Datenleck bei Apartmentanbieter Numa entdeckt

| Hotellerie Hotellerie

Ein Mitglied des Chaos Computer Clubs (CCC) hat bei Apartmentanbieter Numa ein schwerwiegendes Datenleck aufgedeckt, das den ungeschützten Zugriff auf über eine halbe Million Kundendatensätze inklusive sensibler Ausweisdaten ermöglichte. Wie zuerst Zeit Online berichtete und vom CCC bestätigt wurde, war es durch einfaches Hoch- und Runterzählen von Rechnungsnummern im System möglich, auf andere Kundenrechnungen zuzugreifen.

Rechnung als Einfallstor

Die Sicherheitslücke wurde bei einem Aufenthalt des CCC-Mitglieds und Sprechers Matthias Marx entdeckt. Nach dem digitalen Check-In, der verpflichtend den Upload eines amtlichen Ausweisdokuments vorsah, erhielt Marx einen Link zu seiner Rechnung. Diese enthielt eine fortlaufende Rechnungsnummer als Parameter in der URL. Durch simples Verändern dieser Zahl ließ sich Zugriff auf Rechnungen anderer Gäste erlangen – laut CCC lückenlos in einem Bereich von über 500.000 Einträgen.

Diese Rechnungen enthielten nicht nur Namen, Adressen, Aufenthaltsorte und -zeiten, sondern auch Buchungsnummern. Mit diesen wiederum konnte auf weitere sensible Daten zugegriffen werden: Im Quellcode der Check-in-Website fand sich ein JSON-Objekt mit vollständigem Namen, E-Mail-Adresse, Telefonnummer und den hochgeladenen Ausweisdaten der jeweiligen Gäste.

Kritik an unnötiger Datenerhebung

Der CCC übt scharfe Kritik an der Praxis, Ausweisdaten zu verlangen und zu speichern. „Wer ein Zimmer gebucht, bezahlt und seinen Check-in-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar“, so Marx. Der CCC fordert die vollständige Abschaffung der Hotelmeldepflicht, auch für Nicht-Deutsche.

Seit Anfang des Jahres gibt es für deutsche Staatsangehörige keine gesetzliche Grundlage mehr für die Speicherung von Ausweisdaten im Hotel. Der CCC sieht daher in der anhaltenden Praxis einen möglichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Schnelle Reaktion, aber Grundsatzfragen bleiben

Numa reagierte auf die Hinweise des CCC und meldete die Schwachstelle am 6. Juni an die Berliner Datenschutzbeauftragte – einen Tag nach der CCC-Meldung. Nach Angaben des Unternehmens wurde die Lücke unmittelbar geschlossen und Betroffene informiert. Hinweise auf eine missbräuchliche Nutzung der Daten liegen laut Numa derzeit nicht vor.

Trotzdem bleibt die zentrale Kritik bestehen: Der Upload von Ausweisdokumenten bleibt bei Numa weiterhin obligatorisch. Für den CCC ist das ein Sicherheitsrisiko, das sich einfach vermeiden ließe – indem solche Daten gar nicht erst erhoben würden. Marx fasst zusammen: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden.“

Zurück

Vielleicht auch interessant

Die The Chocolate on the Pillow Group (COTP) hat einen Miet- und Franchisevertrag für das im Bau befindliche Holiday Inn Express Kassel unterzeichnet. Damit sichert sich das Unternehmen das dritte Hotel aus der Insolvenz der Revo Hospitality Group.

Grand Metropolitan Hotels will das gemeinsame Joint Venture mit dem Versorgungswerk der Zahnärztekammer Berlin (VZB) beenden. Gleichzeitig berichten Medien über weitreichende Maßnahmen eines Amsterdamer Gerichts im laufenden Streit zwischen beiden Gesellschaftern.

Für das insolvente Traditionshotel Bösehof in Bad Bederkesa zeichnet sich eine Lösung ab. Ein Ehepaar aus der Region soll das Haus übernehmen, während die Gläubiger noch im Juli über den Insolvenzplan entscheiden.

Der Convenience-Großhändler MCS hat im Highway Hotel Herbolzheim seinen ersten autonomen 24-Stunden-Shop eröffnet. Mit dem Standort erweitert das Unternehmen sein Konzept erstmals auf die Hotellerie.

Eine professionell gestaltete E-Mail zu einem angeblichen Bettwanzenbefall hat in einem Hotelunternehmen zunächst einen glaubwürdigen Eindruck hinterlassen. Erst ein nicht existierendes Zimmer entlarvte den Vorgang als Phishing-Versuch.

Die Accor-Gruppe erweitert im Jahr 2026 ihr weltweites Hotelportfolio um zahlreiche neue Standorte und Luxusprojekte. Der Fokus liegt dabei auf einer globalen Expansion in unterschiedlichen Marktsegmenten.

Eine Branchenstudie von XPORT hat knapp 20.000 deutsche Hotel-Websites automatisiert auf Barrierefreiheit untersucht. Nach Angaben des Unternehmens weisen mehr als 85 Prozent der analysierten Seiten erkennbare Verstöße gegen WCAG-Richtlinien auf.

Smartments wird zwei Serviced-Apartmenthäuser in Berlin und Bielefeld für M&G Real Estate betreiben. Mit den langfristigen Mietverträgen wächst das Portfolio des Unternehmens auf 16 Standorte mit 2.389 Apartments.

Eine YouGov-Umfrage im Auftrag von a&o Hostels zeigt: Für viele Europäer bestimmen im Sommer 2026 vor allem Kosten und Unsicherheiten die Urlaubsplanung. Während jeder Elfte ganz auf eine Reise verzichtet, gewinnen Kurztrips innerhalb Europas an Bedeutung.

Aus einem ehemaligen H-Plus-Hotel entstand innerhalb von sechs Monaten das Moxy Zurich. Marco Meier von der SV Hotel beschreibt in einem Video-Gespräch, wie der Betreiberwechsel, der Umbau und die Neupositionierung des Hauses umgesetzt wurden.