Login: 
Passwort: 
Neuanmeldung 
Passwort vergessen



Das neue Heft erscheint am 30. März
War früher alles besser?
Frühjahrsflug in die Normandie
EDNY: Slot-Frust und Datenleck
Triebwerksausfall kurz nach dem Start
Der kleine QRH-Bausatz
Unfall: Wer zu oft warnt ...
Engagierter Journalismus aus Sicht des eigenen Cockpits
Engagierter Journalismus aus Sicht des eigenen Cockpits
Sortieren nach:  Datum - neue zuerst |  Datum - alte zuerst |  Bewertung

52 Beiträge Seite 1 von 3

 1 2 3 
 

Unfälle und Zwischenfälle | AERO2024 aero-slot.de Datenschutzverstoß/Pers. Daten öffentlich!  
23. März 2024 12:14 Uhr: Von Theo Voss  Bewertung: +8.00 [8]

Persönlichen Daten wie Passwörter, Benutzernamen, Passagiernamen von aero-slot.de sind einsehbar für jedermann dank eines Konfigurationsfehlers des unterliegenden Shop. Wir - Tobi K. und ich - haben versucht den Flughafen und auch den Betreiber zu erreichen, ohne Erfolg. Ich kann nur abraten sich einzuloggen und sollte das Passwort anderswo in Verwendung sein, dieses dort (nicht bei bei aero-slot.de) zu ändern!

Update: Das Problem wurde behoben nachdem der Shop kurz offline war. Ich kann nur trotzdem empfehlen die Passwörter, sofern woanders genutzt, zu ändern!

Update 26.03.: Das Problem besteht erneut, allerdings nur, wenn eine Exception/Fehlermeldung vorher auftaucht, dann ist der Profiler wieder zugänglich und es können Nutzerdaten eingesehen werden. Danke an Jan Brill für die Meldung an den Betreiber!

23. März 2024 12:18 Uhr: Von Thomas R. an Theo Voss

...und man muss dafür nicht mal ein kleines bisschen von Computern verstehen. Die Symfony-Profiler-Bar (eigentlich ein Debugging-Tool) wird jedem Nutzer angezeigt. Dazu muss man nicht mal eingelogt sein! Unfassbar.

Könnt Ihr das bitte dokumentieren und an den zuständigen Datenschutzbeauftragten melden? Da sind ja die personenbezogenen Daten von uns allen drin.

23. März 2024 12:20 Uhr: Von Theo Voss an Thomas R.

Schon gemacht, dokumentiert und gemeldet. Deine hab ich schon gesehen übrigens, meine auch. Versuche grad verzweifelt jemand zu erreichen, damit das abgestellt wird und es nicht noch schlimmer wird. Bis jetzt ohne Erfolg.

23. März 2024 12:22 Uhr: Von Thomas R. an Theo Voss

Ich hab da gar nicht weitergeschaut als bis zur Startseite vom Profiler, weil ich nicht auf fremde Nutzerdaten zugreifen möchte. Das ist echt der Hammer. Eigentlich ein Fall für eine Strafanzeige.

23. März 2024 12:23 Uhr: Von Tobi K. an Thomas R. Bewertung: +1.00 [1]

ich habe vorhin dort sogar angerufen und versucht die Kritikalität darzulegen und den Geschäftsführer zu erreichen. Da hieß es nur: die Geschäftsführung ist am Wochenende sowieso nicht erreichbar, ich soll bitte eine E-Mail schreiben. Hoffentlich führt Theos oder meine Nachricht zu einer schnellen Beseitigung

23. März 2024 12:27 Uhr: Von Theo Voss an Thomas R.

Datenschutzbeschwerde reicht vermutlich aus, die ermitteln dann von Amtswegen denk ich.

23. März 2024 12:28 Uhr: Von Thomas R. an Theo Voss

Ich hab jetzt mal in meinem Account meine Daten so weit es geht anonymisiert, vielleicht hilft das ja noch etwas.

23. März 2024 12:35 Uhr: Von Theo Voss an Thomas R. Bewertung: +1.00 [1]

Ich hab einen GF der Fairnamic über die Büronummer mit Rufumleitung erreicht und mit Nachdruck auf das Problem hingewiesen. Ich hoffe, die stellen das schnellstmöglich ab, notfalls den ganzen Shop abschalten.

23. März 2024 12:45 Uhr: Von Theo Voss an Theo Voss

Jetzt auch mit dem Projektleiter der AERO telefoniert, zuständig ist der Flughafen, man gibt es weiter.

23. März 2024 12:54 Uhr: Von Joachim P. an Theo Voss

Von Leuten der Agentur leider keine Kontaktdaten zu finden, habe mal über Social Media angeklopft... mal sehen...

