Sicherheitslücke bei Lufthansa: Siri trägt fremde Flugdaten in Kalender ein

Laut einem Bericht der NZZ hat kam es bei der Lufthansa und ihrer Tochtergesellschaft Swiss zu einem ungewollten Datenleck. Apples KI-Assistentin Siri hat aufgrund einer Fehlkonfiguration die Log-in-Daten von Flugbuchungen erfasst und diese Informationen automatisch in die Kalender von Fremden eingetragen. Dieses Problem wurde am 8. April 2024 erkannt und betraf Buchungen, die durch eine bestimmte Sicherheitsschwäche in den Systemen der Airlines zugänglich wurden.

Die betroffenen Daten umfassten nicht nur Flugzeiten und -nummern, sondern auch sensible persönliche Informationen wie den Nachnamen der Passagiere und ihre Buchungscodes – Informationen, die normalerweise streng geschützt sein sollten. Diese Daten reichen aus, um auf der Website oder in der App der Airline Zugriff auf die vollständige Buchung zu erhalten.

Die Swiss bestätigte den Vorfall und erklärte, dass der Fehler, der durch eine manuelle Fehlkonfiguration entstand, schnell behoben wurde. Dennoch könnten die freigegebenen Daten dazu verwendet werden, Flugdetails zu manipulieren, was erhebliche Unannehmlichkeiten und mögliche Kosten für die betroffenen Passagiere verursachen könnte.

Related Posts

Datenpanne nach Hackerangriff auf eSignatur-Dienst HelloSign

Am 24. April wurde Dropbox Sign (ehem. HelloSign), ein Dienst zur digitalen Dokumentensignierung) Opfer eines Hackerangriffs. Eine Untersuchung ergab, dass ein Angreifer Zugang zu sensiblen Kundendaten erlangt hatte, einschließlich E-Mail-Adressen, Benutzernamen, Telefonnummern und gehashten Passwörtern sowie zu bestimmten Authentifizierungsinformationen wie API-Schlüsseln und OAuth-Token.

Read More

Universitätsmedizin Mainz: Hacker veröffentlichen Daten von 280.000 Personen

Laut einem Bericht des SWR wurden bei einem Cyberangriff auf einen IT-Dienstleister der Universitätsmedizin Mainz sensible Daten entwendet und im Darknet veröffentlicht. Betroffen sind die E-Mail-Adressen von 280.000 Personen, die in einem bestimmten Zeitraum E-Mails von oder an die Einrichtung gesendet haben. Die entwendeten Protokollierungsdateien enthalten neben den E-Mail-Adressen auch die Betreffzeilen und Zeitstempel der Kommunikation. Inhalte und Anhänge der E-Mails wurden laut Angaben der Universitätsmedizin nicht kompromittiert. Betroffen sind Emails zwischen dem 1. September 2022 und dem 6. Juni 2023.

Read More

Sicherheitspanne bei Microsoft: interne Passwörter offen im Netz

April 2024: Die Sicherheitsforscher von SOCRadar entdeckten einen öffentlich zugänglichen Speicherserver auf Microsofts Azure-Cloud-Dienst, der interne Informationen in Bezug auf Microsofts Suchmaschine Bing speicherte. Der Azure-Speicherserver enthielt Code, Skripte und Konfigurationsdateien mit Passwörtern, Schlüsseln und Anmeldeinformationen, die Microsoft-Mitarbeiter für den Zugriff auf andere interne Datenbanken und Systeme nutzten. Laut einem Interview mit TechCrunch war das Problem, dass der Speicherserver selbst nicht durch ein Passwort geschützt war und somit von jedermann im Internet eingesehen werden konnte.

Read More