Datenleck bei Apartmentanbieter Numa entdeckt

| Hotellerie Hotellerie

Ein Mitglied des Chaos Computer Clubs (CCC) hat bei Apartmentanbieter Numa ein schwerwiegendes Datenleck aufgedeckt, das den ungeschützten Zugriff auf über eine halbe Million Kundendatensätze inklusive sensibler Ausweisdaten ermöglichte. Wie zuerst Zeit Online berichtete und vom CCC bestätigt wurde, war es durch einfaches Hoch- und Runterzählen von Rechnungsnummern im System möglich, auf andere Kundenrechnungen zuzugreifen.

Rechnung als Einfallstor

Die Sicherheitslücke wurde bei einem Aufenthalt des CCC-Mitglieds und Sprechers Matthias Marx entdeckt. Nach dem digitalen Check-In, der verpflichtend den Upload eines amtlichen Ausweisdokuments vorsah, erhielt Marx einen Link zu seiner Rechnung. Diese enthielt eine fortlaufende Rechnungsnummer als Parameter in der URL. Durch simples Verändern dieser Zahl ließ sich Zugriff auf Rechnungen anderer Gäste erlangen – laut CCC lückenlos in einem Bereich von über 500.000 Einträgen.

Diese Rechnungen enthielten nicht nur Namen, Adressen, Aufenthaltsorte und -zeiten, sondern auch Buchungsnummern. Mit diesen wiederum konnte auf weitere sensible Daten zugegriffen werden: Im Quellcode der Check-in-Website fand sich ein JSON-Objekt mit vollständigem Namen, E-Mail-Adresse, Telefonnummer und den hochgeladenen Ausweisdaten der jeweiligen Gäste.

Kritik an unnötiger Datenerhebung

Der CCC übt scharfe Kritik an der Praxis, Ausweisdaten zu verlangen und zu speichern. „Wer ein Zimmer gebucht, bezahlt und seinen Check-in-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar“, so Marx. Der CCC fordert die vollständige Abschaffung der Hotelmeldepflicht, auch für Nicht-Deutsche.

Seit Anfang des Jahres gibt es für deutsche Staatsangehörige keine gesetzliche Grundlage mehr für die Speicherung von Ausweisdaten im Hotel. Der CCC sieht daher in der anhaltenden Praxis einen möglichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Schnelle Reaktion, aber Grundsatzfragen bleiben

Numa reagierte auf die Hinweise des CCC und meldete die Schwachstelle am 6. Juni an die Berliner Datenschutzbeauftragte – einen Tag nach der CCC-Meldung. Nach Angaben des Unternehmens wurde die Lücke unmittelbar geschlossen und Betroffene informiert. Hinweise auf eine missbräuchliche Nutzung der Daten liegen laut Numa derzeit nicht vor.

Trotzdem bleibt die zentrale Kritik bestehen: Der Upload von Ausweisdokumenten bleibt bei Numa weiterhin obligatorisch. Für den CCC ist das ein Sicherheitsrisiko, das sich einfach vermeiden ließe – indem solche Daten gar nicht erst erhoben würden. Marx fasst zusammen: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden.“

Zurück

Vielleicht auch interessant

Die niederländische Hotelkette Fletcher Hotels setzt den Expansionskurs in Deutschland fort und übernimmt mit dem ehemaligen Romantik Berghotel Astenkrone den zweiten deutschen Betrieb innerhalb einer Woche.

Das Hotel Ensana Fürstenhof in Bad Griesbach wird nach einer Modernisierung im Spätsommer wiedereröffnet. Der europäische Spa-Anbieter bringt damit sein gesundheitstouristisches Konzept mit Thermal-Infrastruktur erstmals nach Deutschland.

Marriott International und Blacksand haben ein Abkommen über den Bau von zehn Hotels mit über 1.300 Zimmern in Saudi-Arabien unterzeichnet. Die Projekte sollen bis 2030 realisiert werden und über 6.000 neue Arbeitsplätze schaffen.

Premier Inn hat die Eröffnung eines neuen Hotels in Bremerhaven bekanntgegeben. Mit dem Standort an der Wesermündung wächst das Unternehmen nach eigenen Angaben auf 73 Hotels in Deutschland. Das neue Haus befindet sich direkt am Deich zwischen Hafen und Innenstadt und umfasst 115 Zimmer auf sieben Etagen.

Bislang war nur bekannt, dass Motel One zu den Hotelgruppen zählt, die an Teilen des Revo-Hospitality-Portfolios Interesse zeigen. Nun nennt eine Wettbewerbsbehörde weitere konkrete Standorte. Demnach will die Hotelgruppe Häuser in Deutschland, Österreich, Polen und Ungarn übernehmen.

Ein laufendes Fusionskontrollverfahren des Bundeskartellamts macht erstmals einen Interessenten aus dem Investorenprozess der Revo Hospitality Group öffentlich. Motel One plant demnach die Übernahme von zehn Hotels in Deutschland.

Mandarin Oriental hat an der Südwestküste Mallorcas das neue Resort Mandarin Oriental Punta Negra eröffnet. Die Anlage in Calvià verfügt über 131 Zimmer sowie umfangreiche Wellness- und Gastronomieangebote.

Das Hotel Dein Engel in Oberstaufen plant mit dem Projekt „Engels Ursprung“ eine umfangreiche Erweiterung. Vorgesehen sind unter anderem neue Wasser- und Freizeitbereiche, zusätzliche Gastronomieflächen sowie ein Veranstaltungsraum. Das Hotel beziffert die Investitionen auf einen hohen zweistelligen Millionenbetrag.

Das Dorint Hotel An der Messe Köln feiert sein 25-jähriges Bestehen mit einer internen Jubiläumsfeier für die Belegschaft. Die Unternehmensleitung hebt dabei die wirtschaftliche Bedeutung des Standorts innerhalb der Hotelgruppe hervor.

Hyatt kündigt drei neue Hotelprojekte in Rom und auf Sizilien mit insgesamt 428 Zimmern an. Damit führt das Unternehmen zwei neue Marken auf dem italienischen Markt ein und reagiert auf die prognostizierten Wachstumswerte im europäischen Tourismus.