Mal eben schnell ins Hotel eingecheckt, Daten abgegeben – und damit auch gleich Hacker damit versorgt. So geschehen bei der Hotelkette Marriott: Bereits seit 2014! hatten Angreifer Zugriff auf die Reservierungsdatenbank von Tochterunternehmen Starwood. Diese beinhaltet immerhin Daten von 500 Millionen Gästen, darunter auch Kreditkarten-Infos. Entdeckt wurde das das Leck allerdings leider erst jetzt, fünf Jahre später …
Manch einer lässt im Hotel den Bademantel mitgehen oder ein Handtuch. Andere wiederum geben sich nicht mit solchen Kinkerlitzchen ab. Sie checken gar nicht erst physisch ins Hotel ein. Sondern stauben per Sicherheitslücke einfach die Daten der Gäste ab. Wenn das natürlich beim größten Hotelkonzern der Welt passiert, ist das ziemlich bedenklich.
Inhaltsverzeichnis
Hacker legten verschlüsselte Datenbank an
Marriott hat jetzt der US-Behördenaufsicht bekanntgegeben, dass es bereits seit 2014 Zugriffe auf die Unternehmens-Datenbank gab. Entdeckt wurde das jahrelange Datenleck am 8. September diesen Jahres. Im Rahmen intensiver Recherchen von Sicherheitsspezialisten hat sich nunmehr herausgestellt, dass die Hacker ihren Zugriff dazu nutzten, um Gästedaten abzusaugen und in einer eigenen Datenbank abzulegen. Die Forscher schafften es auch, diese verschlüsselte Datenbank zu knacken. Dabei stellten sie fest, dass es sich bei den gestohlenen Daten um jene von Gästen der Marriott-Luxus-Tochter Starwood handelt. Marriott selbst soll nicht betroffen sein.
Auch Kreditkartendaten entwendet
500 Millionen Gäste von Starwood sind insgesamt betroffen, so Marriott. 327 Millionen davon wurden Datenkombinationen aus E-Mail-Adresse, Name, Telefonnummer, Postadresse etc. sowie auch Details zu den Aufenthalten in den jeweiligen Hotels entwendet. Bei einer Hotel-Buchung muss man schließlich allerhand Infos abgeben. Einige Gäste hatten besonderes Pech, von ihnen wurden auch die Kreditkarten-Daten abgegriffen. Dieses waren zwar verschlüsselt, aber das hat nicht viel zu sagen: „Dass die betroffenen Daten teilweise verschlüsselt waren, bietet keinerlei Schutz, da die Hacker vermutlich auch die zur Entschlüsselung notwendigen Daten abgegriffen haben“, sagt Adam Brown von Synopsys gegenüber ZDNet.de
DSGVO-Nachspiel in Europa sehr wahrscheinlich
Experten sehen die Attacke als sehr massiv an: „Dieser Hackerangriff hat das Potenzial, zum zweitgrößten Datenleck der Geschichte – direkt nach dem massiven Hackerangriff auf Yahoo im Jahr 2013 mit drei Milliarden betroffenen Nutzerkonten – zu werden“, so Brown. „Unter den bislang bekannten 327 Millionen betroffenen Hotelgästen werden viele EU-Bürger sein. Diese Tatsache könnte empfindliche Sanktionen gemäß DSGVO nach sich ziehen.“
Gäste werden per Mail informiert
Jeder, der vor 10. September diesen Jahres ein Zimmer in einem Starwood-Hotel gebucht haben, könnte vom Datendiebstahl betroffen sein. Marriott hat nunmehr damit gestartet, die tatsächlich betroffenen Gäste per Mail zu kontaktieren. Auf einer eigens initiierten Webseite finden sich außerdem weiterführende Infos, die vorwiegend allgemeine Sicherheitstipps geben.
Quelle: heise.de, ZDNet.de
Erstellt am: 2. Dezember 2018
