|
52 Beiträge Seite 1 von 3
1 2 3 |
⇢
⇥
|
|
|
|
Persönlichen Daten wie Passwörter, Benutzernamen, Passagiernamen von aero-slot.de sind einsehbar für jedermann dank eines Konfigurationsfehlers des unterliegenden Shop. Wir - Tobi K. und ich - haben versucht den Flughafen und auch den Betreiber zu erreichen, ohne Erfolg. Ich kann nur abraten sich einzuloggen und sollte das Passwort anderswo in Verwendung sein, dieses dort (nicht bei bei aero-slot.de) zu ändern!
Update: Das Problem wurde behoben nachdem der Shop kurz offline war. Ich kann nur trotzdem empfehlen die Passwörter, sofern woanders genutzt, zu ändern!
Update 26.03.: Das Problem besteht erneut, allerdings nur, wenn eine Exception/Fehlermeldung vorher auftaucht, dann ist der Profiler wieder zugänglich und es können Nutzerdaten eingesehen werden. Danke an Jan Brill für die Meldung an den Betreiber!
|
|
|
...und man muss dafür nicht mal ein kleines bisschen von Computern verstehen. Die Symfony-Profiler-Bar (eigentlich ein Debugging-Tool) wird jedem Nutzer angezeigt. Dazu muss man nicht mal eingelogt sein! Unfassbar.
Könnt Ihr das bitte dokumentieren und an den zuständigen Datenschutzbeauftragten melden? Da sind ja die personenbezogenen Daten von uns allen drin.
|
|
|
Schon gemacht, dokumentiert und gemeldet. Deine hab ich schon gesehen übrigens, meine auch. Versuche grad verzweifelt jemand zu erreichen, damit das abgestellt wird und es nicht noch schlimmer wird. Bis jetzt ohne Erfolg.
|
|
|
Ich hab da gar nicht weitergeschaut als bis zur Startseite vom Profiler, weil ich nicht auf fremde Nutzerdaten zugreifen möchte. Das ist echt der Hammer. Eigentlich ein Fall für eine Strafanzeige.
|
|
|
ich habe vorhin dort sogar angerufen und versucht die Kritikalität darzulegen und den Geschäftsführer zu erreichen. Da hieß es nur: die Geschäftsführung ist am Wochenende sowieso nicht erreichbar, ich soll bitte eine E-Mail schreiben. Hoffentlich führt Theos oder meine Nachricht zu einer schnellen Beseitigung
|
|
|
Datenschutzbeschwerde reicht vermutlich aus, die ermitteln dann von Amtswegen denk ich.
|
|
|
Ich hab jetzt mal in meinem Account meine Daten so weit es geht anonymisiert, vielleicht hilft das ja noch etwas.
|
|
|
Ich hab einen GF der Fairnamic über die Büronummer mit Rufumleitung erreicht und mit Nachdruck auf das Problem hingewiesen. Ich hoffe, die stellen das schnellstmöglich ab, notfalls den ganzen Shop abschalten.
|
|
|
Jetzt auch mit dem Projektleiter der AERO telefoniert, zuständig ist der Flughafen, man gibt es weiter.
|
|
|
Von Leuten der Agentur leider keine Kontaktdaten zu finden, habe mal über Social Media angeklopft... mal sehen...
|
|
|
Der Profiler ist deaktiviert, damit kein Zugriff mehr, die Leiste im Footer ist verschwunden. Endlich.
|
|
|
Hab's gerade alles gelesen und wollte mich gleich bei der Aero vollständig abmelden: geht nicht, stattdessen geht so ne Seite auf, die die Herzen aller Computerkids höher schlagen und bei echten Nerds Goldgräberstimmung aufkommen lässt.
Da isser noch, der "Profiler" https://aero-slot.de/_profiler/98605d?panel=router
|
|
|
Die Website ist aktuell mit Passwort (Basic Auth) versehen und nicht erreichbar, ggf. Browser refreshen.
|
|
|
Um ca 14:00 konnte ich an all den Profilersymbolen rumspielen, jetzt ist Passwortzugang drübergelegt, aber nur wenn ich spielen möchte. Entscheidung gegen die Aero in 2024 war also richtig: ich zahle keine 140.- oder so, um erst nachts ne halbe Std erfolglos rumzuprobieren und zu betteln und nun auch noch öffentlich gestellt zu werden.
|
|
|
Gut dass ihr darauf hinweist. Bei einem Vereinsplatz wäre sowas ja vielleicht noch auf dem kleinen Dienstweg zu klären und abzustellen, wenn aber ein Platz so auf professionell macht, dann aber trotz Hinweis nicht abstellt, ist das m.E. völlig inakzeptabel. Der Hinweis auf Wochenende passt m.E. hier auch nicht, schließlich reden wir hier ja gerade von der Vor-Aero Zeit, bei der dieses Slotsystem eben genau jetzt genutzt wird.
|
|
|
|
|
|
|
Diese Reaktion ist jetzt überhaupt nicht zu kritisieren. Nach Motto, ging was gehörig schief und lässt sich nicht zurück drehen. Also ganz offen Flucht nach vorne, es bedauern, alles rechtliche in Bewegung setzen und alle Betroffenen warnen.
