Massives Datenleck betrifft Millionen von Hotelgästen

Das spanische Unternehmen Prestige Software bzw. dessen Software Cloud Hospitality hat für ein massives Datenleck bei Partnern gesorgt. So bietet das Unternehmen international seine Plattform Websites wie z. B. Expedia oder Booking.com an. Nun sind Daten zu Hotelgästen durchgesickert, die bis auf das Jahr 2013 zurückreichen. Mit von der Partie sind leider auch Kreditkartendaten von Hunderttausenden von Gästen.

Demnach wurden die Daten über Jahre ohne ausreichende Sicherheit gespeichert. Doch was ist nun durchgesickert? Nun, das sind die vollen Namen von Gästen, ihre E-Mail-Adressen, Telefonnummern, Ausweisdaten, Kreditkartendaten (Nummer, Ablaufdaten, Name des Inhabers, CVV). Auch die Kosten der Hotelreservierungen und weitere Daten zu den Aufenthalten, etwa die Dauer und zusätzliche Kundenwünsche, lagen offen.

Gehapert hat es daran, dass Prestige Software die Daten auf einem fehlkonfigurierten AWS-Bucket speicherte (Amazon Web Services). Allein aus dem August 2020 lagerten in dem betroffenen Speicher 180.000 Speicherungen zu Reservierungen. Dabei hat Prestige Software durch seine unsichere Art der Speicherung auch den Payment Card Industry Data Security Standard (PCI DSS) verletzt.

Betroffen sind durch das Leak mindestens folgende Websites, voraussichtlich sind es aber noch mehr, da Prestige Software seine Kunden nicht auflistet:

  • Agoda
  • Amadeus
  • Booking.com
  • Expedia
  • Hotels.com
  • Hotelbeds
  • Omnibees
  • Sabre

Das Tool von Prestige Software war dabei ein Channel Manager, der quasi als Mittelsmann agiert. Der Manager verarbeitet, welche Zimmer in Hotels frei sind und speist die Daten mit regelmäßigen Aktualisierungen für Websites ein, damit Interessierte dort danach suchen können. Aktuell ist offen, ob die Daten wirklich gestohlen und missbraucht wurden, das ist die gute Nachricht. Sollten sich Cyberkriminelle bereits bedient haben, wäre da natürlich massiver Missbrauch möglich.

Beispielsweise könnten die Kreditkartendaten natürlich verwendet werden, um Zahlungen zu tätigen. Sollten sich in den weiteren Daten aber möglicherweise private Details zu den Personen finden, da ja auch zusätzliche Kundenwünsche vermerkt worden sind, wären auch Erpressungen möglich. Für Prestige Software könnte diese Entdeckung nun sogar das Aus bedeuten, denn es sind rechtliche Konsequenzen denkbar und das Vertrauen in die Tools des Unternehmens dürfte arg erschüttert sein.

Mittlerweile ist der AWS-Bucket wieder abgesichert, denn die Sicherheitsforscher, welche die Lücke entdeckt haben, informierten den Cloud-Anbieter und Prestige Software direkt darüber. Solltet ihr eine der genannten Websites ab 2013 genutzt haben, dann könntet ihr potenziell auch betroffen sein. Es gilt aber: Ruhe bewahren und generell beobachten, ob sich seltsame Aktivitäten bei eurer Kreditkarte abspielen. Wollt ihr sehr vorsichtig sein, dann könnt ihr euch natürlich auch mit eurem Anbieter in Verbindung setzen und die Karte wechseln.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

17 Kommentare

  1. Das ist schon eine ganz schöne Hausnummer. Wollen wir mal hoffen, dass die Daten noch niemand abgegriffen hat.

    • Ja, das ist eine recht ungewöhnliche Dimension. Namen von Gästen, ihre E-Mail-Adressen, Telefonnummern, Ausweisdaten, Kreditkartendaten (Nummer, Ablaufdaten, Name des Inhabers, CVV), damit kann man bequem vom Sofa aus komplette Identitäten stehlen. Sämtliche Standard-Checks kann man damit bedienen, wie z.B. Ausweisnummer, Geburtsdatum, CVV und so weiter. Ein weiteres, überdeutliches Zeichen dafür, Datensparsamkeit zu betreiben und zu verschlüsseln.

    • wären quasi 7 Jahre Hotelbuchungen… ?! ist schon krass

  2. Wenn man seit der letzten Buchung eine neue Kreditkarte hat (Gültigkeit abgelaufen), ist man ja schon mal halbwegs sicher wenns um diese Infos geht oder? Wobei ich glaub ich sowieso immer per Paypal bezahlt hab.

