Das spanische Unternehmen Prestige Software bzw. dessen Software Cloud Hospitality hat für ein massives Datenleck bei Partnern gesorgt. So bietet das Unternehmen international seine Plattform Websites wie z. B. Expedia oder Booking.com an. Nun sind Daten zu Hotelgästen durchgesickert, die bis auf das Jahr 2013 zurückreichen. Mit von der Partie sind leider auch Kreditkartendaten von Hunderttausenden von Gästen.
Demnach wurden die Daten über Jahre ohne ausreichende Sicherheit gespeichert. Doch was ist nun durchgesickert? Nun, das sind die vollen Namen von Gästen, ihre E-Mail-Adressen, Telefonnummern, Ausweisdaten, Kreditkartendaten (Nummer, Ablaufdaten, Name des Inhabers, CVV). Auch die Kosten der Hotelreservierungen und weitere Daten zu den Aufenthalten, etwa die Dauer und zusätzliche Kundenwünsche, lagen offen.
Gehapert hat es daran, dass Prestige Software die Daten auf einem fehlkonfigurierten AWS-Bucket speicherte (Amazon Web Services). Allein aus dem August 2020 lagerten in dem betroffenen Speicher 180.000 Speicherungen zu Reservierungen. Dabei hat Prestige Software durch seine unsichere Art der Speicherung auch den Payment Card Industry Data Security Standard (PCI DSS) verletzt.
Betroffen sind durch das Leak mindestens folgende Websites, voraussichtlich sind es aber noch mehr, da Prestige Software seine Kunden nicht auflistet:
- Agoda
- Amadeus
- Booking.com
- Expedia
- Hotels.com
- Hotelbeds
- Omnibees
- Sabre
Das Tool von Prestige Software war dabei ein Channel Manager, der quasi als Mittelsmann agiert. Der Manager verarbeitet, welche Zimmer in Hotels frei sind und speist die Daten mit regelmäßigen Aktualisierungen für Websites ein, damit Interessierte dort danach suchen können. Aktuell ist offen, ob die Daten wirklich gestohlen und missbraucht wurden, das ist die gute Nachricht. Sollten sich Cyberkriminelle bereits bedient haben, wäre da natürlich massiver Missbrauch möglich.
Beispielsweise könnten die Kreditkartendaten natürlich verwendet werden, um Zahlungen zu tätigen. Sollten sich in den weiteren Daten aber möglicherweise private Details zu den Personen finden, da ja auch zusätzliche Kundenwünsche vermerkt worden sind, wären auch Erpressungen möglich. Für Prestige Software könnte diese Entdeckung nun sogar das Aus bedeuten, denn es sind rechtliche Konsequenzen denkbar und das Vertrauen in die Tools des Unternehmens dürfte arg erschüttert sein.
Mittlerweile ist der AWS-Bucket wieder abgesichert, denn die Sicherheitsforscher, welche die Lücke entdeckt haben, informierten den Cloud-Anbieter und Prestige Software direkt darüber. Solltet ihr eine der genannten Websites ab 2013 genutzt haben, dann könntet ihr potenziell auch betroffen sein. Es gilt aber: Ruhe bewahren und generell beobachten, ob sich seltsame Aktivitäten bei eurer Kreditkarte abspielen. Wollt ihr sehr vorsichtig sein, dann könnt ihr euch natürlich auch mit eurem Anbieter in Verbindung setzen und die Karte wechseln.