Hotelbuchungs-Dienstleister leakte Daten von Millionen von Reisenden

Inhaltsverzeichnis

Das Security-Team des Software-Herstellers Website Planet ist nach eigenen Angaben auf ein Datenleck eines Hotelbuchungs-Dienstleisters gestoßen, das sensible Daten von Millionen von Hotelgästen aus aller Welt umfasste. Mittlerweile sind die Daten nicht mehr zugänglich; ob in der Vergangenheit unbefugte Zugriffe stattfanden, ist unklar.

Ein Loch war im Eimer

Bei dem betreffenden Dienstleister handele es sich um das spanische Unternehmen Prestige Software, das die Software "Cloud Hospitality" zur Anbindung von Hotels an Hotelbuchungs-Plattformen bereitstellt.

Bei der Hotelzimmer-Buchung über solche Plattformen werden naturgemäß sensible Daten an die Hotels übermittelt. Dementsprechend handelte es sich bei den vom Security Team in einem falsch konfigurierten und daher ungeschützten AWS (Amazon Web Services) Bucket entdeckten Daten denn auch um Vor- und Nachnamen, E-Mail-Adressen, Telefon- und Ausweisnummern. Die Daten umfassten weiterhin diverse Reservierungsdetails – und teils auch vollständige Kreditkartendaten (Name des Karteninhabers, Kreditkartennummer, Prüfziffer und Ablaufdatum).

Hinweise auf Booking.com, Expedia und Co.

Auf der Website von Prestige Software finden sich keine konkreten Informationen zu den Kunden, die die Software einsetzen. Laut dem Sicherheitshinweis von Website Planet enthielten die entdeckten Daten allerdings Hinweise auf die Anbindung an bekannte Buchungsplattformen, darunter Booking.com und Expedia. Der Hinweis nennt außerdem Agoda, Amadeus, Hotels.com, Hotelbeds, Omnibees und Sabre. Weitere Plattformen könnten ebenfalls betroffen sein, da nicht alle Daten analysiert wurden. Spuren zu konkreten Hotels gibt es nicht.

Einige der geleakten Daten stammten laut dem Security Team bereits von 2013. Offenbar wurde der kaputte Bucket jedoch noch immer aktiv durch Prestige Software genutzt: Nur wenige Stunden nach Beginn der Analysen seien neue Datensätze hochgeladen worden. Das Team betont, dass das Leak durch Prestige Software und nicht durch die Buchungsplattformen verursacht wurde. Es habe direkt Kontakt zu AWS aufgenommen und das Team habe das "Loch im Eimer" am darauffolgenden Tag gestopft.

Umfang und Folgen des Leaks unklar

Wie lange die Fehlkonfiguration bestand und ob sie von Kriminellen bemerkt und ausgenutzt wurde, ist ebenso unklar wie das genaue Ausmaß des Datenlecks: Die Datenmenge sei extrem groß und genaue Angaben schwierig. Im Hinweis ist die Rede von über 10 Millionen individuellen Datensätzen, wobei in hunderttausenden Fällen Kreditkartendaten enthalten gewesen seien. Allein seit August 2020 seien 180.000 Datensätze hinzugekommen.

Prestige Software habe gegenüber Website Planet bestätigt, Eigentümer des Buckets (und Urheber des Leaks) zu sein. heise online hat Prestige Software ebenfalls um ein Statement und weitere Informationen gebeten, bislang jedoch keine Antwort erhalten. Die möglichen Missbrauchsszenarien für die geleakten Daten wären, sofern tatsächlich unbefugt darauf zugegriffen wurde, vielfältig: Sie reichen von gezieltem Phishing über den Missbrauch der Kreditkartendaten für Online-Käufe bis hin zu weiteren Varianten des Identitätsdiebstahls (etwa auch unter Verwendung der Reservierungs- und Stornierungsdaten).

Update 11.11.20, 10:00:

Bislang keine Hinweise auf unbefugte Zugriffe

Mittlerweile liegt uns ein Statement von Prestige Software vor. Die geleakten Datensätze seien nur für eine sehr begrenzte Zeitspanne öffentlich zugänglich gewesen. Das für die Untersuchung des Vorfalls zuständigen internen Teams habe bislang keinerlei unbefugte Zugriffe auf die Daten feststellen können.

Die Unternehmenskunden seien über das Datenleck informiert worden. Man untersuche den Vorfall weiter, halte die Kunden über neue Erkenntnisse auf dem Laufenden und sei zudem damit beschäftigt, Vorkehrungen zu treffen, um künftig ähnliche Vorfälle zu verhindern.

• Themenseite zum Datenschutz bei online

(ovw)