Daten von Millionen Hotelgästen standen offen im Internet

Hotel
Wie viele Personen genau von dem Datenleck betroffen sind, ist noch nicht bekannt. (Quelle: Mr.Bologna – CC BY 2.0)

Ein Reservierungssystem, das Hotels mit Plattformen wie Expedia verbindet, ließ Daten von Millionen Nutzerinnen und Nutzern offen im Netz stehen. Neben Namen und Anschriften waren auch vollständige Kreditkartendaten zugänglich. Das Datenleck soll mittlerweile geschlossen sein.

Betroffen war die Software “Cloud Hospitality” des spanischen Anbieters Prestige Software. Der Cloud-Dienst verbindet Hotel-Reservierungssysteme mit Buchungsseiten wie Booking.com, Expedia oder Hotels.com. Die Hotels verwalten ihre Buchungen so plattformübergreifend: Reserviert ein Gast ein Zimmer über eines dieser Angebote, ist es bei den anderen automatisch nicht mehr verfügbar.

Die zugänglichen Reservierungsdaten reichten bis zum Jahr 2013 zurück und waren ungeschützt auf einem Server gespeichert. Das berichtet das Sicherheitsteam der Web-Entwickler-Seite Website Planet, das das Datenleck entdeckt hat. Die Datensätze enthielten Namen, Post- und E-Mail-Adressen, Telefonnummern sowie Ausweisnummern. Außerdem waren die vollständigen Kreditkartendaten inklusive Ablaufdatum und Prüfziffer im Klartext gespeichert. Details zu den Reservierungen, wie die Anzahl der Übernachtungen oder die Kosten für das Hotel, waren ebenfalls zugänglich.

Über 10 Millionen Datensätze

Insgesamt sollen sich auf dem Server über 10 Millionen Datensätze befunden haben. Alleine aus dem August 2020 seien 180.000 Datensätze einsehbar gewesen – und es seien stetig neue hinzugekommen. Da zum Teil mehrere Namen unter einer Reservierung zusammengefasst waren, ist unklar, wie viele Personen genau von dem Datenleck betroffen sind. Auch ist noch nicht bekannt, welche Hotels die Software einsetzen.

Eine offizielle Stellungnahme von Prestige Software gibt es bislang nicht. Das Unternehmen habe aber bestätigt, dass es sich um Daten aus ihrem System handelt, heißt es in dem Blogbeitrag von Website Planet. Das Datenleck ist inzwischen geschlossen. Unklar sei, ob Dritte die Daten zuvor bereits entwendet hatten. Die gespeicherten Daten könnten etwa für Spam- und Phishing-E-Mails, Identitätsdiebstahl und Kreditkartenmissbrauch verwendet werden.

Konkret sollen die Daten von den Reservierungsseiten Agoda, Amadeus, Booking.com, Expedia, Hotels.com, Hotelbeds, Omnibees und Sabre stammen. Da man nicht alle Datensätze untersucht habe, sei diese Liste vermutlich länger, so Website Planet. Das Datenleck gehe jedoch nicht auf Fehler dieser Anbieter zurück. Welche Folgen es haben wird, ist noch unklar. Nach der europäischen Datenschutzgrundverordnung (DSGVO) muss Prestige Software den Vorfall an die zuständige Datenschutzbehörde melden. Bei schweren Verstößen sieht die DSGVO hohe Geldstrafen vor. Website Planet weist außerdem darauf hin, dass die offen gespeicherten Kreditkartendaten gegen den “Payment Card Industry Data Security Standard” verstoßen, einen Sicherheitsstandard der Kreditkartenanbieter. (js)