23. März 2024 13:24 Uhr: Von Theo Voss an Joachim P. Bewertung: +2.00 [2]

Der Profiler ist deaktiviert, damit kein Zugriff mehr, die Leiste im Footer ist verschwunden. Endlich.

23. März 2024 14:13 Uhr: Von Andreas Nitsche an Theo Voss Bewertung: +1.00 [1]

Hab's gerade alles gelesen und wollte mich gleich bei der Aero vollständig abmelden: geht nicht, stattdessen geht so ne Seite auf, die die Herzen aller Computerkids höher schlagen und bei echten Nerds Goldgräberstimmung aufkommen lässt.

Da isser noch, der "Profiler"
https://aero-slot.de/_profiler/98605d?panel=router

23. März 2024 14:53 Uhr: Von Theo Voss an Andreas Nitsche

Die Website ist aktuell mit Passwort (Basic Auth) versehen und nicht erreichbar, ggf. Browser refreshen.

23. März 2024 14:58 Uhr: Von Andreas Nitsche an Theo Voss Bewertung: +1.00 [1]

Um ca 14:00 konnte ich an all den Profilersymbolen rumspielen, jetzt ist Passwortzugang drübergelegt, aber nur wenn ich spielen möchte.
Entscheidung gegen die Aero in 2024 war also richtig: ich zahle keine 140.- oder so, um erst nachts ne halbe Std erfolglos rumzuprobieren und zu betteln und nun auch noch öffentlich gestellt zu werden.

23. März 2024 15:17 Uhr: Von Michael Söchtig an Andreas Nitsche

Gut dass ihr darauf hinweist. Bei einem Vereinsplatz wäre sowas ja vielleicht noch auf dem kleinen Dienstweg zu klären und abzustellen, wenn aber ein Platz so auf professionell macht, dann aber trotz Hinweis nicht abstellt, ist das m.E. völlig inakzeptabel. Der Hinweis auf Wochenende passt m.E. hier auch nicht, schließlich reden wir hier ja gerade von der Vor-Aero Zeit, bei der dieses Slotsystem eben genau jetzt genutzt wird.

24. März 2024 08:11 Uhr: Von Christoph Stock an Michael Söchtig Bewertung: +1.00 [1]

Kam gerade durch.



Attachments: 3

Image
IMG_3648.png


Image
IMG_3647.png


Image
IMG_3646.png

24. März 2024 09:04 Uhr: Von Wolff E. an Christoph Stock Bewertung: +4.00 [4]

Diese Reaktion ist jetzt überhaupt nicht zu kritisieren. Nach Motto, ging was gehörig schief und lässt sich nicht zurück drehen. Also ganz offen Flucht nach vorne, es bedauern, alles rechtliche in Bewegung setzen und alle Betroffenen warnen.

Es ist sehr ärgerlich, aber ich hege jetzt keinen Groll. Menschen machen Fehler. Um es noch einmal zu sagen, unter dem Strich lief das Programm einwandfrei. Die Anmeldelinks wurden wohl in der zeitlichen Reihenfolge gesendet, wie man sich registriert hatte. Ich hatte mich 2 x registriert, das 2. mal deutlich später und bekam erst viel viel später das Anmelde OK. FIFO also. Und das es rund 400 Konten betroffen hat, zeigt ungefähr das Volumen der Anfragen und Slots. Schätze daher ca 4 IFR und 4 VFR Slots pro Stunde.

Und großen Dank an Theo Voss, der das ganze aufgedeckt und alles in die Wege geleitet hatte...

24. März 2024 09:21 Uhr: Von Yury Zaytsev an Wolff E.

Die Reaktion ist völlig in Ordnung, außer dass ich ein paar Dankesworte an diejenigen erwartet hätte, die es verantwortlich gemeldet haben. Bei allen Themen, bei denen ich mitwirkte, ist es so gelaufen. Bei BigTech (oder gerade bei BigTech?) kein Problem. Wobei vielleicht war es nicht gewollt, aber kann man auch hier Danke sagen.

24. März 2024 09:32 Uhr: Von Wolff E. an Yury Zaytsev

Yury, es kann doch gut sein, das z.B. Theo ein direktes Schreiben bekommen hat und wir von dem nichts wissen.

24. März 2024 15:23 Uhr: Von Theo Voss an Wolff E. Bewertung: +2.00 [2]

Mail hab ich auch nur die bekommen, die ihr auch habt - am Telefon haben sich aber alle für die Meldung bedankt.

24. März 2024 15:51 Uhr: Von Jan R.oth an Theo Voss

Habe bis jetzt keine Email, war aber auch nur Freitag morgens eingeloggt. Der Zeitraum war ja erst ab Mittags!?

