Allianzübergreifendes: Datenleck bei SITA - Details zu Vielfliegerkonten weltweit

ANZEIGE

leoll

Aktives Mitglied
29.09.2012
129
29
MUC
ANZEIGE
Air India ist die Airline. Mit denen bin ich nie geflogen. Woher haben die meine Daten?
 

roffe8

Erfahrenes Mitglied
14.01.2017
544
154
LHR
Air India ist die Airline. Mit denen bin ich nie geflogen. Woher haben die meine Daten?

Sie haben deine Daten nicht, sie haben aber Zugriff auf die Vielfliegerinfos der Star Alliance um dir ggf. einfach die damit verbundenen Vorteile zu gewähren. Wenn es diese Systeme nicht gäbe, wäre wieder grosses Gejammer dass man überall ständig seine Goldkarte vorzeigen muss, der Status nicht vom System erkannt wird und auf der Bordkarte steht, es keinen Loungezugang / Upgrades / Sitzplatzwahl gibt, usw...

Eine gute Gelegenheit, ein bisschen Passwort-Housekeeping zu betreiben und zuzusehen, dass alle Accounts ordentlich gesichert sind (wenn die Sicherheit deines Accounts vorher davon abhängig war, ob jemand deinen Benutzernamen kennt oder nicht, hast du übrigens etwas falsch gemacht).
 
  • Like
Reaktionen: ServMan und Manuel83

FREDatNET

Erfahrenes Mitglied
11.07.2010
8.302
7
VIE
Von BA kam nun auch eine email:

"We have been notified of a data breach at global technology company SITA, an IT services provider to many airlines around the world."

Weitere Details werden nicht genannt, ausser das man sein Passwort ändern soll... Spannend ist dann sowas:

"The password you use for your account is not held by SITA and has not been put at risk by this breach.

As a precaution, given the potential that customers have re-used passwords used for other websites, we are taking the following action to protect you:

Please log into your account and reset your password
Please create a new password that you have not used elsewhere
Once your password has been reset and you have completed a verification step, you will be able to regain full access to your account"

Hervorhebungen durch mich...

Super, nach erfolgreichem Passwort Wechsel kennt BA meinen Account nicht mehr. Great! [emoji1303]
 
  • Like
Reaktionen: janetm

flamingoe

Reguläres Mitglied
24.03.2009
77
1
Ruhrgebiet/Niederrhein
...soeben E-Mail von IBERIA mit neuem Passwort für meinen Account erhalten:

Dear xxx,

Here we enclose your new PIN code with which you can access all the services Iberia Plus offers through www.iberia.com. Your PIN code is xxx.

To enter your Iberia Plus personal Area, you only need to identify with your Iberia Plus card number and the PIN code attached.

We remind you that at iberia.com, you will find all the information about the Programme: benefits of your card, obtaining and using tables, special offers, associated companies, etc.

Yours sincerely,

Your Iberia Plus Service Centre
 

born2fly

Erfahrenes Mitglied
25.10.2009
5.545
2.681
FRA
Habe gerade ein Update von KrisFlyer erhalten, dass mein Konto jetzt doch nicht betroffen sein soll:

Dear born2fly,

UPDATES ABOUT YOUR KRISFLYER ACCOUNT

SITA, an information technology company providing passenger service systems, has informed Singapore Airlines of a data security breach involving their passenger service systems’ (SITA PSS) servers. While Singapore Airlines is not a customer of the SITA PSS, another Star Alliance member airline is.

All Star Alliance member airlines provide a restricted set of frequent flyer programme data to the alliance, which is then sent on to other member airlines to reside in their passenger service systems. This data transfer is necessary to enable the verification of membership tier status, and to accord to member airlines’ customers the relevant benefits while travelling.

As a result, SITA has access to the restricted set of frequent flyer programme data for all 26 Star Alliance member airlines including Singapore Airlines.

Some of our members were affected by the breach of the SITA PSS server. The impacted data is limited to the members’ KrisFlyer membership number and tier status and, in some cases, membership name, which is the full extent of the frequent flyer data set Singapore Airlines shares with other Star Alliance member airlines for this data transfer.

