Datenleck bei Apartmentanbieter Numa entdeckt

| Hotellerie Hotellerie

Ein Mitglied des Chaos Computer Clubs (CCC) hat bei Apartmentanbieter Numa ein schwerwiegendes Datenleck aufgedeckt, das den ungeschützten Zugriff auf über eine halbe Million Kundendatensätze inklusive sensibler Ausweisdaten ermöglichte. Wie zuerst Zeit Online berichtete und vom CCC bestätigt wurde, war es durch einfaches Hoch- und Runterzählen von Rechnungsnummern im System möglich, auf andere Kundenrechnungen zuzugreifen.

Rechnung als Einfallstor

Die Sicherheitslücke wurde bei einem Aufenthalt des CCC-Mitglieds und Sprechers Matthias Marx entdeckt. Nach dem digitalen Check-In, der verpflichtend den Upload eines amtlichen Ausweisdokuments vorsah, erhielt Marx einen Link zu seiner Rechnung. Diese enthielt eine fortlaufende Rechnungsnummer als Parameter in der URL. Durch simples Verändern dieser Zahl ließ sich Zugriff auf Rechnungen anderer Gäste erlangen – laut CCC lückenlos in einem Bereich von über 500.000 Einträgen.

Diese Rechnungen enthielten nicht nur Namen, Adressen, Aufenthaltsorte und -zeiten, sondern auch Buchungsnummern. Mit diesen wiederum konnte auf weitere sensible Daten zugegriffen werden: Im Quellcode der Check-in-Website fand sich ein JSON-Objekt mit vollständigem Namen, E-Mail-Adresse, Telefonnummer und den hochgeladenen Ausweisdaten der jeweiligen Gäste.

Kritik an unnötiger Datenerhebung

Der CCC übt scharfe Kritik an der Praxis, Ausweisdaten zu verlangen und zu speichern. „Wer ein Zimmer gebucht, bezahlt und seinen Check-in-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar“, so Marx. Der CCC fordert die vollständige Abschaffung der Hotelmeldepflicht, auch für Nicht-Deutsche.

Seit Anfang des Jahres gibt es für deutsche Staatsangehörige keine gesetzliche Grundlage mehr für die Speicherung von Ausweisdaten im Hotel. Der CCC sieht daher in der anhaltenden Praxis einen möglichen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Schnelle Reaktion, aber Grundsatzfragen bleiben

Numa reagierte auf die Hinweise des CCC und meldete die Schwachstelle am 6. Juni an die Berliner Datenschutzbeauftragte – einen Tag nach der CCC-Meldung. Nach Angaben des Unternehmens wurde die Lücke unmittelbar geschlossen und Betroffene informiert. Hinweise auf eine missbräuchliche Nutzung der Daten liegen laut Numa derzeit nicht vor.

Trotzdem bleibt die zentrale Kritik bestehen: Der Upload von Ausweisdokumenten bleibt bei Numa weiterhin obligatorisch. Für den CCC ist das ein Sicherheitsrisiko, das sich einfach vermeiden ließe – indem solche Daten gar nicht erst erhoben würden. Marx fasst zusammen: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden.“

Zurück

Vielleicht auch interessant

Der Immobilienberater Christie & Co ist nach eigenen Angaben mit der Vermarktung der Hotels Wilder Mann und Sächsischer Hof im Erzgebirge beauftragt worden. Wie das Unternehmen mitteilt, stehen beide Häuser zum Verkauf und werden einzeln oder im Paket angeboten. Auftraggeber sind die jeweiligen Eigentümer der Immobilien.

Weiterlesen

Laut Savills erreichten Investitionen in Serviced Apartments in Europa 2025 rund 1,2 Milliarden Euro. Die Analyse zeigt steigende Nachfrage, regulatorische Einflüsse und unterschiedliche Entwicklungen in einzelnen Märkten.

Weiterlesen

Die Althoff Collection hat mit rund 300 Gästen die offizielle Eröffnung des Hotels The Florentin in Frankfurt am Main gefeiert. Neben Vertretern aus der Politik nahmen zahlreiche prominente Persönlichkeiten an der feierlichen Eröffnung teil.

Weiterlesen

Die Hotelvereinigung Small Luxury Hotels of the World verzeichnet im ersten Quartal 2026 einen Zuwachs von 29 Mitgliedshäusern. Das globale Netzwerk wächst damit auf insgesamt über 700 Standorte in 100 Ländern an.

Weiterlesen

Nach der Insolvenz der Revo Hospitality Group übernimmt Proark vier Hotels in Deutschland. Der Betreiber plant laut Mitteilung Modernisierungen und eine Weiterführung der Standorte.

Weiterlesen

Accor hat im ersten Quartal 2026 einen Umsatz von 1,313 Milliarden Euro erzielt. Der RevPAR legte nach Angaben des Unternehmens um 5,1 Prozent zu. Das Geschäft habe sich in einem durch den Konflikt im Nahen Osten belasteten Umfeld entwickelt.

Weiterlesen

Mit der Eröffnung des Conrad Athens The Ilisian bringt Hilton seine Luxusmarke Conrad erstmals nach Griechenland. Das ehemalige Hilton Athens wurde dafür vollständig umgestaltet und bietet nun neben 278 Zimmern umfangreiche Wellness- und Gastronomieangebote.

Weiterlesen

Die italienische Wettbewerbsbehörde untersucht Booking.com wegen des Verdachts auf irreführende Geschäftspraktiken bei Partnerprogrammen. Im Zentrum stehen Vorwürfe, nach denen Sichtbarkeit auf der Plattform gegen höhere Provisionen statt echter Qualität gewährt wird.

Weiterlesen

Condé Nast Traveller präsentiert zum 30. Mal seine Auswahl der weltweit besten neuen Hotels. In Europa überzeugen vor allem Projekte in historischen Gebäuden und nachhaltige Konzepte in Metropolen wie Frankfurt, Wien und Rom.

Weiterlesen

Der Scheelehof in Stralsund soll nach der Insolvenz im Verbund der Lieblingsplatz Hotels weitergeführt werden. Laut Pressemitteilung übernimmt Lieblingsplatz Hotels dabei die Rolle des System- und Konzeptgebers, während der operative Betrieb durch einen Betreiber aus dem Umfeld der Gruppe erfolgen soll.

Weiterlesen