Sicherheitslücken beim Online-Check-in: Daten von Hotelgästen potenziell zugänglich

| Technologie Technologie

Eine Sicherheitsanalyse hat, inzwischen behobene, Mängel in einem Hotel-Check-in-System offengelegt. Die aufgedeckten Schwachstellen betrafen demnach die Plattform LIKE MAGIC eines Schweizer Softwareanbieters und könnten den Zugriff auf sensible personenbezogene Daten und Ausweisdokumente von Hotelgästen ermöglicht haben.

Die Rechercheure des IT-Sicherheitskollektivs zerforschung stießen im Rahmen ihrer Reise auf eine Schwachstelle bei einem Online-Check-in-System, das von der likeMagic AG betrieben wird. Sie hatten vorab die Möglichkeit genutzt, digital einzuchecken, was in vielen Hotels mittlerweile eine gängige Praxis ist. Dabei stellten sie fest, dass das System Sicherheitsmängel aufwies. Die Plattform wird von der Firma für zahlreiche Hotels und Hotelketten bereitgestellt, die wiederum das System unter ihrer eigenen Domain nutzen.

Hier die Analyse bei zerforschung lesen: https://zerforschung.org/posts/likemagic/

Die Analyse, die am 5. September begann, zeigte, dass das System, auch nachdem sich die Rechercheure mit einem selbst erstellten Account angemeldet hatten, den Zugriff auf Dateien anderer Gäste erlaubte. Dabei war keine besondere Authentifizierung oder eine tiefergehende Berechtigung notwendig. Es reichte aus, die Buchungsnummer einer anderen Person zu kennen, um deren persönliche Dokumente wie Unterschriften, Rechnungen und sogar hochgeladene Ausweiskopien abrufen zu können.

Ein Mitglied des Kollektivs verglich diese Sicherheitslücke in „Der Zeit“ mit einer Hotelschloss-Funktion: „Das ist so, als ob eine Hoteltür nur fragt, ob man irgendeine Zimmerkarte an das Schloss hält, und nicht, welche Karte.“

Eine weitere Schwachstelle betraf die Schnittstelle zur Abfrage von Gästedaten. Bei einer bestimmten Form der Suche hätte ein Angreifer mit nur 26 Anfragen alle Dokumente von allen Buchungen in dem System abrufen können, da die Buchungsnummern stets mit einem Großbuchstaben begannen, sagen die Forscher. Schätzungen der Rechercheure zufolge, wären, so die Forscher, bei der betroffenen Hotelkette allein die Daten von rund 200.000 Buchungen zugänglich, darunter 90.000 Ausweisdokumente. Insgesamt schätzen die Forscher, dass bis zu einer halben Million Personen- und Rechnungsdaten betroffen hätten sein können.

Cybersicherheit als Chefsache

Der Fall wirft ein Schlaglicht auf die wachsende Bedeutung der Cybersicherheit im Gastgewerbe. Nach Ansicht von Unternehmer Marco Nussbaum, Vorstandsmitglieds des Hotelverbandes Deutschland (IHA), muss das Thema zur Chefsache werden. In einem öffentlichen Statement betonte er, die Digitalisierung mache Hotels zunehmend zu einem Ziel für Hacker. Die Folge sei ein massiver Vertrauensverlust bei den Gästen sowie das Risiko von Bußgeldern und langfristigem Imageschaden für die Hotels.

Als Reaktion auf solche Vorfälle leistet der Hotelverband Deutschland (IHA) nach Angaben von Nussbaum verstärkt Aufklärungsarbeit und bietet Mitgliedern Seminare und Hilfsmaterialien an. Er appelliert an Hoteliers, sich grundlegende Fragen zu stellen: Sind die eigenen Systeme wirklich sicher? Sind die Mitarbeiter geschult? Und gibt es einen Notfallplan?

Laut Nussbaum lässt sich das enorme Potenzial der Digitalisierung nur mit robusten Sicherheitskonzepten sicher nutzen.

Schnelle Reaktion von Like Magic

Nach der Entdeckung meldeten die IT-Sicherheitsexperten die Lücken am 7. September umgehend dem Softwareanbieter. Dieser reagierte sehr schnell und schloss die Schwachstellen innerhalb weniger Stunden. In ihrem Bericht lobten die Sicherheitsexperten die zügige Reaktion des Unternehmens. Ebenfalls positiv hervorgehoben wurde die kurz darauf erfolgte Veröffentlichung einer Vulnerability Disclosure Policy, die einen strukturierten Prozess zur Meldung von Sicherheitslücken festlegt.


 

Zurück

Vielleicht auch interessant

Pressemitteilung

Otherwander Soho hat sich für Apaleo als ihr PMS entschieden. Das neu eröffnete Pod-Hotel mit 566 Pods im Herzen Londons setzt auf die offene Plattform für eine vollständig digitale Gästereise und einen konsequent schlanken Betrieb. 

Eine repräsentative Bitkom-Umfrage zeigt erhebliche Unterschiede beim Wissen der Deutschen über digitale Sicherheit. Während Cyberangriffe den meisten Bürgern ein Begriff sind, bleiben konkrete Schutzmechanismen wie Passkeys oft unbekannt.

Amadeus erweitert seine strategische Partnerschaft mit Google und integriert das Sprachmodell Gemini sowie Google Maps für personalisierte Reiseempfehlungen. Die Kooperation baut auf der laufenden Migration von Plattformteilen in die Google Cloud auf, die die globale Reichweite des IT-Dienstleisters auf 42 Regionen ausweitet.

Das Technologieunternehmen Amadeus migriert Teile seiner Plattform in die Google Cloud und nutzt künftig generative Künstliche Intelligenz. Die Kooperation soll die globale Reichweite ausbauen und die Effizienz optimieren.

American Express plant die Übernahme der Restaurantreservierungsplattform TheFork von Tripadvisor. Der Kaufpreis soll bei 700 Millionen US-Dollar liegen, der Abschluss wird bis Ende 2026 angestrebt.

Die spanische Datenschutzbehörde AEPD hat gegen das Technologieunternehmen Amadeus eine Strafe von 14,4 Millionen Euro verhängt. Grund ist die unzulässige Verknüpfung von Buchungs- und Hoteldaten zur Profilerstellung ohne Einwilligung der Reisenden.

Eine repräsentative Umfrage des Digitalverbands Bitkom zeigt, dass 36 Prozent der Deutschen ungern um Hilfe bei technischen Problemen bitten, obwohl die große Mehrheit Unterstützung nutzt. Besonders bei jüngeren Menschen und Männern ist die Hemmschwelle hoch.

IHG Hotels & Resorts hat eine Anwendung in ChatGPT gestartet und kündigt die Einführung einer KI-gestützten Gesprächssuche auf seiner Website und in der IHG-One-Rewards-App an. Die neuen Funktionen sollen die Hotelsuche und Buchung vereinfachen.

Google hat erstmals offiziell Stellung zu Generative Engine Optimization (GEO) bezogen. In einem neuen Leitfaden erklärt das Unternehmen, dass die Optimierung für KI-Suchfunktionen aus seiner Sicht weiterhin klassische Suchmaschinenoptimierung ist.

Manna Air Delivery hat eine neue Partnerschaft mit Uber angekündigt und will sein Drohnenliefernetz in den USA und Europa ausbauen. Bereits heute arbeitet das Unternehmen mit Plattformen wie Deliveroo, Just Eat und DoorDash zusammen.