Spenden

Dieser Artikel ist mehr als 16 Jahre alt.

Update zum Datenleck bei Ruf-Jugendreisen

Die Firma Ruf hat sich jetzt öffentlich zu ihrem Datenleck geäussert und sich bei unserer Quelle für die Informationen zur Sicherung der Daten bedankt: RUF verbessert Sicherheitsstandards. Etwas dumm gelaufen ist wohl der Hinweis, dass davon natürlich keine sensitiven Daten betroffen waren*: Betroffen waren lediglich die Profildaten der Community-Nutzer, die weder Anschrift, Telefonnummer, Reisedaten oder…

  • Markus Beckedahl
Markus Beckedahl

Die Firma Ruf hat sich jetzt öffentlich zu ihrem Datenleck geäussert und sich bei unserer Quelle für die Informationen zur Sicherung der Daten bedankt: RUF verbessert Sicherheitsstandards. Etwas dumm gelaufen ist wohl der Hinweis, dass davon natürlich keine sensitiven Daten betroffen waren*:

Betroffen waren lediglich die Profildaten der Community-Nutzer, die weder Anschrift, Telefonnummer, Reisedaten oder Kontoverbindungen enthalten. Bei diesen Aktivitäten waren zu keinem Zeitpunkt unsere aktuellen Kunden- oder Buchungsdaten in Gefahr bzw. betroffen.

Stimmt. Bei den von uns veröffentlichten Informationen war vom Buchungssystem noch keine Rede. Aber eine Heise-Security-Meldung von heute hat neue Informationen, die das Statement von Ruf wieder etwas obsolet machen:

Der Reiseveranstalter Ruf-Jugendreisen hatte nicht nur Sicherheitsprobleme mit seiner Online-Community, sondern auch in seinem Buchungssystem. Durch Angabe einer einfachen URL mit einer gültigen System-ID war es für jedermann möglich, ohne Login die Buchungsreservierungen einzusehen, wie heise Security in einem kurzen Test mit mehreren Buchungen nachvollziehen konnte.

*Wobei ich ich frage, ob die mir zugeschickte Datenbank nur lauter Fake-Profiladressdaten enthielt. Kann ich mir nicht vorstellen.

Über die Autor:innen

  • Markus Beckedahl
    Darja Preuss
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

Veröffentlicht

Kategorie

Schlagwörter

, ,

Weiterlesen

Thema

Datenschutz

Thema

Datenleck

Thema

Datenschutz

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

8 Kommentare zu „Update zum Datenleck bei Ruf-Jugendreisen“

  1. Simon

    ,

    Ist doch immer so ;)

    Es wurden NIEMALS persönliche/sensitive Daten entwendet/korrupiert/etc.

    Es bestant NIEMALS eine Gefahr für die Bevölkerung.

    Natürlich sind die „Chefs“ zutiefest betroffen und bedauern den „Vorfall“.

    Es wird stets Besserung gelobt und soll sich nicht wiederholen.

    Dann wird eventuell sicherheitshalber die Justizkeule geschwungen und das wars. Groß ändern muss man dann ja nichts mehr.

    Die Unternehmen wollen doch eh nichts ändern/bessern, die wollen Geld und das wars. Die Nutzer/Kunden werden kurz verarscht, freuen sich wie sehr sich die Unternehmen „bemühen“ und dann bleibt alles beim Alten.

    Wo ist eigentlich die Politik? Es geht doch um Kinder/Jugendliche! Wo ist der Aufschrei? Die Kinderdaten, bzw. Jugendlichendaten könnten durchs Internet kursieren und das darf kein rechtsfreier Raum sein! — Achso, sorry, die haben ja keine Lobby…

  2. julian

    ,

    Äh ich kenne mich leider nicht mit Microsoft IIS aus, aber laut Header von http://www.ruf-jugendreisen.de/:

    Server: Microsoft-IIS/5.0

    Das ist doch schon etwas angestaubt, oder?

  3. Datenleck.net

    ,

    RUF Community offen…

    Wie Netzpolitik.org berichtet, hatte die Community — sie wurde inzwischen aus dem Netz genommen — eklatante Sicherheitslücken, weshalb es für Ottonormalhacker problemlos möglich war Profildaten der Jugendlichen einzusehen und zu kopieren.…

  4. » Sicherheitsleck bei RufInfos zu Jugendreisen: Jugendreise.org

    ,

    […] Netzpolitik.org – Update zum Datenleck bei Ruf […]

  5. Micha

    ,

    Die Pressemitteilung von RUF ist einfach nur ein deutlicher Hinweis auf die Art und Weise, wie der Umgang in dieser Firma gepflegt wird. Erst war der aufdeckende Internetfreak der Böse und es wurde mit Strafanzeige gedroht – dann auf einmal ist er der Gute und wird gelobt und sich bedankt. Natürlich hat dies absolut gar nichts mit den Reaktionen auf die Arroganz von RUF zu tun. Nein – auf einmal und ganz plötzlich hat man es eingesehen. Lächerlich.
    Der neuerliche Datenskandal zeigt doch eindeutig worauf es ankommt: Tarnen, täuschen und vertuschen was irgendwie geht. Die Community – im Grunde nicht mehr als eine Adresssammlung für Werbezwecke – wird zum Bummerang der Überheblichkeit. Irgendwie passend, dass sich der Marketing Chef von RUF in seinem Blog selbst als IT Fachmann bezeichnet. Respekt vor so viel Sachverstand.…

    Micha

  6. Dingens2

    ,

    Das wird ja immer lustiger…
    http://www.nw-news.de/lokale_news/bielefeld/bielefeld/3346136_Online-Community_von_Ruf_Jugendreisen_gehackt.html

    „Dabei seien zu keiner Zeit sensible Daten der Forumsnutzer in Gefahr gewesen. „Der Hacker hatte lediglich die Möglichkeit, sich die Profile der Mitglieder anzusehen, die ohnehin öffentlich zugänglich sind“, erklärt Sölter.“

  7. Links 2 | JZDMs Blog

    ,

    […] Datenleck bei Ruf-Jugendreisen und eine Reaktion von Ruf-Jugendreisen […]

  8. Dingens

    ,

    > Wobei ich ich frage, ob die mir zugeschickte Datenbank nur lauter Fake-Profiladressdaten enthielt. Kann ich mir nicht vorstellen.
    Das lässt sich doch sehr einfach mit einem Telefonbuch überprüfen.

Dieser Artikel ist älter als 16 Jahre, daher sind die Ergänzungen geschlossen.