Beim Ticket-Großhändler Aerticket waren über mehrere Jahre personenbezogene Daten von Millionen Flugreisenden im Internet ungeschützt zugänglich. Wie die Süddeutsche Zeitung aufgedeckt hat, konnten über den Reiseplan-Service Cosmita.com fremde Buchungsprofile aufgerufen werden – einschließlich Adressen, Rechnungsdaten und zum Teil auch Bankverbindungen.
Nach Angaben von Aerticket wurde die Sicherheitslücke vergangene Woche binnen weniger Stunden geschlossen, nachdem man von der Süddeutschen Zeitung darüber informiert worden war. Zudem habe man die Berliner Datenschutzbeauftragte informiert. „Soweit wir wissen, ist kein Schaden entstanden, da die Sicherheitslücke nicht genutzt worden ist“, sagt Pressesprecherin Susanne Roggemann.
Das Tool Cosmita.com sei nur von drei großen Portalbetreibern genutzt worden, unter anderem von der Unister-Gruppe. Kundendaten von stationären Reisebüros seien dagegen nicht betroffen. Insgesamt sei über das Datenleck „höchstens ein Viertel“ des jährlichen Aufkommens von rund sechs Millionen Datensätzen bei Aerticket ungeschützt gewesen.
Die Möglichkeit für Endkunden, ihre Flugbuchung aufzurufen, besteht seit viereinhalb Jahren. „Wir sind auch nach wie vor von der Idee überzeugt“, sagt Roggemann. Denn nur über einen solchen Info-Service für Kunden könne der Vertrieb verhindern, dass Kunden direkt auf die Airline-Seiten abwanderten.
Nach der Behebung der Sicherheitslücke müssen für den Zugang zur Buchung nun der Name und die Buchungsnummer eingegeben werden. Cosmita.com bleibt vorerst im Einsatz, soll aber bald durch ein neues Portal namens Cockpit.de ersetzt werden, das in einer Beta-Version bereits online ist.
Reisevertrieb
Aerticket: Datenleck betraf nur Internet-Kunden
Der Ticket-Großhändler hat nach Jahren eine Sicherheitslücke geschlossen. Schaden soll dadurch nicht entstanden sein. Foto: Airbus
