[English]Prestige Software, eine internationale B2B-Hotelreservierungsplattform, zu deren Kunden Expedia und Booking.com gehören, hat die Daten von Hundertausenden Gästen seiner angeschlossenen Hotelketten in einem Datenschutzvorfall offen gelegt. Ich gehe davon aus, dass auch zahlreiche deutsche Hotelgäste betroffen sind.
Anzeige
Das in Madrid und Barcelona ansässige Unternehmen Prestige Software verkauft Hotels eine Kanalmanagement-Plattform namens Cloud Hospitality. Diese Software automatisiert auf Online-Buchungswebsites wie Expedia und Booking.com die Bereitstellung freier Hotelzimmer. Das Unternehmen speicherte jahrelang Kreditkartendaten von Hotelgästen und Reisebüros ohne jeglichen Schutz, wodurch Millionen von Menschen dem Risiko von Betrug und Online-Angriffen ausgesetzt waren.
Falsch konfiguriertes Amazon AWS S3 Bucket
Ein Sicherheitsteam von WebsitePlanet fand einen falsch konfigurierten Amazon AWS S3 Bucket, der zu Prestige Software, einer internationalen B2B-Hotelreservierungsplattform, gehörte. Im S3-Bucket fanden sich Kundendaten von Buchungsplattfomen von Expedia und Booking.com etc. Durch den ungeschlützten AWS S3-Bucket wurden die Daten von Hunderttausenden von internationalen Hotelgästen offengelegt, darunter PIIs (vollständiger Name, nationale ID-Nummern, Telefonnummern usw.), nicht überprüfte Kreditkartendaten und Reservierungsdetails.
Mich erreichte die Information am 6.11.2020 durch eine Mail der Sicherheitsforscher, die allerdings im Spam-Ordner ausgefiltert wurde. In diesem Blog-Beitrag legen die Sicherheitsforscher die Details offen. Im offenen S3-Bucket fanden sich folgende private Daten von Hotelgästen:
- PII-Daten: Vollständige Namen, E-Mail-Adressen, nationale ID-Nummern und Telefonnummern von Hotelgästen
- Kreditkartendetails: Kartennummer, Name des Karteninhabers, CVV und Ablaufdatum
- Zahlungsdetails: Gesamtkosten der Hotelreservierung
- Einzelheiten zur Reservierung: Reservierungsnummer, Aufenthaltsdaten, der pro Nacht bezahlte Preis, eventuelle zusätzliche Wünsche der Gäste, Anzahl der Personen, Namen der Gäste und vieles mehr.
Jeder dieser Aufzeichnungen enthüllte sensible und wertvolle personenbezogene Daten (PII), die zu den Personen gehören, die die Reservierungen vorgenommen haben. Betroffen sind unter anderem folgende Buchungsplattformen:
- Agoda
- Amadeus
- Booking.com
- Expedia
- Hotels.com
- Hotelbeds
- Omnibees
- Sabre
Das ist nur ein Auszug der Kundenliste. Der S3-Bucket enthielt über 180.000 Datensätze allein aus dem August 2020. Viele davon bezogen sich auf Hotelreservierungen, die auf zahlreichen Websites vorgenommen wurden, obwohl die weltweiten Hotelbuchungen für diesen Zeitraum auf einem historischen Tiefstand waren. Insgesamt sind über 10 Millionen einzelne Log-Dateien, die bis ins Jahr 2013 zurückreichen, offen abrufbar.
Es ist jedoch schwierig zu sagen, wie viele Menschen betroffen sind, da die Datenmenge sehr groß ist. Außerdem enthielten viele der Datenprotokolle PII-Daten für zahlreiche Personen in einem Reservat (z.B. Familien). Schließlich enthielten einige der Datenprotokolle Änderungen und Streichungen. Aus diesen Gründen konnte die tatsächliche Zahl der exponierten Personen viel höher sein als die Zahl der protokollierten Vorbehalte. Der S3-Bucket war bei der Publizierung des Blog-Beitrag abgesichert, während der Untersuchung aber noch offen in Gebrauch, wobei neue Datensätze innerhalb weniger Stunden nach der Untersuchung durch die Sicherheitsforscher hochgeladen wurden. Details lassen sich im verlinkten Blog-Beitrag nachlesen. Das Ganze dürfte ein Fall für die DSGVO werden und viele Hotelgäste betreffen. Ich gehe davon aus, dass auch meine Daten irgendwo darunter sind, da ich in den letzten Jahren nicht um Hotelbuchungen über solche Plattformen wie Booking.com herumgekommen bin.