26. März 2024 19:33 Uhr: Von Theo Voss an Jan R.oth

Update 26.03.: Das Problem besteht erneut, allerdings nur, wenn eine Exception/Fehlermeldung vorher auftaucht, dann ist der Profiler wieder zugänglich und es können Nutzerdaten eingesehen werden. Danke an Jan Brill für die Meldung an den Betreiber!

26. März 2024 20:19 Uhr: Von Jan Brill an Theo Voss Bewertung: +1.00 [1]

Ja, das Problem besteht bzw. bestand tatsächlich in abgewandelter Form immer noch. Beim Versuch die Daten der Insassen meines Arrival-Slots einzugeben trat irgendein Fehler auf. Offenbar springt die Server-Software bei einem Fehler in die Entwicklungsinstanz, die bis eben noch frei zugänglich war (jetzt nicht mehr). Erkennbar ist das nur an der abgewandelten URL. Wenn man dann die Anmeldedaten erneut eingibt stehen diese wieder öffentlich im Profiler.

Jemand der Interesse an Benutzernamen und Passwörtern hat braucht sich nur ein paar Tage oder Stunden hier auf die Lauer zu legen und die Login-Versuche abzufangen. Klassisches Phishing-Szenario...

Scheint vom Umfang her deutlich weniger zu sein als Leck #1, aber es sind echte Nutzerdaten und Passwörter einsehbar.

Ich kann aktuell nur jedem Nutzer von dem Besuch der Plattform abraten. Bei einer Exception in die ungeschützte (!!) Entwicklungsinstanz zu springen ist wirklich ein NO-NO aus der 1. Klasse WebDev-Grundkurs.

Beim verantwortlichen IT-Dienstleister scheint jede Methodik zur Absicherung der Anwendung zu fehlen im Moment. Wenn ich das Projekt in meiner Verantwortung hätte würde ich es sofort dicht machen und einem neuen Team geben.

Inzwischen macht sich auch die ausländische Presse über die AERO lustig. Wirklich schade, der Messeveranstalter kann am wenigsten dafür im Moment.

Jan



1 / 1

Screenshot2024-03-26at18.03.51.jpg

Frei zugänglich und mittels redirect sogar hingebracht: Die Entwicklungsinstanz der Slot-Software mit Profiler und Daten!
26. März 2024 20:57 Uhr: Von Theo Voss an Jan Brill Bewertung: +1.00 [1]

Wirklich schade, der Messeveranstalter kann am wenigsten dafür im Moment.

Das kann ich nur bestätigen, die Geschäftsführung von fairnamic, die zwar die Messe organisiert, aber für die Slot Buchung nicht verantwortlich ist (das ist der Flughafen), waren die einzigen, die ich am Wochenende erreichen konnte und die sich prompt gekümmert haben (Weiterleitung der Meldung an Flughafen und IT-Dienstleister).

27. März 2024 00:34 Uhr: Von Patrick Lean Hard an Theo Voss Bewertung: +8.00 [8]

Wenn ich ein Konzert besuchen möchte, mir ein Ticket gekauft habe und dann nicht auf den Parkplatz zufahren kann weil der Computer der den Schranken steuert überlastet ist, dann ist dies auch dem Veranstalter des Konzerts zuzuschreiben, nicht der Billig-Subfirma die sich um Parktickets kümmert.

Die Messe FDH hat doch Gewicht. Wer zahlt (bzw. das Geld bringt) schafft an. Als Messe würde ich dies den Behörden und dem Flughafen eindrücklich vermitteln. Sobald es um Wertschöpfung und Arbeitsplätze geht, geht aucj politisch was weiter. Das ist jedenfalls besser als dieses peinliche Theater welches wirklich kein gutes Licht auf den Standort Deutschland wirft.

Flug-Messe? Ja!

Ist dort ein Flughafen? Ja.

Kann man zur Messe fliegen? Nein, das geht nicht, irgendeine Provinzbehörde redet was von mehr Toiletten am Tower!

Ok, wie können wir das lösen? In dem keiner hinfliegt. Wir haben da so einen Trick. Nennt sich "Aero-Slot".


52 Beiträge Seite 1 von 3

 1 2 3 
 

Home
Impressum
© 2004-2024 Airwork Press GmbH. Alle Rechte vorbehalten. Vervielfältigung nur mit Genehmigung der Airwork Press GmbH. Die Nutzung des Pilot und Flugzeug Internet-Forums unterliegt den allgemeinen Nutzungsbedingungen (hier). Es gelten unsere Datenschutzerklärung unsere Allgemeinen Geschäftsbedingungen (hier). Kartendaten: © OpenStreetMap-Mitwirkende, SRTM | Kartendarstellung: © OpenTopoMap (CC-BY-SA) Hub Version 14.22.03
Zur mobilen Ansicht wechseln
Seitenanfang