Specifically, this data breach does not involve KrisFlyer membership passwords, credit card information, and other customer data such as itineraries, reservations, ticketing, passport numbers, and email addresses as SIA does not share this information with other Star Alliance member airlines for this data transfer.

We are contacting you to inform you that your KrisFlyer data was not impacted by this breach of the SITA PSS server. Your KrisFlyer miles balance was also not compromised.

We would also like to reassure you that none of Singapore Airlines’ IT systems have been affected by this incident.

The protection of our customers’ personal data is of utmost importance to Singapore Airlines. We will work with our partners to review the current procedures, and take all necessary steps to improve data security.

Yours sincerely,
Ryan Pua
Vice President Loyalty Marketing
 

StefanR

Erfahrenes Mitglied
17.07.2016
510
165
Planet Earth
Grad dann auch noch AAdvantage:

We are informing you of a recent event that may have involved a limited amount of your AAdvantage® information.
American Airlines was recently notified by SITA, an information technology company that provides services to many international carriers, that SITA suffered a data security incident involving a limited amount of AAdvantage loyalty data residing on SITA’s passenger service system (SITA PSS). Importantly, the incident did not result in the compromise of any AAdvantage account passwords or financial information that may be stored in your AAdvantage account. American’s systems were not involved in this incident.
American is not a customer of SITA PSS. However, the incident did impact certain AAdvantage loyalty data as some of our airline partners store loyalty data in SITA PSS. We exchange a limited set of frequent flyer loyalty data with our airline partners to ensure recognition of our AAdvantage members’ loyalty status when traveling.
We have confirmed with SITA that your name, elite status, and AAdvantage number may have been affected by the incident. While American has no evidence that your AAdvantage information has been misused, we wanted to alert you of this incident.
As a best practice, we recommend you update your AAdvantage password regularly and use complex and unique passwords. While we do not believe your account is at risk, if you would like to reset your AAdvantage password as a precaution, you can reset your password here.
We apologize for any inconvenience this may cause you and remain committed to the protection of your personal information.
 

Nitus

Erfahrenes Mitglied
04.04.2013
5.238
21.363
MUC
Und auch A3 informiert seine Miles + Bonus Mitglieder:

Dear Miles+Bonus member,

AEGEAN was notified by SITA (Société Internationale de Télécommunications Aéronautiques), a third party system provider of another Star Alliance airline, that it had experienced a cyber security incident involving certain passenger data that was stored in its passenger service system which is used to support airline operations.

In particular, the passenger data impacted by this incident was the name, membership number and tier status of Frequent Flyer Program members. These are the data made available by AEGEAN to Star Alliance and through SITA to other Star Alliance airlines, to allow Frequent Flyer status recognition around the world.

The incident did not affect members’ password or any other sensitive personal information (email, reservations, ID card or payment card information) which were not available in this database as they are not shared by AEGEAN or the other Star Alliance member airlines.

There is no evidence that your account data in AEGEAN Miles+Bonus program have been compromised or misused and no action is required on your side. The incident did not affect AEGEAN own systems in any way.

By this proactive communication, we intend to make you aware of the above and we kindly ask you to address or report at DPO@aegeanair.com any relevant query or issue.

Best Regards,

Miles+Bonus
 

franzose

Fremdbucher
10.07.2009
5.924
159
MUC
Abweichend und damit auffallend jedoch, dass IBERIA alle Passwoerter der Vielfliegerkonten zuruecksetzt und die Kunden informiert, dass sie anschliessend ein neues Passwort setzen muessen.

Wozu Passwort ändern wenn diese Informationen doch gar nicht geklaut wurden?
 

FREDatNET

Erfahrenes Mitglied
11.07.2010
8.302
7
VIE
Wozu Passwort ändern wenn diese Informationen doch gar nicht geklaut wurden?

Ich sehe den Sinn eines Passwort Wechsels anhand des kommunizierten Vorfalls auch nicht.

Habe trotzdem meine FFP Passwörter geändert, weil eben die Kommunikation einfach suspekt ist und ich durchaus mit einem größeren Umfang der ganzen Sache rechne.
 

