Von Leuten der Agentur leider keine Kontaktdaten zu finden, habe mal über Social Media angeklopft... mal sehen...

Danke für die Erklärung. War mir so nicht bewusst. Wieder was gelernt.

Jetzt auch mit dem Projektleiter der AERO telefoniert, zuständig ist der Flughafen, man gibt es weiter.

Herzlichen Glückwunsch erstmal:)

hast du nur die BIR prüfungsfragen in AVExam gelernt oder auch welche aus anderen Bereichen ?

fliegerische Grüße

Ich hab einen GF der Fairnamic über die Büronummer mit Rufumleitung erreicht und mit Nachdruck auf das Problem hingewiesen. Ich hoffe, die stellen das schnellstmöglich ab, notfalls den ganzen Shop abschalten.

Ich hab jetzt mal in meinem Account meine Daten so weit es geht anonymisiert, vielleicht hilft das ja noch etwas.

Datenschutzbeschwerde reicht vermutlich aus, die ermitteln dann von Amtswegen denk ich.

ich habe vorhin dort sogar angerufen und versucht die Kritikalität darzulegen und den Geschäftsführer zu erreichen. Da hieß es nur: die Geschäftsführung ist am Wochenende sowieso nicht erreichbar, ich soll bitte eine E-Mail schreiben. Hoffentlich führt Theos oder meine Nachricht zu einer schnellen Beseitigung

Ich hab da gar nicht weitergeschaut als bis zur Startseite vom Profiler, weil ich nicht auf fremde Nutzerdaten zugreifen möchte. Das ist echt der Hammer. Eigentlich ein Fall für eine Strafanzeige.

Schon gemacht, dokumentiert und gemeldet. Deine hab ich schon gesehen übrigens, meine auch. Versuche grad verzweifelt jemand zu erreichen, damit das abgestellt wird und es nicht noch schlimmer wird. Bis jetzt ohne Erfolg.

...und man muss dafür nicht mal ein kleines bisschen von Computern verstehen. Die Symfony-Profiler-Bar (eigentlich ein Debugging-Tool) wird jedem Nutzer angezeigt. Dazu muss man nicht mal eingelogt sein! Unfassbar.

Könnt Ihr das bitte dokumentieren und an den zuständigen Datenschutzbeauftragten melden? Da sind ja die personenbezogenen Daten von uns allen drin.

Hab das mal in einen sep. Thread gezogen, sonst sieht das hier wohl nicht jeder:

https://www.pilotundflugzeug.de/forum/2024,03,23,12,1443775

Persönlichen Daten wie Passwörter, Benutzernamen, Passagiernamen von aero-slot.de sind einsehbar für jedermann dank eines Konfigurationsfehlers des unterliegenden Shop. Wir - Tobi K. und ich - haben versucht den Flughafen und auch den Betreiber zu erreichen, ohne Erfolg. Ich kann nur abraten sich einzuloggen und sollte das Passwort anderswo in Verwendung sein, dieses dort (nicht bei bei aero-slot.de) zu ändern!

Update: Das Problem wurde behoben nachdem der Shop kurz offline war. Ich kann nur trotzdem empfehlen die Passwörter, sofern woanders genutzt, zu ändern!

Update 26.03.: Das Problem besteht erneut, allerdings nur, wenn eine Exception/Fehlermeldung vorher auftaucht, dann ist der Profiler wieder zugänglich und es können Nutzerdaten eingesehen werden. Danke an Jan Brill für die Meldung an den Betreiber!

Persönliche Daten wie E-Mail-Adressen, Namen, IPs, etc. sind öffentlich. Passwörter auch, jetzt gefunden. Was ein Skandal.

