Auch BLICK-Leser von Sicherheitsleck betroffen
«Miles & More»-Kunden hatten Zugriff auf fremde Konten

Grobe Sicherheitspanne beim Vielfliegerprogramm Miles & More der Lufthansa und Swiss: Wer sich am Montag einloggte, kam auf die Konten anderer Kunden – und hatte dort Zugriff auf sensible Daten. Nun ist der Service down.
Publiziert: 10.12.2019 um 15:18 Uhr
|
Aktualisiert: 10.12.2019 um 16:26 Uhr
1/5
Als sich BLICK-Leser Reto A. in sein Miles-&-More-Konto einloggte, staunte er nicht schlecht: Da war ein Flug nach Nizza drin, den er nie gebucht hatte.
Foto: Zvg
Fabian Vogt, Thomas Benkö

BLICK-Leser Reto A.* traute seinen Augen nicht, als er am Montag sein «Miles & More»-Konto öffnete. Laut diesem wird er dieses Wochenende von Frankfurt nach Nizza fliegen. A. lebt aber in der Schweiz und hat kein Bedürfnis, mitten im Dezember an die Côte d’Azur zu fliegen. Zudem ist er plötzlich mit 464'950 Prämienmeilen aufgeführt. Viel mehr, als er im Kopf hatte.

A. wurde neugierig und schaute sich sein Konto genauer an. Dabei wurde das anfängliche Erstaunen rasch durch Verwirrung ersetzt: Statt seines Namens stand da plötzlich ein anderer. Reto A. loggte sich aus und versuchte es erneut. Nur um festzustellen, dass er wieder im Konto einer anderen Person gelandet war.

Ob es Volker, Christina, Ruth oder Josef war, bei jedem Einloggen hatte er Zugriff auf ein anderes fremdes Konto.

Flüge buchen und löschen

Wer Zugriff auf die Daten des Vielfliegerprogramms hat, das unter anderem von der Swiss angeboten wird, kann einiges mit ihnen anstellen. Unter anderem sind Kreditkartendaten ersichtlich. Vor allem können über das System aber auch Flüge gebucht oder gelöscht werden. Für die Nutzer könnte das Sicherheitsloch demnach grössere Auswirkungen haben.

Von BLICK auf die Lücken aufmerksam gemacht, gab Miles & More zu, dass es am Montag zwischen 16.08 und 16:40 Uhr ein technisches Problem im Login-Bereich der Website gab. «Miles-&-More-Teilnehmer sind beim Login auf andere Konten gelangt. Um 16:40 Uhr wurde daraufhin der Login-Bereich aus Sicherheitsgründen bis auf Weiteres deaktiviert.»

Einloggen weiterhin nicht möglich

Seither sei kein Zugriff auf Kunden-Konten mehr möglich. Man bitte die Kunden um Geduld und arbeite mit Hochdruck an der Fehlerbehebung und -analyse.

Und die scheint anzudauern. Auch am Dienstagnachmittag kann sich Leser Reto A. noch nicht wieder einloggen. «Immerhin habe ich keinen Zugriff auf fremde Konten mehr».

* Name geändert

Fehler gefunden? Jetzt melden
Was sagst du dazu?