Datenleck bei Apartmentanbieter Numa entdeckt

| Hotellerie Hotellerie

Ein Mitglied des Chaos Computer Clubs (CCC) hat bei Apartmentanbieter Numa ein schwerwiegendes Datenleck aufgedeckt, das den ungeschützten Zugriff auf über eine halbe Million Kundendatensätze inklusive sensibler Ausweisdaten ermöglichte. Wie zuerst Zeit Online berichtete und vom CCC bestätigt wurde, war es durch einfaches Hoch- und Runterzählen von Rechnungsnummern im System möglich, auf andere Kundenrechnungen zuzugreifen.

Rechnung als Einfallstor

Die Sicherheitslücke wurde bei einem Aufenthalt des CCC-Mitglieds und Sprechers Matthias Marx entdeckt. Nach dem digitalen Check-In, der verpflichtend den Upload eines amtlichen Ausweisdokuments vorsah, erhielt Marx einen Link zu seiner Rechnung. Diese enthielt eine fortlaufende Rechnungsnummer als Parameter in der URL. Durch simples Verändern dieser Zahl ließ sich Zugriff auf Rechnungen anderer Gäste erlangen – laut CCC lückenlos in einem Bereich von über 500.000 Einträgen.

Diese Rechnungen enthielten nicht nur Namen, Adressen, Aufenthaltsorte und -zeiten, sondern auch Buchungsnummern. Mit diesen wiederum konnte auf weitere sensible Daten zugegriffen werden: Im Quellcode der Check-in-Website fand sich ein JSON-Objekt mit vollständigem Namen, E-Mail-Adresse, Telefonnummer und den hochgeladenen Ausweisdaten der jeweiligen Gäste.

Kritik an unnötiger Datenerhebung

Der CCC übt scharfe Kritik an der Praxis, Ausweisdaten zu verlangen und zu speichern. „Wer ein Zimmer gebucht, bezahlt und seinen Check-in-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar“, so Marx. Der CCC fordert die vollständige Abschaffung der Hotelmeldepflicht, auch für Nicht-Deutsche.

Seit Anfang des Jahres gibt es für deutsche Staatsangehörige keine gesetzliche Grundlage mehr für die Speicherung von Ausweisdaten im Hotel. Der CCC sieht daher in der anhaltenden Praxis einen möglichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Schnelle Reaktion, aber Grundsatzfragen bleiben

Numa reagierte auf die Hinweise des CCC und meldete die Schwachstelle am 6. Juni an die Berliner Datenschutzbeauftragte – einen Tag nach der CCC-Meldung. Nach Angaben des Unternehmens wurde die Lücke unmittelbar geschlossen und Betroffene informiert. Hinweise auf eine missbräuchliche Nutzung der Daten liegen laut Numa derzeit nicht vor.

Trotzdem bleibt die zentrale Kritik bestehen: Der Upload von Ausweisdokumenten bleibt bei Numa weiterhin obligatorisch. Für den CCC ist das ein Sicherheitsrisiko, das sich einfach vermeiden ließe – indem solche Daten gar nicht erst erhoben würden. Marx fasst zusammen: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden.“

Zurück

Vielleicht auch interessant

The Ascott Limited baut die Kooperation mit dem FC Chelsea aus und eröffnet erste Themensuiten in Jakarta. Während in Indonesien die Vereinsgeschichte und das Stadionerlebnis im Fokus stehen, ist für 2026 ein markenspezifisches lyf-Hotel direkt an der Londoner Stamford Bridge geplant.

Weiterlesen

Hyatt hat die Eröffnung des Kennedy 89 in Frankfurt am Main bekanntgegeben. Das neue Haus gehört zur The Unbound Collection by Hyatt. Das architektonische Konzept orientiert sich am Geist der frühen 1960er-Jahre und nimmt Bezug auf den Frankfurt-Besuch von John F. Kennedy.

Weiterlesen

Die Stadt Kaiserslautern schafft die rechtlichen Voraussetzungen für ein neues Hotelprojekt. Damit wird der Weg geebnet, ein seit längerer Zeit ungenutztes Areal für den Tourismus wieder zugänglich zu machen und die regionale Bettenkapazität im gehobenen Segment zu erweitern.

Weiterlesen

Das Hotel Remarque in Osnabrück kehrt zu seinen Wurzeln zurück. Seit dem 15. Dezember ist die Beschriftung der internationalen Kette Vienna House by Wyndham vom Dach des Gebäudes entfernt. Stattdessen trägt das Haus nun wieder den Namen Hotel Remarque.

Weiterlesen

In Bodenmais eröffnet am 26. Dezember das Arber Hotel am Rothbach unter der Leitung von Martina Müller. Das Besondere an dem Neustart des ehemaligen Hotels Rothbacher Hof ist die vollständige Übernahme des Teams aus dem früheren Hotel „Zum Arber“.

Weiterlesen

Die US-Hotellerie startet mit einem deutlichen Minus in den Dezember. Während Hurrikan-Folgen und eine sinkende Belegung die landesweiten Kennzahlen drücken, sorgen Sportevents und Kongresse in ausgewählten Städten für punktuelle Zuwächse.

Weiterlesen

Das 5-Sterne-Superior-Resort Trofana Royal in Ischgl präsentiert zur Wintersaison einen neugestalteten Wellnessbereich. Mit Fokus auf modernes Design, hochwertige Naturmaterialien und eine erweiterte Saunalandschaft investiert das Resort weiter in sein Spa-Angebot.

Weiterlesen

Leonardo Hotels bündelt unter der Initiative „LeoDo“ über 180 soziale Projekte in ganz Europa. Von der Obdachlosenhilfe bis hin zu neuen Aktionen für Geschwister kranker Kinder setzen die Hotelteams auf eigenverantwortliches Engagement als festen Bestandteil der ESG-Unternehmensstrategie.

Weiterlesen

Der Faktencheck von Kohl & Partner und RateBoard zeigt für die Wintersaison 2025/26 im Alpenraum eine solide Ausgangslage. Die Nachfrage liegt über dem Vorjahr, bei deutlich regionalen Unterschieden. Tirol führt bei Auslastung und Wachstum, Südtirol liegt im Mittelfeld, Bayern bleibt zurück.

Weiterlesen

Das Hotel Vier Jahreszeiten am Schluchsee präsentiert nach einem Führungswechsel umfangreiche Neuerungen. Mit einer neuen Sportarena, inklusive Padel-Plätzen, einer großflächigen Kinderhalle und einem mediterranen Restaurantkonzept, setzt der Betrieb auf eine moderne Ausrichtung für Familien und Sportbegeisterte im Schwarzwald.

Weiterlesen