wurden.

We have been notified of a data breach at global technology company SITA, an IT services provider to many airlines around the world. SITA is not Iberia’s booking and reservations system provider and SITA’s breach does not involve our customers’ financial information or password as SITA does not have access to this data. Please be reassured that this incident was not a breach of Iberia's systems.

Along with many other airlines, we do share limited information with partner airlines in order to enhance your experience when flying with them. We have been notified by SITA that IB Plus members’ names, membership numbers and some of their preferences, such as seating, has been impacted.

Abweichend und damit auffallend jedoch, dass IBERIA alle Passwoerter der Vielfliegerkonten zuruecksetzt und die Kunden informiert, dass sie anschliessend ein neues Passwort setzen muessen.
As a precaution, given the potential that customers have re-used passwords used for other websites, we are taking the following actions to protect you:
  • We are going to reset the password to access your Iberia Plus account.
  • Once your password has been reset, you will receive an email indicating a new password that you will need to access to your account.

Mal abwarten welche Airlines & Vielfliegersysteme sich noch so in den naechsten Tagen melden...
 

Manuel83

Erfahrenes Mitglied
09.05.2012
787
315
Nein, dieses "Transparenz ist uns besonders wichtig, deshalb informieren wir Sie" ist vor allem typisch M&M. Genau wie die Relativierung, dass er "außerhalb der Lufthansa Group stattgefunden" habe.

M&M ist gesetzlich dazu verpflichtet, betroffene Kundinnen und Kunden umgehend zu informieren - nennt aber nicht einmal Details. Stattdessen heißt es "war ja nur ein Dienstleister", obwohl M&M auch in so einem Fall laut Verordnung die Verantwortung trägt.

Einfach nur peinlich der Laden.

Das ist genau die Definition von typisch Deutsch, du beweist es ja mit deinem künstlichen Gejammer
 
  • Like
Reaktionen: Aladin