Vizediktator

Aktives Mitglied
26.09.2019
101
70
Im letzten Sommer war es noch nicht einmal notwendig sich in Systeme zu hacken. Fluggastdaten mit Zahlungsinformationen waren damals mit einem kleinen Trick für jedermann einsehbar.

https://www.vielfliegertreff.de/nor...kerstattungen-waren-fuer-jeden-einsehbar.html

Betraf aber wohl nur United und hatte in den USA nicht wirklich jemanden interessiert. Dort hat man es ja in der Breite eh nicht so mit dem Datenschutz. Bei dem aktuellen Vorfall wurden Daten zwar nicht so in der Tiefe geklaut, aber dafür in der Breite von vielen Airlines. Vielleicht bringt das ja jetzt nochmal das Thema Datenschutz und Datensicherheit wieder auf die Agenda der Airlines.
 
A

Anonym38428

Guest
Ich sehe den Sinn eines Passwort Wechsels anhand des kommunizierten Vorfalls auch nicht.

Habe trotzdem meine FFP Passwörter geändert, weil eben die Kommunikation einfach suspekt ist und ich durchaus mit einem größeren Umfang der ganzen Sache rechne.

Nicht größer als auch bisher schon, man muss einfach festhalten dass mit den GDS das Rückgrat der IT der "Legacy Carrier" steinzeitlich ist. Das ist aber weder eine Überraschung noch Neuheit.
 

joubin81

Erfahrenes Mitglied
07.09.2016
2.237
1.378
Und, Sammelklage schon vorbereitet? 3stellige Entschädigung wird sicher drin sein!
 

thorfdbg

Erfahrenes Mitglied
14.10.2010
3.249
400
Mal abwarten welche Airlines & Vielfliegersysteme sich noch so in den naechsten Tagen melden...

United, gestern.
Dear thorfdgb,

We're writing to make you aware of an incident involving a third-party system provider that stores airline passenger data for one of the Star Alliance member carriers.

The incident involved certain data being accessed from the third-party system provider. It's our understanding that the only information potentially accessed were customer names, MileagePlus numbers and Star Alliance statuses (Silver or Gold). Importantly, no other personal information or passwords were exposed that would allow anyone to access your MileagePlus account.

We have strong cyber security measures in place to protect your personal data, and both United and Star Alliance have reviewed our own systems and found no indications that they have been compromised in connection with this incident.

However, out of an abundance of caution, you may want to change your MileagePlus account password, and we recommend that all members do so regularly as a best practice.

Thank you for your loyalty, and we look forward to seeing you on board soon.

Questions and answers

• What happened?
Star Alliance was notified on Saturday, February 27, 2021, about a data incident at a third-party service provider of one of the Star Alliance member carriers. A limited amount of customer data for Star Alliance member carriers was accessed.

• What data has been affected?
Frequent flyer data stored in the third-party system, specifically first and last name, MileagePlus number and Star Alliance tier status (Star Gold or Star Silver only). No other personal information or account passwords for United customers were stored in the third-party system.

• What is the data used for?
Airlines use this information to recognize frequent flyer status of customers from Star Alliance member carriers to ensure that customers with status receive their benefits across the Alliance.

• What steps have been taken to ensure that the information is now secure?
Star Alliance and affected member airlines have been advised by the third-party service provider, SITA, that the incident has been contained and that the matter remains under SITA's continued investigation along with external specialist cybersecurity experts.
 
Zuletzt bearbeitet:

Moostal

Erfahrenes Mitglied
21.06.2010
804
0
Ich bin auch betroffen. Die Email scheint für mich aber mehr als eine rechtlich Pflicht als offene Kommunikation zu sein. Die Servicenummer bringt den Hackern aber wesentlich weniger also noch vor 8 und mehr Jahren. Ob aber tatsächlich nur Servicenummer, Status und Name abgezweigt wurden - ist zumindest fraglich. Name oder doch noch Adresse? Die Betroffenen werden es vermutlich nie erfahren solange die ID Information nicht genutzt werden.
 
