US-Handelsbehörde verklagt Hotelkette wegen Sicherheitslecks

Die US-Handelsaufsicht (FTC) hat die Hotelkette Wyndham und drei ihrer Tochterfirmen wegen massiver Sicherheitslücken verklagt, die offenbar zur Kompromittierung von über 600.000 Bezahlkarten führten. Hacker sollen die Kontodaten auf eine in Russland registrierte Domain kopiert und für betrügerische Transaktionen genutzt haben. Als Ausmaß des Schadens nennt die Behörde 10,6 Millionen US-Dollar (8,5 Millionen Euro).

In der Anklageschrift (PDF-Datei) wird dem Hotelunternehmen vorgeworfen, dass es – anders als seine Datenschutzerklärung suggeriere – äußerst lax mit IT-Sicherheit umgegangen sei. So seien unter anderem auch sensible Zahlungsinformationen als Klartext gespeichert worden, keine Firewalls zum Einsatz gekommen, Default-IDs und Passworte seien nicht ausgetauscht und selbst bereits bekannte Sicherheitslücken nicht behoben worden.

Insgesamt kam es laut FTC in zwei Jahren zu drei schweren Sicherheitslecks. Das erste tat sich im April 2008 auf, als es Hackern gelang, in das lokale Netzwerk des Wyndham-Hotels in Phoenix einzudringen und von dort auf zentrale Server der Hotelkette Zugriff zu nehmen. Im März 2009 konnten Angreifer über einen Administratoren-Account zwei Monate lang ebenfalls auf die zentralen Datenserver zugreifen. Der dritte Hack, wieder über einen kompromittierten Administratoren-Zugang, soll Ende 2009 erfolgt sein.

Gegenüber Cnet äußerte ein Sprecher von Wyndham, dass das Unternehmen seine IT-Sicherheit deutlich verbessert und mit der FTC eng bei der Klärung der Fälle kooperiert habe. Den eigenen Kunden habe man zudem Hilfe bei der Überwachung ihrer Kreditkonten angeboten. Bislang sei dem Unternehmen nicht bekannt geworden, dass Hotelkunden finanzielle Schäden durch die Sicherheitslecks erlitten hätten. (axk)