Sicherheitslücke bei Wizz Air - «Ich konnte die ganze Passagierliste einsehen und bearbeiten»
Publiziert

Sicherheitslücke bei Wizz Air«Ich konnte die ganze Passagierliste einsehen und bearbeiten»

Muhamed Biseri hat vor seinem Flug eine Sicherheitslücke bei Wizz Air entdeckt: Bei der Anmeldung im Online-Portal der Fluggesellschaft erhielt er Zugang zu allen Passagierdaten.

von
Gabriela Graber
Daniel Krähenbühl

Darum gehts

  • Durch eine Sicherheitslücke bei Wizz Air war es jedem Passagier auf einem Flug von Basel nach Nordmazedonien möglich, Buchungen einzusehen und zu bearbeiten.

  • Wer sich eingeloggt hatte, konnte nicht nur persönliche Angaben ändern, sondern etwa auch Flugupgrades buchen, Sitzplatzänderungen vornehmen oder das Geschlecht von Passagieren modifizieren.

  • Es sei denkbar, dass der Vorfall eine Datenschutzverletzung gemäss der europäischen Datenschutz-Grundverordnung darstellt und mit einer Busse bestraft werden könnte, sagt Rechtsanwalt Martin Steiger.

Am Donnerstagmorgen loggte sich Muhamed Biseri (26) in sein Konto der Fluggesellschaft Wizz Air ein. Da er am Freitag einen Flug nach Ohrid in Nordmazedonien gebucht hatte, um seine Grosseltern zu besuchen, wollte er ein letztes Mal die Buchungsdetails einsehen. «Nach dem Login hatte ich gleich Zugriff auf sämtliche Daten aller Passagiere», sagt Biseri. Er hätte sogar die Namen der Passagiere ändern, Sitzplatzänderungen vornehmen und Gepäckstücke hinzufügen oder entfernen können. «So etwas darf nicht passieren», sagt Biseri.

Bereits vor vier Jahren habe er ein ähnliches Problem mit Wizz Air gehabt: «Damals sah ich nach dem Login die Buchungsdaten eines weiteren Passagiers.» Nun handle es sich jedoch nicht um die persönlichen Informationen einer zusätzlichen Person, sondern gleich des ganzen Fliegers, sagt Biseri. «Ich arbeite selbst für eine Versicherung und bin sehr auf Datenschutz-Verletzungen sensibilisiert.»

1 / 1
Muhamed Biseri (hier mit seinem Grossvater) hat die Sicherheitslücke im System von Wizz Air entdeckt. 

Muhamed Biseri (hier mit seinem Grossvater) hat die Sicherheitslücke im System von Wizz Air entdeckt.

Privat

Identischer Buchungscode

Recherchen von 20 Minuten bestätigen die Sicherheitslücke: Wer sich mit den Daten eines Fluggastes ins System von Wizz Air eingeloggt hatte, konnte nicht nur seine persönlichen Angaben ändern, sondern auch jene von Passagieren des gesamten Fluges. So war es etwa auch möglich, ein Flugupgrade zu buchen und gar das Geschlecht von Passagieren zu modifizieren.

Was auffällt: Der Buchungscode, ein sechsstelliger Zeichencode, mit dessen Eingabe und mit jener des Nachnamens man die Buchung überprüfen kann, lautete bei allen Passagieren gleich. Normalerweise sind die Informationen individueller Natur und enthalten persönliche Angaben wie etwa Vor- und Nachnamen, Kontaktangaben, Reise- und Zahlungsinformationen.

Die sogenannten PNR-Daten (Passenger Name Record) dienen den Behörden zur Identifizierung von im polizeilichen Informationssystem registrierten Personen. Eine EU-Richtlinie verpflichtet Fluggesellschaften, den Behörden der Abflug- und Zielorte diese Daten 24 bis 48 Stunden vor der planmässigen Abflugzeit zu übermitteln. Auch Fluggesellschaften, die aus der Schweiz EU-Destinationen anfliegen, müssen die Datensätze weiterleiten. Da Nordmazedonien kein EU-Mitglied ist, ist ein entsprechender Datenaustausch nicht obligatorisch.

Muss Sicherheitslücke gemeldet werden?

Es sei davon auszugehen, dass es sich im vorliegenden Fall um eine Datenpanne handle, sagt Rechtsanwalt und Datenschutz-Experte Martin Steiger. «Dass alle Passagiere den gleichen Buchungscode erhielten, ist problematisch.» So etwas dürfe eigentlich nicht passieren, da die PNR im Normalfall pro Passagier oder im Ausnahmefall pro Reisegruppe vergeben werde. «Da der PNR-Code nicht geheim ist, gibt es aber immer wieder Probleme damit.»

Es sei denkbar, dass der Vorfall eine Datenschutzverletzung gemäss der europäischen Datenschutz-Grundverordnung (DSGVO) darstellt und mit einer Busse bestraft werden könnte, sagt Steiger: «Unter gewissen Bedingungen ist die Fluggesellschaft sogar verpflichtet, die Panne den Datenschutz-Aufsichtsbehörden zu melden.» Nun müsse überprüft werden, ob es sich um einen Einzelfall oder um ein generelles Problem handle. «Ich gehe davon aus, dass die Fluggesellschaft eine allfällige Sicherheitslücke schnellstmöglich beheben und alle betroffenen Personen informieren wird.»

Wizz Air hat auf eine Anfrage von 20 Minuten bis Redaktionsschluss nicht reagiert.

My 20 Minuten

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Deine Meinung

11 Kommentare