Eine Sicherheitslücke aufgrund einer Server-Fehlkonfiguration hat die Daten von Buchenden auf großen Online-Buchungsplattformen jahrelang gefährdet
Schlechte Nachrichten für Hotel- und Reisebuchungsseiten: Eine Systemlücke hat möglicherweise Kreditkarten und persönliche Daten in Gefahr gebracht. Es soll sich um eine Software gehandelt haben, die aufgrund einer Fehlkonfiguration der Cloud-Plattform von Amazon Web Services das Ausspähen von Kundendaten von Online-Plattformen ermöglichte. Es handelte sich nicht um einen Online-Reisebetrug, sondern um einen technischen Fehler.
Die Datenpanne wurde von Website Planet gemeldet, die auch einige Informationen über das Ausmaß des Schadens preisgab. Die potenziell gefährdeten Informationen beziehen sich auf Konten und Buchungen, die seit 2013 vorgenommen wurden. Das in Madrid und Barcelona ansässige Unternehmen bietet ein Buchungsmanagementprogramm namens Cloud Hospitality an, mit dem die Verfügbarkeit auf Buchungsportalen automatisch verwaltet wird.
Daten in Gefahr, Cloud Hospitality schuld
Die Software Cloud Hospitality, mit der die Verfügbarkeit auf Reisebuchungsseiten organisiert wird, ist nicht direkt für die Datenpanne verantwortlich. Die Amazon-Cloud, die auf Amazon Web Services S3 gehostet wird, soll das Herzstück des massiven Datenverstoßes sein.
Cloud Hospitality wurde von vielen gewählt, um Buchungen auf der ganzen Welt zu verwalten, und hat seit 2013 über 10 Millionen einzelne Protokolldateien gesammelt. Innerhalb weniger Stunden nach der Entdeckung war Amazons Cloud-Server noch immer in Betrieb, mit mehr als 180.000 Buchungen allein im August 2020.
Cloud Hospitality, welche Daten sind in Gefahr
Die Daten, die durch die Datenpanne offengelegt wurden, sind umfangreich, einige davon von besonderer Bedeutung. Neben den vollständigen Namen, Dokumenten und E-Mail-Adressen, die in den Buchungen enthalten sind, würden auch die Verweise auf die Buchungen selbst und die Angaben zu den Kreditkarten, die sowohl für die Sperrung der Buchung als auch für die Zahlung verwendet werden, wenn diese gleichzeitig mit der Buchung erfolgt, unverschlüsselt bleiben.
Die gefährdeten Daten sind insbesondere die vollständigen Namen und Nummern der Karteninhaber, die CVV-Nummer und das Ablaufdatum. Es ist daher ratsam, seine Zahlungsmethoden im Auge zu behalten, um in den kommenden Wochen keine bösen Überraschungen auf dem Bankkonto zu erleben.
Daten in Gefahr, welche Websites sind betroffen
Nach Angaben von Website Planet sind Daten betroffen, die über eine große Anzahl von Webportalen verarbeitet werden, die zu den meistgenutzten für Buchungen gehören. Neben Booking.com und Expedia wurden auch die Namen Agoda, Hotels.com, Amadeus, Sabre, Omnibees und Hotelbeds gemeldet.