3 months ago
4
Aktuell sorgt eine massive Sicherheitslücke im Bereich der Hotel-Software für Aufruhr. Durch einen recht simplen Fehler ließen sich Millionen von Buchungsdaten aus den letzten 10 Jahren abrufen. Betroffen gewesen ist davon die Software SIHOT.WEB bzw. SIHOT.GO!. Unbefugte konnten sich leicht Zugriff auf die Reservierungs- und Gästedaten im System verschaffen. Betroffen gewesen sind neben der Kette Motel One unter anderem auch die DJH-Jugendherbergen in Mecklenburg-Vorpommern, Rheinland-Pfalz und dem Saarland, die Arbeiterwohlfahrtstochter AWO SANO, der DeHoGa-Campus und eine Reihe von Hotelketten mit Namen wie Fidelis und GSH.
Laut dem Portal Zerforschung geht es um schätzungsweise 35,5 Mio. Reservierungen und 48,5 Mio. Gästeprofile. Betroffen sind auch Gästeprofile von z. B. Spitzenpolitikern. Abrufbar gewesen sind neben dem Namen der Gäste auch teilweise deren Ausweisdaten und die Kreditkartendetails. Auch Privatadressen der Gäste sind einsehbar gewesen. Immerhin: Anhaltspunkte auf die tatsächliche Ausnutzung der Sicherheitslücken, sieht man von den Forschern ab, welche sie entdeckt haben, gibt es bislang noch nicht, so erklären es etwa die Jugendherbergen und Motel One.
Kriminelle hätten aber ohne viel Aufwand ein wahres Festmahl an Daten abgreifen können. Auch Telefonnummern, Buchungszeiträume, Sonderwünsche der Gäste und mehr waren mit überschaubarem Aufwand einsehbar. Es konnten zum Teil gar Buchungen nachvollzogen werden, die schon mehr als 20 Jahre zurückliegen. Geschlampt hatte hier offenbar der Anbieter der Buchungssoftware, die Gubse AG. Letzterer zuckt bisher wohl eher mit den Schultern. Sicherheitsforscher kritisieren das Unternehmen hingegen scharf und werfen der Gubse AG bewusste Nachlässigkeit vor. Es seien alte und bekannte Schwachstellen in der Webanwendung nie geschlossen worden.
Gubse AG spielt die Probleme herunter
Die verantwortliche Gubse AG scheint eher genervt abzuwinken, anstatt das eigene Vorgehen zu reflektieren. So erklärt das Unternehmen, zur Ausnutzung der Lücke seien tiefgehende technische Kenntnisse erforderlich gewesen. Das Unternehmen sieht vermutlich sein Image in Gefahr, denn auf der eigenen Website wirbt man pikanterweise mit „höchster Datensicherheit“. Die sei laut Zerforschung aber keinesfalls gegeben gewesen. Wenige Klicks hätten ausgereicht, um an Millionen von Gästedaten zu gelangen.
Inzwischen sind die Sicherheitslücken geschlossen worden. Zudem hat man die zuständigen Datenschutzbehörden pflichtgemäß alarmiert. Was bleibt, ist natürlich wieder mal ein bitterer Beigeschmack: Wenn es um Kundendaten geht, scheinen viele Unternehmen nach außen hin mit Datensicherheit zu werben, intern dann aber so wenig wie möglich zu machen, weil die Prioritäten doch anderswo liegen – Leidtragende sind im Zweifelsfall die Nutzer.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
