500-Millionen-Hack bei Marriott – Diskussion um Verschlüsselung von Daten

| Hotellerie Hotellerie

Die bei Marriott 2014 bis 2018 erbeuteten Bezahlkartendaten und Reisepassnummern von über 500 Millionen Kunden sollen nicht sicher verschlüsselt gewesen sein, wie verschiedenen Medien berichten. Das habe die Hotelkette in einem US-Gerichtsverfahren jetzt eingeräumt. Marriott hatte vormals das Gegenteil behauptet. 

Marriot hat in einem Gerichtsverfahren im Zusammenhang mit einem massiven Datenschutzverstoß im Jahr 2018 zugegeben, dass seinerzeit einen sogenannten Hash-Algorithmus 1 und nicht die viel sicherere AES-1-Verschlüsselung verwendete, wie zuvor behauptet.

Mehr als fünf Jahre lang hat Marriott sich mit dem Argument verteidigt, dass seine Verschlüsselungsstufe (AES-128) so stark sei, dass die Klage gegen das Unternehmen abgewiesen werden sollte. Die Anwälte der Hotelkette gaben jedoch in einer Anhörung am 10. April zu, dass AES-128 zum Zeitpunkt des Einbruchs nicht verwendet wurde, wie Medien berichten.

Tatsächlich hatte sie zu dieser Zeit überhaupt den Secure Hash Algorithm 1 (SHA-1), der allerdings eine Hashing-Mechanismus und keine Verschlüsselung ist.

Während der Anhörung vor dem US-Bezirksgericht für den District of Maryland Southern Division wies Richter John Preston Bailey Marriott an, „die Informationen auf seiner Website innerhalb von sieben Tagen zu korrigieren“.

Marriott gab weder eine Pressemitteilung heraus, noch wies es auf seiner Homepage auf die Änderung hin. Stattdessen fügte es zwei Sätze zu einer Seite auf seiner Website vom 4. Januar 2019 hinzu. Die einzige Möglichkeit für Verbraucher, Aktionäre, Reporter oder andere Personen, dies zu sehen, besteht darin, auf die fünf Jahre alte Seite zu klicken. 

Hier steht dann aber geschrieben „Neiner Untersuchung mit mehreren führenden Datensicherheitsexperten stellte Marriott zunächst fest, dass die Zahlungskartennummern und bestimmte Passnummern in den Datenbanktabellen, die in den von Marriott am 30. November 2018 gemeldeten Sicherheitsvorfall in der Starwood-Datenbank involviert waren, mit der Verschlüsselung Advanced Encryption Standard 128 (AES-128) geschützt waren. Marriott hat nun festgestellt, dass die Zahlungskartennummern und einige der Passnummern in diesen Tabellen stattdessen mit einer anderen kryptografischen Methode, dem Secure Hash Algorithm 1 (SHA-1), geschützt waren.

Wie Heise berichtet sei, bis letzten beiden Wörter „geschützt waren“ dies zwar technisch korrekt, dürfte aber bei vielen Verbrauchern einen falschen Eindruck erwecken. Denn, so Heise weiter, sei die SHA-1 entgegen der Bezeichnung alles andere als „secure“, und zweitens sind Hashes zwar eine „kryptografische Methode“, aber kein Verfahren der Verschlüsselung. Von könne keine Rede sein, denn gerade kurze Daten mit bekanntem Format, wie es Kreditkarten- und Passnummern sei, ließen sich auch mit haushaltsüblicher Hardware „flott berechnen“.


 

Zurück

Vielleicht auch interessant

Mit The Circus Living setzt die Circus GbR einen neuen Meilenstein in der 28-jährigen Firmengeschichte. Nach den Erfolgen des Hostels, Apartmenthauses und des Hotels, ermöglichen Serviced-Micro-Apartments nun auch Aufenthalte ab 28 Tagen.

Geschäftsreisende müssen in Frankfurt künftig eine Tourismusabgabe von zwei Euro pro Nacht zahlen. Bislang wurde die Abgabe von zwei Euro pro Nacht nur von Touristen in Frankfurt erhoben.

Kempinski und Gravenbruch stehen in Frankfurt seit Jahrzehnten für Luxus-Hotellerie am Flughafen. Doch nun zieht sich der Betreiber zurück - mit ungewissen Folgen für das Personal.

Von Herbst 2023 bis Frühjahr 2024 wurde das Precise Resort Hafendorf Rheinsberg renoviert. Dabei wurden nicht nur die 167 Zimmer und Bäder modernisiert, sondern auch alle Etagenflure, die Balkone und Terrassen sowie der Fitnessbereich.

Am 15. und 16. Juni stand das Bürgenstock Resort am Vierwaldstättersee im Zentrum der weltweiten Aufmerksamkeit, als es das größte diplomatische Ereignis in der Geschichte der Schweiz meisterte.

In der letzten Woche öffnete das Hotel Schani UNO City seine Türen. Im Rahmen eines Grand Opening, das ganz im Zeichen von Geheimagenten, Spionage und Geheimnissen stand.

Das ehemalige Hilton City Hotel in der Münsterstraße wird ein Haus der Unbound Collection von Hyatt. Wie auf der Webseite des Hauses zu lesen ist, soll die Herberge ab dem 5. August 2024 unter dem Namen „Brunfels Hotel“ seine Pforten öffnen. Zuerst hatte die Allgemeine Zeitung (AZ) darüber berichtet.

IntercityHotel expandiert weiter in den Niederlanden: Das IntercityHotel Leiden ist eröffnet. Das urbane Design mit Motiven aus der Stadt sowie Details aus der Region lassen Gäste in die lokale Kultur eintauchen.  

Das Dorint Hotel Würzburg wurde seit Anfang 2023 komplett revitalisiert. Nun wurde das Hotel in Anwesenheit von Joey Kelly, Oberbürgermeister Christian Schuchardt, Kunden und Stammgästen offiziell wiedereröffnet.

Der Digital Markets Act zwingt Booking.com zur Abschaffung von engen und weiten Bestpreisklauseln in seinen Hotelverträgen im Europäischen Wirtschaftsraum. Der Gatekeeper kommt dieser Verpflichtung nun nach und informierte seine Hotelpartner in Europa über das Ende der Ratenparitätsklauseln in seinen Verträgen.