Nächster Sicherheitsunfall bei Hotels: Bei den Check-In-Terminals der IBIS-Hotels war es durch Eingabe einer speziellen nicht alphanumerischen Buchungsnummer möglich, die Tastencodes von fast die Hälfte der Zimmer abzurufen. Dritte hätten in die Zimmer eindringen und Wertsachen stehlen können. Es ist unklar, ob die Schwachstelle inzwischen behoben worden ist.
Anzeige
Das Check-In-Terminal bei IBIS
Bei IBIS Budget-Hotels ist ein Self-Check-in über einen Check-In-Automaten möglich (siehe nachfolgenden Screenshot von dieser Hotelseite), falls die Rezeption unbesetzt ist. Am Terminal dieses Automaten gibt man die Buchungsnummer (8 stelliger Code) für sein Zimmer ein. Dann werden die Zimmernummer und der Code (6 stellig) für das Tastenschloss zum Öffnen der Tür dieses Hotelzimmers angegeben.
Der Check-In-Automat verrät fremde Zimmercodes
Martin Schobert von der Schweizer Firma Pentagrid AG stieß beim Besuch eines Hacker-Kongresses in Hamburg zufällig auf die Sicherheitslücke in den Check-In-Automaten der Ibis-Hotelkette, als er am Check-in-Terminal mit der ID 2711 in Hamburg Altona in sein gebuchtes Zimmer einchecken wollte. Durch Zufall gab er statt der Buchungs-ID die Zeichenkette "——" ein, und staunte nicht schlecht, dass das Check-in-Terminal plötzlich die Reservierungen anderer Gäste auflistete.
Bei Anwahl einer Reservierung wurden die Zimmernummer und der Tastaturcode für diese Reservierung angezeigt. In diesem Artikel schreibt Martin Schobert, dass von den 180 Zimmern des Hotels 87 Buchungseinträge in der Liste angezeigt wurden. Aber auch die Buchungsnummer könnte auf weggeworfenen Rechnungen und Ausdrucken in die Hände Dritter gelangen, so dass diese über das Check-In-Terminal an die Zimmernummer und Tastaturcodes für die Zimmertür gelangen können.
Es reicht, wenn ein Angreifer physischen Zugang zu einem Check-in-Terminal der Hotelkette erhält und die Rezeption unbesetzt ist, so dass Check-Ins per Automat erfolgen müssen.
Nach dem kürzlich bekannt gewordenen UbsafeLock-Fall, bei dem durch eine Schwachstelle Millionen elektronische Schlösser von Saflock durch manipulierte RFID-Karten entsperrt werden konnten (siehe Unsaflok: Millionen Hoteltüren lassen sich durch Sicherheitslücken öffnen), ist dies jetzt der zweite Sicherheitsvorfall, der Hotels betrifft.
Die Schwachstelle wurde am 31. Dezember 2023 beim Besuch des CCC-Hackerkongresses in Hamburg in einem Ibis Budget-Hotel in Altona durch Zufall aufgedeckt. Am 1. Januar 2024 wurde die Schwachstelle an den Franchisenehmer Sczygiel Hotelmanagement GmbH mündlich weiter gegeben. Auf dieser Pentagrid-Seite lässt sich die Zeitleiste der Kommunikation mit ibis.accor.com verfolgen. Nachdem die Deadline von 90 Tagen verstrichen ist, hat sich der Entdecker der Schwachstelle entschlossen, diese zum 2. April 2024 in einem Blog-Beitrag zu veröffentlichen. Auf der verlinkten Pentagrid-Blog-Seite können die weiteren Details nachgelesen werden. (via)
2015
Alles was kein Bug ist, ist ein Feature.
Ohne Worte oder doch wieder "Neuland" und das Wegschweigen nicht hilft.
Wie lange gibt es die Terminals schon?
Könnte durchaus ein Features sein? Wäre sehr stranges Feature, wirft aber die Frage auf, ob das Verhalten nicht sogar im Handbuch/Dokumentation erwähnt ist oder den Technikern bekannt war? Vermutlich kackt die Abfrage einfach bei dem Zeichen ab und es wird alles ausgegeben. Wobei auch nicht die Codes für ALLE Zimmer ausgespuckt wurden, sondern nur für ca. die Hälfte. Leider erwähnt der Artikel von Pentagrid nicht warum. Ob alle Zimmer ausgegeben wurden oder nur alle Zimmer die belegt waren?