  3. Die Daten aus der Cloud wurden geklaut… Ach…?!

    • Das hat hier in dem Fall, jedenfalls mit den im Artikel gegebenen Informationen, weniger was mit der Cloud zu tun. Wer einen AWS S3 Bucket nicht so korrekt konfigurieren (Bucket Policies) und encrypten kann, dass er sicher ist – abgesehen davon, dass ein S3 Bucket vielleicht nicht der beste Ort für diese Daten ist – sollte generell die Finger von IT lassen. Ob Cloud oder nicht.

  4. therealThomas says:

    Da lobe ich mir die Features der Online-Banken wie Revolut und Vivid: jederzeit kann ich meine virtuelle Kreditkarte kostenfrei austauschen und muss mir somit keine Sorgen machen, dass diese missbraucht wird.

    Ist natürlich schade, was den Rest der Daten angeht, insbesondere Ausweisdaten finde ich etwas gruselig. Mit dem tollen digitalen Perso sollte es da doch möglich sein, eine Verifikation bei einer anständigen geschützten Institution durchführen zu lassen, statt jede Firma alle Daten in ein öffentliches TXT-File, was schon fast auf der Startseite verlinkt ist, eintragen zu lassen…

  5. Ich hatte vor 2 Wochen 6 Abbuchungen auf meiner KK, denen ganz offensichtlich betrügerische Absicht zugrunde lag. Ich konnte mir aber nicht erklären, wie der Dieb an meine Daten gekommen war, die Karte hatte ich ja noch. Da ich sowohl Booking als auch Expedia in den letzten 2 Jahren genutzt habe, ist mir nun klar, wie.

    • Ging uns ähnlich, war allerdings schon vor knapp drei Wochen am 20.10.2020 und mit acht Abbuchungen.
      Unsere Bank hat es schnell gemerkt und die Beträge zurückgebucht, ich habe dann im Telefonat bestätigt bekommen, dass die Quelle des Lecks bekannt sei und leider keine konkrete Quelle genannt bekommen auf meine Rückfrage.
      Zwischen dem Gesprochenen konnte ich aber heraushören, dass es was mit einer Reiseplattform zu tun hat (anscheinend dürfen Banken nicht offen sagen, wo das Leck herkommt).
      Da wir diese KK nur bei einem Reiseportal hinterlegt hatten, hab ich mal nach nem Leak bei Booking gesucht und nix finden können.
      Zum einen finde ich es gut, dass es Tools gibt, die die Bank zeitnah informiert.
      Zum anderen finde ich es sehr erschreckend, dass der Leak erst nach drei Wochen öffentlich wird…

      Interessanterweise wird im Artikel hier gar kein Datum genannt…

      • „informiert“ => „informieren“ wegen Grammatik und so 🙂

      • Ich finde es auch etwas befremdlich, dass Booking und Expedia ihre Kunden nicht informiert haben. Bei mir wurden nur Kleinbeträge abgebucht für Fahrten mit Uber und der DB. Aber in Summe immerhin 200€. Hätte ich das nicht nachgeprüft, wäre nichts passiert. Die Bank hat mir auf die Anzeige des Betrugs auch nichts weiter gesagt, ich habe den Eindruck, das hat den Mitarbeiter auch nicht interessiert. Nach dem Storno hatte ich die Rückbuchung aber nach wenigen Tagen.

  6. Das zeigt wieder mal das man selber seine Daten schützen kann wie man will. Die Lecks sind meistens bei den Firmen selbst. Entweder schlecht geschützt oder die Mitarbeiter greifen die Daten ab. Siehe auch Scalable Capital

  7. Also den CVV abspeichern geht ja nun mal gar nicht. Ich hoffe es wird hier auch irgendwie eine Art Sammelklage geben, wo sich Verbraucher beteiligen können. Das ist ja fast schon Vorsatz, wenn man solche Daten überhaupt irgendwo speichert.

  8. Was mich erschreckt ist der Eintrag „Amadeus“ – quasi die Mutter aller Buchungsplattformen?! Das bedeutet doch, dass selbst Nutzer, die offline über ein Reisebüro gebucht haben, betroffen sein müsste?!

  9. Ich denke, dass die das Potential hat um Expedia und Töchter bzw. Mütter in die Insolvenz zu treiben, denn die Strafzahlung dafür dürfte bei 5% Umsatz Weltweit liegen.
    Passwörter ändern ok, Kreditkarten sperren schon sehr ärgerlich, aber Ausweisdaten setzt dem ganzen wirklich die Krone auf. Unglaublich.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.