Sicherheitsleck: Millionen Gästedaten in Hotelsoftware öffentlich einsehbar
Ein Datenleck in der Software des saarländischen Unternehmens Gubse AG hat vertrauliche Gästedaten zahlreicher Hotels offengelegt. Die Lücken wurden von Zerforschung(öffnet im neuen Fenster) entdeckt, einem Kollektiv, das bereits mehrfach Sicherheitslücken in IT-Systemen aufgedeckt hat – unter anderem beim Gesundheitsportal Doccirrus . Die Gruppe stieß demnach in den Modulen Sihot.Web und Sihot.Go! auf gravierende Sicherheitsprobleme.
Betroffen waren laut den gemeinsamen Recherchen des NDR(öffnet im neuen Fenster) , WDR und der Süddeutschen Zeitung(öffnet im neuen Fenster) unter anderem die Jugendherbergen in Rheinland-Pfalz und im Saarland sowie Jugendherbergen in Berlin. Darüber hinaus setzen auch große Hotelketten wie Motel One, H-Hotels, Victor's Residenz-Hotels, Vienna House und Romantik Hotels auf die Systeme von Gubse, die nach Unternehmensangaben weltweit in mehr als 3.500 Betrieben im Einsatz sind.
Auch der Jugendherbergsverband in Mecklenburg-Vorpommern bestätigte, dass seine Häuser von der Sicherheitslücke betroffen waren. Nach eigenen Angaben seien jedoch nur Namens- und Adressdaten weniger Gäste offengelegt worden, die man umgehend informiert habe. Diese Darstellung widerspricht allerdings den Erkenntnissen der IT-Aktivisten: Laut Zerforschung waren über die Schnittstellen deutlich umfangreichere Informationen abrufbar – darunter E-Mail-Adressen, Telefonnummern, Aufenthaltszeiträume und Preise.
Schwachstellen mit weitreichenden Folgen
Die Sicherheitsforscher beschreiben, dass in mehreren Sihot-Installationen Authentifizierungsmechanismen fehlten oder fehlerhaft umgesetzt waren. Teilweise genügte die Eingabe eines Datums, um alle Reservierungen eines Tages abzurufen. In älteren Versionen sei zudem eine SQL-Injection-Lücke entdeckt worden, mit der vollständiger Zugriff auf Datenbanken möglich gewesen sei. Nach Berechnungen von Zerforschung waren weltweit mehr als 35 Millionen Reservierungen und rund 48 Millionen Gästeprofile betroffen.
Die Gubse AG teilte mit(öffnet im neuen Fenster) , die in den Modulen Sihot.Web und Sihot.Go! entdeckten Sicherheitslücken seien nach dem Hinweis der Sicherheitsforscher unverzüglich und vollständig geschlossen worden. Nach Unternehmensangaben gab es dabei keine unberechtigten Zugriffe auf personenbezogene Daten außerhalb der Tests. Der Datenschutzbeauftragte sei eingebunden und die zuständige Aufsichtsbehörde informiert worden.
Motel One teilte in einer Stellungnahme (PDF-Dokument)(öffnet im neuen Fenster) mit, dass nach derzeitigen Erkenntnissen "keine Datensätze mit sensiblen Zahlungsinformationen betroffen" seien und "kein Missbrauch der Daten bekannt" sei. Außerdem habe man "alle notwendigen technischen und organisatorischen Maßnahmen ergriffen" , um sicherzustellen, "dass die externen Schwachstellen des Software-Dienstleisters geschlossen werden" . "Darüber hinaus hat Motel One eine unabhängige forensische Untersuchung beauftragt, um den Vorfall umfassend aufzuklären und maximale Transparenz zu gewährleisten [...]" , heißt es.