Marriott-Hack: Weniger Kunden betroffen, aber viele Daten unverschlüsselt
Bei der Hotelkette Marriott wurden Ende 2018 weniger Kundendaten kopiert als befürchtet. Aber manche Pass- und Kreditkartennummern waren nicht verschlüsselt.
Eine der betroffenen Marriott-Hotelketten ist Westin.
(Bild: Marriott)
Der US-Hotelkonzern Marriott hat mehr Details zum Hack seiner Kundendaten vom vergangenen November genannt. Demnach sind zwar weniger Hotelgäste betroffen als die ursprünglich befürchteten 500 Millionen, aber einige vertrauliche Daten wie Pass- und Kreditkartennummern waren unverschlüsselt.
Unverschlüsselte Passnummern
Wie der Konzern am Freitag mitteilte, sind nach Auswertung des Vorfalls höchstens 383 Millionen Datensätze von Hotelgästen betroffen. Allerdings dürften es weniger Personen sein, da ein Gast bei mehrfachen Übernachtungen mit mehreren Datensätzen in der Datenbank auftauche, ohne dass das Unternehmen dies zuordnen könne. Bereits im November 2018 war beim Eingeständnis, dass Dritte unerlaubt auf die Reservierungsdatenbank der Marriott-Tochterfirma Starwood zugegriffen hätten, auch von den besonders schutzbedürftigen Passnummern die Rede – dazu teilte Marriott ebenfalls Neues mit: Demnach sind etwa 5,25 Millionen unverschlüsselte und etwa 20,3 Millionen verschlüsselte Passnummern von Unbefugten eingesehen worden. Man habe keine Hinweise darauf gefunden, dass der Master-Key zum Entschlüsseln ebenfalls kopiert worden sei. Warum einige Passnummern nicht verschlüsselt waren, erklärte die Firma nicht.
Starwood-Datenbank inzwischen offline
Außerdem seien etwa 8,6 Millionen verschlüsselte Kreditkartennummern betroffen, von denen jedoch im September (dem spätesten Zeitpunkt für betroffene Hotelbuchungen) lediglich noch etwa 345.000 gültig gewesen seien. Auch in diesem Fall sollen die Angreifer die Komponente zum Entschlüsseln nicht erbeutet haben. Möglicherweise sind jedoch bis zu 2000 Kreditkartennummern beim Ausfüllen in das falsche Feld eingegeben worden, wo sie unverschlüsselt gespeichert wurden – das werde derzeit noch untersucht.
Marriott verweist erneut darauf, dass sich alle Kunden auf der Website des Konzerns sowie beim Callcenter darüber informieren können, ob sie von dem Vorfall betroffen sind. Die fragliche Datenbank von Starwood sei zudem Ende 2018 mit Abschluss der Übernahme abgeschaltet worden, alle Buchungen liefen nun über das Marriott-System, teilte die Firma mit. (tiw)