Wenn man weiß, dass die Formulare auf eine laaaangen Seite mit Aktuellen Nachtichten ganz unten kommen, klappt das schon mit der Navigation. Viele geben beim Scrollen auf, wie kann man ahnen, dass unter 30 aktuellen Nachrichten noch wichtige Themen komme. Wenn Du die Volltextsuche auf der Seite nutzt, ist das ja auch ein Anzeichen dafür, dass es nicht intuitiv zu finden ist. Also machen wir beide das genau gleich, ich nutze nur einen anderen Anbieter für die Suche. Am Ende will ich aber nicht beweisen, dass die Navigation beim LBA funktioniert, sonder nich will in 3 Sekunden mein Formular haben. Die zweite Hälfte Deiner Nachricht hat nichts mit dem Thema Homepage zu tun. Ich war fast immer zufrieden mit der Lizenzbearbeitung über Email.

Hab ich noch nicht gemessen. Früher durften es bis zu 1000 ppm sein, aber jetzt bei Euro 6 bestimmt nicht mehr. Mal googeln. Auf jeden Fall hält kein Kat seine Qualität übers ganze Autoleben.

Wenn du weißt wo, leider schon (es werden ja auch alle POST-Requests getracked... :-(

Der Symfony Profiler scheint auch anfällig für diverse Angriffe zu sein, vielleicht kannst du dir den IFR Slot direkt in die Datenbank eintragen. Die Datenbank-Zugangsdaten sind auch veröffentlicht, aber ich hoffe, dass die DB nicht "von außen" erreichbar ist.

Ja, Katastrophe, hab mal ein paar Screenshots gemacht. Kannst dir alle Sessions mit Details angucken. Passwörter sind aber nicht Klartext.

Ich hab mir das nicht im Detail angesehen, aber in jedem Fall wird eine Software basierend auf dem PHP-Framework Symfony genutzt. Es sind einige Shopware-Module geladen, denke es handelt sich um Shopware. Laut Impressum wird das Ganze gepflegt von ww.lottaleben.de

Von wem stammt die Software denn nun?

Tja, ist halt niocht jeder so ein Schlaumeier :-) Das Suchfeld habe ich tatsächlich nicht ausprobiert!

Man würde erwarten, dass man die Formulare unter dem Punkt "Lizenzierung" irgendwo findet.

Kommt eigentlich bei einem modernen PKW Benziner hinter dem Katalysator noch CO in gefährlichen Mengen raus? Nicht dass ich es ausprobieren würde, aber in den 70er und 80ern war das ja ein echtes Problem in Garagen.

Ich mache auch keine Steigflüge LOP, sie sind aber prinzipiell zB mit der SR22T möglich. Mit der NA eher nicht.

Im Reiseflug bei Lean of Peak-Betrieb entsteht kein nennenswertes CO, das ist seit langem bekannt. Artiel dazu lassen sich überall finden.

Ich benutze einen digitalen CO-Monitor von Honeywell. 1 x aktivieren und dann 24 Monate Lebensdauer, im Sonderangebot für ca. € 100 zu finden. Ich will auch keine Haushaltsgeräte im Flugzeug :-)

Mein Examiner ist TOP, erste Klasse. Aus Zeitgründen habe ich das Ausfüllen des Antrags übernommen.

Die Stümper haben es doch jetzt tatsächlich geschafft, einen fetten Security Incident zu verursachen, einschließlich der Veröffentlichung von jeder Menge personenbezogenen Daten wie Usernames und Passwörter (einschließlich meiner eigenen).

Bitte meldet euch dort nicht an, insbesondere nicht mit Zugangsdaten, die ihr auch woanders nutzt.

Ich habe gerade mal angerufen, Geschäftsführung ist am Wochenende "sowieso nicht erreichbar" und welcher Dienstleister die Seite verwaltet, weiß man auch nicht :-D

Für technisch interessierte: die Seite basiert auf Symfony (oder shopware, was wiederum auf Symfony basiert) und es hat jemand vermutlich versehentlich die Entwicklungsumgebung auf die Produktivumgebung veröffentlicht, was dafür sorgt, dass man sich in aller Seelen Ruhe die Sessions einschließlich personenbezogener Daten wie Nutzername und PW ansehen kann... Im Screenshot sieht man den Symfony Profiler, über den man jede Menge interessante Dinge abrufen kann. Mail an die Geschäftsführung ist raus, das wird interessant :-(