Es muss mal wieder über ein Datenleck bei Hotelsoftware berichtet werden. Die Leute von Zerforschung sind auf eine Reihe von Sicherheitslücken SIHOT.WEB und SIHOT.GO! gestoßen, die Zugriff auf die Reservierungs- und Gästedaten im System erlaubten. Betroffen waren potentiell Millionen Gäste.
Die Hotelverwaltungssoftware SHIHOT
Betreiber von Hotels verwalten Gästebuchungen und weitere Daten mit Hotel-Software. So bietet die GUBSE AG aus Schiffweiler im Saarland mit SIHOT eine komplette Suite an Software für das Hotelmanagement. Die SIHOT Hotelsoftware entstand 1986 in einer ersten Version auf einer Unix-Plattform. Damals wurde die Software mit dem Anspruch weiterentwickelt, alle denkbaren Verwaltungsprozesse im Beherbergungsgewerbe, von der Jugendherberge bis hin zum 5 Sterne Luxushotel, mithilfe einer einzigen innovativen Softwarelösung zu leisten.
Die offene Struktur, Modularität und Konfigurierbarkeit soll eine individuelle Lösung für den Hotelier garantieren. SIHOT war eines der ersten Windows-Produkte auf dem Markt und wurde bis heute konsequent zur kompletten Modulfamilie erweitert, schreibt der Hersteller. Diese Suite besteht aus vielen verschiedenen Teilen – relevant für den aktuellen Beitrag sind nur folgende Module.
- Über die Buchungsplattform SIHOT.WEB können Gäste per Web ein Zimmer buchen.
- Mit SIHOT.GO können Gäste die Buchung auch mittels einer Web-App bequem auf dem Handy erledigen.
Diese Hotelsoftware-Suite wird von einer ganzen Reihe Beherbergungsbetriebe verwendet. Dazu gehören die DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz und dem Saarland, aber auch die Arbeiterwohlfahrtstochter AWO SANO. Mit im Boot sind auch Motel One, der DeHoGa-Campus und eine Reihe von Hotelketten wie Fidelis und GSH. Motel One hatte ich 2023 im Beitrag BlackCat Cyberangriff auf Motel One Gruppe; Daten veröffentlicht schon mal mit einem Datenabfluss thematisiert.
Aber die Sicherheitslücken …
Einer aus dem Kollektiv Zerforschung wollte in einem dieser Beherbergungsbetriebe übernachten und buchte sich zu diesem Zweck ein Zimmer. Dabei wurde im Browser mit beobachtet, was bei der Buchung so alles passiert.
Der Browser oder die App kommuniziert mit einer API des Buchungsservers und verwendete dort URLs wie https://booking.sihot .com/{CLIENT_ID}/client/, um auf die betreffende Daten zuzugreifen. Bei der Analyse stellten die Leute von Zerforschung fest, dass über die API des Buchungsservers neben Anfragen über eine Reservierungs-ID auch weitere Suchen möglich waren. So ließ sich abfragen, wer an einem bestimmten Datum im Betrieb ein Zimmer gebucht hat.
Die Sicherheitsforscher von Zerforschung schreiben in ihrem Artikel Suche Entspannung, finde Datenleck, dass mit einem gewissen technischen Verständnis der Zugriff auf die gesamten Buchungsdaten des Systems möglich war. Also Buchungen der Gäste, Buchungen und Eintragungen der Hotel-Mitarbeiter, Buchungen über Portale wie Expedia oder Booking. Da die Daten über viele Jahre gespeichert wurden, lassen sich Buchungen bis zurück zum Jahr 2005 abrufen.
Bei der weiteren Analyse der SIHOT.WEB Web-App, die bei der Motel One verwendet wird, stießen die Zerforscher auf weitere gravierende Schwachstellen. Bei anderen Systemen konnten sich die Sicherheitsforscher zum Administrator machen. Potentiell waren Millionen Buchungsdaten von Gästen betroffen. Der Hersteller hat die Schwachstellen behoben und gibt an, dass kein Missbrauch erfolgt sei.
Also mal wieder eine äußerlich polierte, aber ranzige Software, die über viele Jahrzehnte auch für Handy & Co. aufpoliert wurde. Details lassen sich dem Artikel Suche Entspannung, finde Datenleck entnehmen.
Die Zerforscher haben ihre Erkenntnisse mit dem NDR geteilt, der dann das Ganze in diesem Artikel aufbereitet hat. Bei der Tagesschau gibt es diesen Artikel, der mit etwas mit Prosa angereichert wurde, und wo man erfährt, dass SPD-Politiker Ralf Stegner betroffen war. Wenn ich es jetzt nicht besser wüsste, täte ich sagen, der Ralf Stegner hat das schon lange vorher geahnt, so grimmig, wie der immer kuckt.
MVP: 2013 – 2016
