Fallbeispiel: Internet-Datensicherheit by Emirates-Airline

Wer bei der Fluglinie Emirates einen Flug und sonstige Leistungen online bucht, wird ja heute so gemacht; ist in Punkto Sicherheit und Privatsphäre verratzt. Offenbar machen die haarsträubende Sicherheitsfehler.

Als der Software-Entwickler und Sicherheitsspezialist Konark Modi voriges Jahr einen Flug für sich und seine Familie bei Emirates buchte, stieß er auf haarsträubende Sicherheitsmängel. Diese hat er als Case-Studie auf Medium veröffentlicht. Hier seine Erfahrungen in Kürze:

• Wenn jemand einen Flug über Emirates, Domestic oder International bucht, erzeugt diese Buchung ungefähr 300 Datenpunkte.
• Wer nun noch auf die Idee kommt, bei der Buchung über den Punkt Einstellungen verwalten zu klicken, um einen Sitzplatz oder eine Mahlzeit für die Reise auszuwählen, oder für den Flug einzuchecken, bewirkt, dass seine Buchungs-ID sowie den Nachnamen des Passagiers an ungefähr 14 verschiedene Drittanbieter-Tracker wie Crazy Egg, Boxever, Coremetrics, Google und Facebook weitergeleitet wird.
• Nach seiner Buchung erhält der Reisende eine Bestätigung per E-Mail. In dieser Mail gibt es einen Link, um auf seine Buchungsdaten per Internet zuzugreifen. Beim Anklicken dieses Links startet eine Kette von Web-Umleitungen (Redirections).

(Quelle: Konark Modi, Medium)

• Auch dieser Link löst bei der Anwahl und den anschließenden Umleitungen eine Kaskade von Drittanbieter-Trackern aus, die Emirates auf seinen Webseiten eingebunden hat.
• Wer die URLs in obigem Screenshot genau angeschaut hat, sieht, dass die erste URL im E-Mail-Link auf einen per HTTP-abrufbare Webseite zeigt. Das heißt, alle Daten wie Tracking-ID etc. werden im Klartext übertragen.

(Quelle: Konark Modi, Medium)

Der obige Screenshot zeigt, wer alles über die Buchung informiert wird – selbst Facebook ist dabei. Konark Modi schreibt in seinem Artikel, dass jeder, der Zugriff auf diese Kommunikation bekommt, nicht nur die Daten lesen, sondern mit den Informationen auch die Daten ändern kann. Ein Flug könnte als storniert oder umgebucht werden. Auch Angaben zum Pass oder der Umfang der Buchung etc. ließen sich ändern. Über den vermeintlich privaten und exklusiven Link lassen sich durch Dritte sehr persönliche Daten des Reisenden auf dem Buchungsportal einsehen. Im Oktober 2017 wurden die Daten unverschlüsselt im Web übertragen – mittlerweile ist der Quellcode obfuscated (verwürfelt), um die Identifikation zu erschweren.

Konark Modi schreibt, dass dies aber nicht exklusiv für Emirates gelte. Auch andere Fluglinien wie Lufthansa, KLM etc. bedienen sich (Stand Oktober 2017) ähnlicher Praktiken.

Dass es mit der Sicherheit vieler Webseiten nicht zum Besten bestellt ist, war klar, aber das ist einfach erschreckend. Er könnte seine Daten auch öffentlich auf einer Webseite posten und Emirates eine Mail mit dem Inhalt 'die benötigten Daten findet ihr hier' schicken.

Konark Modi hat Emirates darauf hin kontaktiert und um Aufklärung gebeten. Es gab nur Standard-Antworten – Privatsphäre ist nicht vorgesehen, ein Opt-out ist unmöglich. Die Fluggesellschaft (und andere) dürften demnächst in große Schwierigkeiten kommen, wenn die EU DSGV im Mai 2018 wirksam wird und nichts geändert wurde. Modi dokumentiert die Details im Media-Artikel bis ins kleinste Detail und erklärt auch, was falsch ist.

Nachdem der Beitrag veröffentlich und von anderen Webseiten wie The Register aufgegriffen wurde, reagierte Emirates mit einer Stellungnahme gegenüber The Register.

We are aware of the article posted by Mr Konark Modi on 2 March 2018. We take all claims of security or privacy breaches seriously and have conducted a thorough review of our sites and systems. We can confirm that none of the security vulnerabilities highlighted in Mr Modi's article will allow a breach (unauthorized access) of personal data on our website or mobile app.

Whilst we do use a number of third party analytical tools on our sites for the purpose of improving the online browsing experience, we continually review how these are implemented. The depiction in Mr Modi's article as to what data is being shared, or customer choice in 'opting out' is inaccurate. We are committed to protecting the privacy of our customer's personal data. Customers can find out more about how we use personal data and how they can opt out by reading our privacy policy on emirates.com.

Hätten die lieber nicht tun, sondern mal nachdenken sollen. In diesem Artikel zerrupft Modi die Stellungnahme und überführt Emirates der glatten Falschaussage. Das ist übrigens nicht der erste Fall, wo solche erschreckenden Datenpannen ruchbar wurden. Ich erinnere an meinen Blog-Beitrag Sicherheitslücken bei Flugbuchungen und –Internet/-Telefonie, den der Sicherheitspezialist Carsten Nohl 2016 aufdeckte.

Wenn ich dann diesen Artikel in der Zeit mit dem Kommentar von Stephan Noller zu den Äußerungen von Deutschlands neue Frau fürs Digitale, Doro Bär, lese, kann ich nur den Kopf schütteln. Einmal ob des schrägen Kommentars von Herrn Noller. Gut, der Mann ist 'Psychologe, Vizepräsident des Bundesverbands digitale Wirtschaft und engagiert sich in dem SPD-nahen Thinktank D64' – absoluter Spezialist – und die Zeit gibt sich gerne für so was her. Und zum zweiten zu den Vorstellungen der Dame in Richtung Digitalwirtschaft. Mit solchen 'Spezialisten' braucht es keine Hacker mehr, um Missbrauch und Identitätsdiebstahl Tür und Tor zu öffnen. Deutschland 2018 …