Frontier Airlines – Verantwortungslos im Internet
Sind Sie jemals mit Frontier Airlines geflogen? Falls ja, sollten Sie den folgenden Text sehr ernst nehmen.
So etwas kann Ihnen mit jedem Onlinedienst passieren, wenn sich Verantwortliche und IT-Mitarbeiter nicht genug mit Datenverarbeitung und den Mechanismen in ihrer Umgebung auskennen.
In diesem Fall ist es weitaus gravierender: Die Fluggesellschaft hat(te) nach Bekanntwerden ihrer Sicherheitslöcher diese selbst nach mehreren Monaten nicht geschlossen und die betroffenen Dienste weiterhin online gehalten (18.06.2026). Am 19.06.2026 berichtete Frontier Airlines über die Beseitigung ihrer Fehlkonfiguration. Inwieweit das zutrifft, wurde bisher nicht überprüft.
Falls Sie sich wundern, weshalb Sie Ihr Passfoto und Ihre personenbezogenen Daten, die Sie bei Frontier Airlines hinterlassen haben, auf Social Media oder an einem anderen Ort finden, können Sie davon ausgehen, dass auch Ihre Daten über diese Fluggesellschaft für jeden zugänglich wurden.
Ein Sicherheitsforscher unter dem Namen BobDaHacker veröffentlichte diese Woche eine detaillierte Analyse, die zeigt, dass Frontiers mobile API und Buchungsverwaltungsseiten die vollständigen persönlichen Daten jedes Passagiers mit Reservierung, Buchungscode, Nachnamen und Weiterem offenlegen.
BobDaHacker meldete die Sicherheitslücke erstmals am 3. März an Frontier. Bis zum 18.6.2026 waren die kritischen Schwachstellen noch immer nicht behoben (105 Tage später)!
Beschreibung:
Frontiers mobiles API-Endpunkt akzeptiert ein sechsstelliges PNR (Passenger Name Record) und einen Nachnamen und liefert ein vollständiges internes Buchungsobjekt, das von jedem Fluggast viele personenbezogene Daten enthält.
• Vollständige Wohnadresse (Straße, Stadt, Bundesstaat, Postleitzahl)
• E-Mail-Adresse
• Telefonnummer
• Geburtsdatum, auch von Minderjährigen
• Vollständige, unmaskierte Passnummer, Ausstellerland und Ablaufdatum
• Reisenummer (TSA PreCheck-Kennung)
• Frontier Miles Loyalitätsnummer
• Kreditkarten-BIN (Bankidentifikationsnummer) (erste 6 Ziffern), letzte 4 Ziffern, Ablaufdatum, Name des Karteninhabers
• Vollständige Rechnungsadresse, Zahlungshistorie mit Autorisierungscodes
Die Offenlegung von Kreditkartennummern ist schlimmer, als es im ersten Moment aussieht. Es werden 10 der insgesamt 16 Nummern angezeigt. Nur 5 Nummern sind nicht zu sehen. Die 16. ist eine Prüfziffer, die aus den ersten 15 berechnet werden kann. Das bedeutet ungefähr 100 000 mögliche Kombinationen für die verbleibenden mittleren Ziffern. Mit der Offenlegung von Name, Ablaufdatum und vollständiger Rechnungsadresse des Karteninhabers (die die AVS-Verifizierung für Transaktionen ohne Karte erfüllen) wird das CVV zur einzigen verbleibenden Sicherheitskontrolle für den Karteninhaber. Mit etwas Feingefühl lassen sich mit diesen Informationen komplette Kartennummern herausfinden.
Über die mobile API hinaus hat BobDaHacker festgestellt, dass die Webseite von Frontier Daten über ihre eigene "Meine Buchung verwalten"-Seite offenlegt. Die Passagiere/Bearbeiten-Seite, die mit demselben PNR und Nachnamen erreichbar ist, zeigt vollständige Passnummern, Geburtsdaten und KTNs an und bettet diese außerdem in einem servergenerierten JSON-Blob in der Seitenquelle ein.
Als Frontier versuchte, ein früheres E-Mail-Leck auf der Seite "Meine Buchung verwalten" zu beheben, wurden zwei neue Schwachstellen eingeführt – eine davon enthüllte auch Telefonnummern. Es gab auch eine vierte Schwachstelle: Einen Endpunkt, der Buchungsdaten ausschließlich aus einem PNR zurückgab, ohne dass ein Nachname erforderlich war. Das hat Frontier tatsächlich behoben.
BobDaHacker hielt sich durchgehend an die übliche Vorgehensweise und informierte die Fluggesellschaft mit einem ersten Bericht am 3. März 2026. Zudem sendete er mehreren Berichte und eine formelle 30-Tage-Frist mit der Aufforderung, die Sicherheitslücken zu schließen, datiert für den 12. 06.2026, die Frontier unbeantwortet ließ. Zum Zeitpunkt des Schreibens hat Frontier keine öffentliche Stellungnahme abgegeben. Das Unternehmen schickte dem Forscher aber ein Modellflugzeug.
Die Fluggesellschaft gibt über ihre Routen-Map-Webseite an, nur im nordamerikanischen Raum zu fliegen. Zu Ihrer Sicherheit empfehle ich Ihnen, dieses Unternehmen zu meiden. Als ich auf den Webseiten von Frontier Airlines nach Unternehmensinformationen recherchierte, wurde ich mit aggressiven Scripten bombardiert.
Zudem muss gesagt werden, dass es bereits in der Vergangenheit unzählige Datendiebstähle bei den unterschiedlichsten Unternehmen gegeben hat, bei denen insgesamt viele Milliarden Datensätze gestohlen wurden. Jeder kann davon ausgehen, dass es dadurch relativ einfach wird, Profile, Kreditkartennummern, Wohnadressen etc. zu komplettieren.
Hier finden Sie genauere Details auf der Webseite bobdahacker
https://bobdahacker.com/blog/frontier-airlines-hack
Berichte über den Sicherheitsverstoß:
https://cybernews.com/security/frontier-airlines-data-breach/
https://www.ibtimes.co.uk/frontier-airlines-security-flaw-exposes-passenger-data-1803725
Bericht über weitere Sicherheitsverstöße bei Airlines:
https://www.forbes.com/sites/suzannerowankelleher/2025/08/08/5-airlines-hacked-air-france-klm-latest-victims/