Es ist sehr ärgerlich, aber ich hege jetzt keinen Groll. Menschen machen Fehler. Um es noch einmal zu sagen, unter dem Strich lief das Programm einwandfrei. Die Anmeldelinks wurden wohl in der zeitlichen Reihenfolge gesendet, wie man sich registriert hatte. Ich hatte mich 2 x registriert, das 2. mal deutlich später und bekam erst viel viel später das Anmelde OK. FIFO also. Und das es rund 400 Konten betroffen hat, zeigt ungefähr das Volumen der Anfragen und Slots. Schätze daher ca 4 IFR und 4 VFR Slots pro Stunde.
Und großen Dank an Theo Voss, der das ganze aufgedeckt und alles in die Wege geleitet hatte...
|
|
|
Die Reaktion ist völlig in Ordnung, außer dass ich ein paar Dankesworte an diejenigen erwartet hätte, die es verantwortlich gemeldet haben. Bei allen Themen, bei denen ich mitwirkte, ist es so gelaufen. Bei BigTech (oder gerade bei BigTech?) kein Problem. Wobei vielleicht war es nicht gewollt, aber kann man auch hier Danke sagen.
|
|
|
Yury, es kann doch gut sein, das z.B. Theo ein direktes Schreiben bekommen hat und wir von dem nichts wissen.
|
|
|
Mail hab ich auch nur die bekommen, die ihr auch habt - am Telefon haben sich aber alle für die Meldung bedankt.
|
|
|
Habe bis jetzt keine Email, war aber auch nur Freitag morgens eingeloggt. Der Zeitraum war ja erst ab Mittags!?
|
|
|
Update 26.03.: Das Problem besteht erneut, allerdings nur, wenn eine Exception/Fehlermeldung vorher auftaucht, dann ist der Profiler wieder zugänglich und es können Nutzerdaten eingesehen werden. Danke an Jan Brill für die Meldung an den Betreiber!
|
|
|
Ja, das Problem besteht bzw. bestand tatsächlich in abgewandelter Form immer noch. Beim Versuch die Daten der Insassen meines Arrival-Slots einzugeben trat irgendein Fehler auf. Offenbar springt die Server-Software bei einem Fehler in die Entwicklungsinstanz, die bis eben noch frei zugänglich war (jetzt nicht mehr). Erkennbar ist das nur an der abgewandelten URL. Wenn man dann die Anmeldedaten erneut eingibt stehen diese wieder öffentlich im Profiler.
Jemand der Interesse an Benutzernamen und Passwörtern hat braucht sich nur ein paar Tage oder Stunden hier auf die Lauer zu legen und die Login-Versuche abzufangen. Klassisches Phishing-Szenario...
Scheint vom Umfang her deutlich weniger zu sein als Leck #1, aber es sind echte Nutzerdaten und Passwörter einsehbar.
Ich kann aktuell nur jedem Nutzer von dem Besuch der Plattform abraten. Bei einer Exception in die ungeschützte (!!) Entwicklungsinstanz zu springen ist wirklich ein NO-NO aus der 1. Klasse WebDev-Grundkurs.
Beim verantwortlichen IT-Dienstleister scheint jede Methodik zur Absicherung der Anwendung zu fehlen im Moment. Wenn ich das Projekt in meiner Verantwortung hätte würde ich es sofort dicht machen und einem neuen Team geben.
Inzwischen macht sich auch die ausländische Presse über die AERO lustig. Wirklich schade, der Messeveranstalter kann am wenigsten dafür im Moment.
Jan
|
|
|
|
Wirklich schade, der Messeveranstalter kann am wenigsten dafür im Moment.
Das kann ich nur bestätigen, die Geschäftsführung von fairnamic, die zwar die Messe organisiert, aber für die Slot Buchung nicht verantwortlich ist (das ist der Flughafen), waren die einzigen, die ich am Wochenende erreichen konnte und die sich prompt gekümmert haben (Weiterleitung der Meldung an Flughafen und IT-Dienstleister).
|
|
|
Wenn ich ein Konzert besuchen möchte, mir ein Ticket gekauft habe und dann nicht auf den Parkplatz zufahren kann weil der Computer der den Schranken steuert überlastet ist, dann ist dies auch dem Veranstalter des Konzerts zuzuschreiben, nicht der Billig-Subfirma die sich um Parktickets kümmert.
Die Messe FDH hat doch Gewicht. Wer zahlt (bzw. das Geld bringt) schafft an. Als Messe würde ich dies den Behörden und dem Flughafen eindrücklich vermitteln. Sobald es um Wertschöpfung und Arbeitsplätze geht, geht aucj politisch was weiter. Das ist jedenfalls besser als dieses peinliche Theater welches wirklich kein gutes Licht auf den Standort Deutschland wirft.
Flug-Messe? Ja!
Ist dort ein Flughafen? Ja.
Kann man zur Messe fliegen? Nein, das geht nicht, irgendeine Provinzbehörde redet was von mehr Toiletten am Tower!
Ok, wie können wir das lösen? In dem keiner hinfliegt. Wir haben da so einen Trick. Nennt sich "Aero-Slot".
|
|
|
|
52 Beiträge Seite 1 von 3
1 2 3 |
⇢
⇥
|
|