A

Anonym38428

Guest
Ich bin auch betroffen. Die Email scheint für mich aber mehr als eine rechtlich Pflicht als offene Kommunikation zu sein. Die Servicenummer bringt den Hackern aber wesentlich weniger also noch vor 8 und mehr Jahren. Ob aber tatsächlich nur Servicenummer, Status und Name abgezweigt wurden - ist zumindest fraglich. Name oder doch noch Adresse? Die Betroffenen werden es vermutlich nie erfahren solange die ID Information nicht genutzt werden.

Überleg mal was sich mit der Frequent Flyer Nummer noch so alles anstellen lässt. Vielleicht mal über den Horizont "Lufthansa Webseite" hinaus nachdenken. Wenn mehr wie Name, Vorname, Nummer und Programm gespeichert wurden, wie du unterstellst, wird sich jede Airline die Daten übermittelt hat, fragen lassen müssen: warum? Davon ab, wäre die Frage aus Gründen eh angebracht. Aber da sind wir wieder bei der steinzeitlichen IT bei den großartigen Legacies.
 

marsupilami

Neues Mitglied
13.08.2015
10
1
Ich habe gestern Abend eine email bekommen dass mit 30.000 Meilen für morgen ein Flug von Douala über Addis nach Dubai gebucht wurde.
Name und verwendete Kreditkarte gänzlich unbekannt.

Wurde von Lufthansa absolut problemlos storniert, aber ein bisschen geschwitzt hab ich schon. Wäre der Flug so kurzfristig am Wochenende gebucht worden hätte ich wahrscheinlich nicht so schnell jemanden erreicht...

Gibts jemanden mit dem gleichen Problem?
 
  • Like
Reaktionen: belimo

franzose

Fremdbucher
10.07.2009
5.924
159
MUC
Standard-Passwort?

Mir schleierhaft wie man sonst nur mit der FFP Nummer einen Flug buchen können sollte.
 
Zuletzt bearbeitet:

Moostal

Erfahrenes Mitglied
21.06.2010
804
0
Standardpasswort geht gemäss den Passwortvoraussetzungen bei M&M nicht. Sonderzeichen etc.
 

conaly

Erfahrenes Mitglied
16.10.2016
402
192
NUE
www.anisearch.de
Ich hab übrigens auch recht zeitnah eine Antwort von der Datenschutzabteilung von Miles&More erhalten. Die Infos daraus sind etwas spärlich, da weder der Partner, noch der Dienstleister genannt wurde. Allerdings glaube ich kaum, dass da groß was an Schadensersatz zu holen ist. Von der Datenschutzbehörde wird da vermutlich sowieso nichts kommen, weil ich davon ausgehe, dass M&M allen Dokumentations-, Melde- und Benachrichtigungspflichten nachgekommen ist.

Bin natürlich kein Jurist sondern nur DSB, aber wie ich bereits geschrieben habe: Sollten es wirklich nur Namen, Mitgliedsnummer und Statuslevel sein, dann hält sich der Schaden für die Betroffen derart in Grenzen, dass selbst bei einer großen Menge an Datensätzen da weder ein materieller, noch ein großer immaterieller Schaden nach Art. 82 DSGVO zu erwarten ist. Meines Wissens müsste nämlich erstens ein Schaden aktiv nachgewiesen werden (Erwägungsgrund 146 DSGVO), da allein die Tatsache dass die Daten geleakt worden nicht für einen Schadensersatzanspruch ausreicht. Und zweitens besteht die Möglichkeit, dass trotzdem alle zumutbaren Sicherheitsvorschriften erfüllt gewesen waren und damit M&M aus der Verantwortung genommen wird. Wenn die Daten durch gezielte Angriffe wie Hacking, Phishing etc. erbeutet worden sind, dann kann man laut LG Frankfurt/Main (Urteil vom 18.09.2020 - 2-27 O 100/20) aus der Verantwortung fallen. Bin mir aber nicht sicher, ob das hier auch Anwendung finden kann, zur genauen Rechtsprechung müsste ein Jurist was sagen.

Komplett aus dem Schneider ist M&M damit zwar nicht, aber dass die finanziell dafür bluten müssen halte ich für sehr unwahrscheinlich.