Domain-Konten des British Airways Vielflieger Programms gehackt
Der Airways Executive Club AVIOS ist das internationale Vielfliegerprogramm der Fluggesellschaft British Airways. Die Teilnehmer des Programms verwalten ihre Konten mit den Bonusmeilen in der Regel online.
Jetzt teilte British Airways den Mitgliedern des Clubs mit, dass ein „unautorisierter Zugriff auf die Club Account-Domain“ stattgefunden hat. Die britische Fluggesellschaft wurde darüber angeblich von Dritten informiert, deren Identität das Unternehmen aber in der Mail nicht preisgab.
Die Domainhacker wollten Bonusmeilen stehlen
Anscheinend hatten es die Domain-Hacker auf die Bonusmeilen der Mitglieder abgesehen. Der Zugang erfolgte angeblich über einen Automatismus, der laut Guardian mehrere Zehntausend Konten des Programms infiltrierte.
British Airways reagierte sofort nach Eingang der Information und setzte sowohl Domain-Passwörter als auch Bonusmeilen zurück bzw. auf Null. Auf Nachfragen teilte die Fluggesellschaft mit, dass kein Zugriff auf Kreditkartendaten oder Reiseverläufe bzw. -historien stattgefunden hat.
Ob Bonusmeilen entwendet wurden, ist bisher nicht bekannt und das Unternehmen hält sich mit dem Verweis auf laufenden Untersuchungen mit Statements zu dem Domain-Hack zurück. Allerdings hat ein AVIOS Mitglied in einem Domain-Online-Forum berichtet, dass einige seiner Bonusmeilen von unbekannten Personen für eine Hotelbuchung verwendet wurden und er nicht darüber informiert worden sein.
British Airways will den Bonusmeilen Status für alle Mitglieder nach Abschluss der Untersuchungen wieder herstellen und bittet darum, neue Passwörter für den AVIOS-Domain-Zugang zu erstellen. Den Zugriff auf Bonusmeilen bekommen die AVIOS-Mitglieder derzeit nur telefonisch und nach der Beantwortung von diversen Sicherheitsfragen.
Meinung von Domainschmalltalk
Bisher konnten die IT-Spezialisten, die für British Airways das Domainhacking untersuchen, die Ausgangsorte nicht feststellen. Im ungünstigsten Fall erfolgte der Angriff aus Quellen, die weitere Hacks nach sich ziehen könnten. Deshalb ist es wichtig, dass die Betroffenen auch Passwörter für alle anderen Konten ändern. Sie sollten für jedes Konto ein anderes Passwort verwenden. Sichere Domain-Passwörter kann man selbst, oder aber über einen der modernen Passwortmanager generieren.