2015
… da auch ich in den letzten Jahren nicht um Hotelbuchungen über solche Plattformen wie Booking.com herumgekommen bin …
Dito, doch seit längerem gehen wir zunehmend so vor:
– Suchen das Hotel (Ferienwohnung etc.) und notieren die Daten,
– nehmen Kontakt mit dem Hotel auf (Telefon und/oder Mail),
– buchen direkt und ersparen dem Hotel die Buchungsgebühren,
– die uns oft, bei der Rechnung, gut geschrieben werden.
Für bestimmte wiederkehrende Reisen haben wir so auch einen "Vorrat" an Unterkünften und werden teilweise als Stammgäste behandelt.
Danke Herr Born für diesen wertvollen Hinweis!
In den letzten Jahren (vor Corona) kam man um diese Buchungsplattformen ja kaum noch herum. So war auch ich bei einigen der oben genannten mehrfach aktiv.
Sicherheitstechnisch suspekt waren mir diese schon immer, weil meist noch nicht einmal die CVV abgefragt wurde (hier speziell bei Agoda).
Es ging denen wohl immer nur um möglichst viele Buchungen. Datensicherheit spielte offenbar keine Rolle.
Was wird denn jetzt empfohlen??
Sein Profil dort löschen? Oder nur die Kreditkarten-Daten? Oder wie sollte man sich verhalten?
Ich buche auch über Booking.com.
Ehrlich gesagt interessiert mich dieses Sicherheitsleck überhaupt nicht.
Ist mir vollkommen schnuppe ob irgendwer auf der Welt nun nachverfolgen kann wo/wann ich/meine Familie übernachtet hat, und ob wir Frühstück hatten oder nicht.
Im Gegenteil.
Falls mal irgendwo irgendwas mit den Daten passiert bin ich doch unter Verweis auf diese Datenlücke fein raus.
Und wegen Direkt beim Hotel buchen:
Neuerdings bekomme ich wg, Genuis-Status bei einer Bocking.com ca. 4 Wochen später eine Gutschrift über 7 EUR, einmal sogar 50% des Übernachtungspreises.
Ich werde die Welt nicht retten können
Also mit vollständigem Namen, E-Mail-Adresse, nationaler ID-Nummer und Telefonnummern und vor allem den Kreditkartendetails wie Kartennummer, Name des Karteninhabers, CVV und Ablaufdatum können Kriminelle schon einiges anfangen!
Es geht hier nicht darum wo/wann jemand übernachtet hat und ob man Frühstück hatte oder nicht.
Ja natürlich geht es um die Kreditkarten-Daten.
Wenn jetzt in meinen Abrechnungen etwas unbekanntes auftaucht werde ich in meiner Reklamation auf das Datenleck von Booking.com verweisen.
Mmh, das würde wohl erklären wieso meine Kreditkarten Daten im Sommer missbraucht werden konnte, obwohl Sie immer bei mir war und während der Sommerzeit gar nicht verwendet wurde, bzw. über die Jahre nur auf wenigen Portalen zum Einsatz kam. Keines davon hat bis dato ein Sicherheitsvorfall gemeldet. Aber lustigerweise wurde die Kartendaten genau für eine Reise durch Paris missbraucht (wo ich zu den Zeitpunkt gar nicht in Frankreich unterwegs war).
Meine Bank hat das Geld sofort nach meiner Meldung wieder gut geschrieben und bis dato habe ich auch nix weiter dazu gehört.