Lufthansa-Datenleck: Was eine einzige URL alles über dich verraten kann

Wer nur die URL einer Lufthansa-Buchungsdetailseite kennt, kann alle dort aufgeführten Daten auslesen oder ändern, einschließlich persönlicher Daten bis hin zu Ausweisnummern. Ähnliche Datenlecks gibt es bei Emirates, Foodora und Flixbus.

Local Sheriff Logo

Björn GreifRedakteur

Sie sind ein wenig bekanntes, aber weit verbreitetes Datenschutz- und Sicherheitsproblem: verräterische URLs. Sie erlauben Dritten den Zugang zu Informationen, die Kunden bei Online-Transaktionen an den jeweiligen Anbieter übermitteln. Dazu zählen oft auch vertrauliche persönliche Daten wie Name, Adresse, Telefonnummer, E-Mail-Adresse, Kreditkartendaten, Reisepläne oder sogar Ausweisnummer.

Wenn du online Essen bestellst, Konzertkarten kaufst oder einen Flug buchst, erhältst du meist eine Bestätigungsmail mit einem Link. Dieser bringt dich direkt zur Bestell- oder Buchungsübersicht, ohne dass du dich erneut bei der Seite anmelden musst. Dort kannst du dann deine Bestellung noch einmal prüfen, sie eventuell ändern oder stornieren. Das ist zwar bequem, birgt aber Risiken.

Wie hier bei Lufthansa führen Links in Bestätigungsmails häufig ohne erneute Anmeldung direkt zu einer Übersichtsseite mit allen Buchungsdetails.
Wie hier bei Lufthansa führen Links in Bestätigungsmails häufig ohne erneute Anmeldung direkt zu einer Übersichtsseite mit allen Buchungsdetails.

So kommen Dritte an vertrauliche Bestelldaten

Natürlich geht man davon aus, dass die Informationen auf der Bestellübersichtsseite nur von einem selbst abgerufen werden können. Tatsächlich sind sie jedoch für jeden einsehbar, der Zugriff auf die verlinkte URL, d.h. die Webadresse der persönlichen Bestellübersicht hat. Entweder enthält die URL selbst persönliche Daten wie Name und Adresse oder sie erlaubt dank einer eindeutigen Kennung ohne erneute Anmeldung den Zugang zu der zugehörigen Seite mit allen Informationen. Dadurch kann jeder, der Zugriff auf die URL hat, die Seite einfach öffnen – sei es manuell oder automatisiert – und alle im Rahmen der Online-Transaktion übermittelten persönlichen Daten auslesen, ändern oder löschen.

Die Lufthansa-Buchungsdetailseite verrät Kontaktdaten wie Name, E-Mail-Adresse und Telefonnummer.
Die Lufthansa-Buchungsdetailseite verrät Kontaktdaten wie Name, E-Mail-Adresse und Telefonnummer.

Wahrscheinlich fragst du dich jetzt: „Aber diese Transaktionen erfolgen zwischen mir und der Website bzw. App des Anbieters. Wie erhalten Dritte Zugriff auf diese URLs?“ Hier kommen die Tracking-Skripte von Drittanbietern ins Spiel. E-Commerce-Unternehmen betten solche Skripte etwa zu Analyse- oder Werbezwecken in ihre Websites oder Apps ein. Wenn sie nicht sorgfältig implementiert sind, besteht die Gefahr, dass mehr Daten an Drittanbieter übermittelt werden als nötig. Auf diese Weise kommen Dritte unter anderem an URLs, die zu Buchungsbestätigungen führen, und letztlich an alle darin enthaltenen persönlichen Daten.

Kunden von Lufthansa, Emirates, Foodora und Flixbus betroffen

Wie sorglos manche Unternehmen mit deinen Daten und deiner Privatsphäre umgehen, zeigt sich etwa bei Fluggesellschaften wie Lufthansa. Der Link in der üblichen Buchungsbestätigungsmail führt zu einer Übersichtsseite, über die sich unter anderem die Passagierdaten samt Visa-Informationen und Ausweisnummern ändern lassen, die allesamt unverschlüsselt im Klartext vorliegen. Zusätzlich kann der im Rahmen der Buchung erfolgte Zahlungsverkehr eingesehen und ein Rechnungsbeleg heruntergeladen werden. Auch das Ausdrucken des Reiseplans ist möglich. Wie schon erwähnt, funktioniert all dies, ohne sich zuvor erneut mit Benutzername und Passwort an der Lufthansa-Website anmelden zu müssen – ein Klick auf die URL genügt.

Selbst Ausweisdaten lassen sich auf der Lufthansa-Buchungsdetailseite ohne Authentifizierung einsehen oder sogar ändern.
Selbst Ausweisdaten lassen sich auf der Lufthansa-Buchungsdetailseite ohne Authentifizierung einsehen oder sogar ändern.

Bei der Buchung eines Fluges über Lufthansa fallen zahlreiche Datenpunkte an, die sich auf die Buchung beziehen. Sobald der Nutzer auf „Buchung anzeigen / bearbeiten“ klickt, um einen Sitzplatz für seinen Flug auszuwählen oder online einzuchecken, werden Details seiner Buchung an verschiedene Drittanbieter-Tracker wie Exactag, Webtrends und Google weitergeleitet. Theoretisch können diese Informationen später dazu verwendet werden, um ein detailliertes Profil darüber zu erstellen, welche Websites der Nutzer besucht hat, und diese Person zu identifizieren.

Und Lufthansa ist beileibe kein Einzelfall. Dieses Problem findet sich fast überall, es ist eher die Regel als die Ausnahme. Ähnliches ist beim Lufthansa-Konkurrenten Emirates, dem Essenslieferdienst Foodora und dem Fernbusanbieter Flixbus zu beobachten. Selbst Gesundheits- und Medizinwebsites sind betroffen.

Local Sheriff wacht über deine Daten

Meist sind sich weder die E-Commerce-Unternehmen noch ihre Kunden der potenziellen Datenschutzrisiken bewusst, die von verräterischen URLs ausgehen. Um über das Ausmaß der daraus resultierenden Datenschutzverletzungen aufzuklären, hat Cliqz die Browsererweiterung Local Sheriff entwickelt, die kürzlich auf der Hackerkonferenz Defcon in Las Vegas vorgestellt wurde. Sie analysiert im Hintergrund, welche Websites welche vertraulichen Daten an welche Drittanbieter übermitteln. Das hilft dir, zu verstehen, was Tracking-Unternehmen alles über dich wissen.

Local Sheriff deckt auf, welche Websites welche Daten an welche Dritte in Form von verräterischen URLs übermitteln.
Local Sheriff deckt auf, welche Websites welche Daten an welche Dritte in Form von verräterischen URLs übermitteln.

Local Sheriff überträgt zur Analyse keinerlei Daten über das Internet, sondern arbeitet ausschließlich lokal auf deinem Endgerät – daher der Name. Das Aufklärungstool steht als experimentelle Erweiterung für Chrome zum kostenlosen Download bereit. Der Quellcode ist auf GitHub einsehbar. Ein Demovideo findet sich hier.

Anmerkung: In einer früheren Fassung dieses Blogposts wurde BuySellAds als Drittanbieter-Tracker auf der Lufthansa-Seite aufgeführt. Diese Angabe ist nicht korrekt und basiert auf einem Datenbankfehler, für den wir uns entschuldigen. 


CLIQZ FÜR MOBILE