Anzeige
Anzeige
News

Gefährliches Datenleck: Wie ein einzelnes Zeichen sensible Infos von Hotelgästen offenlegt

Ein Sicherheitsforscher hat eine ungewöhnliche Schwachstelle in einer Software für Check-in-Terminals entdeckt, die in vielen Hotels verwendet werden. Ein einzelnes Zeichen kann demnach den Zugang zu persönlichen Daten der Gäste öffnen.

2 Min.
Artikel merken
Anzeige
Anzeige

Sicherheitslücke in Check-in-Terminals von Hotels entdeckt. (Symbolbild: August_0802/Shutterstock)

Anfang April 2024 hatte Sicherheitsforscher Martin Schobert von der IT-Security-Firma Pentagrid über eine von ihm entdeckte Schwachstelle in einem Check-in-Terminal eines Ibis-Hotels berichtet. Demnach reichte die Eingabe einer ungültigen Buchungs-ID in Form von „——“ aus, um an die Zimmernummern und die Tastenschloss-Codes anderer Gäste zu kommen.

Anzeige
Anzeige

Check-in-Terminals in Hotels mit Sicherheitslücken

Mit diesen Informationen könnte man sich jederzeit physischen Zugang zu deren Hotelzimmern verschaffen. Hersteller und Marke des Check-in-Terminals konnte Schobert nicht verifizieren. Jetzt hat der Experte aber eine weitere Schwachstelle entdeckt, die mit einem solchen Hotelterminal in Verbindung steht – dieses Mal inklusive Hersteller.

Wie Pentagrid mitteilt, lief das betroffene Selbstbedienungsterminal mit der Software Allegro Scenario Player der Firma Ariane Systems. Ähnlich wie im oben beschriebenen Fall soll Schobert auch hier durch Zufall auf die Sicherheitslücke gestoßen.

Anzeige
Anzeige

Apostroph bringt System zum Absturz

Demnach habe er bei einem Hotelbesuch das dort angebotene Selbstbedienungsterminal zum Check-in verwendet. Das Verwenden eines Apostrophs wie in „O’YOLO“ bei der Eingabe des Nachnamens habe das System zum Absturz gebracht. Anschließend sei der Zugriff auf einen Windows-Desktop möglich gewesen.

Dort wiederum seien „die auf dem Terminal gespeicherten Daten, einschließlich personenbezogener Daten, Reservierungen und Rechnungen“ einsehbar gewesen. Hätten findige Angreifer:innen die Möglichkeit, einen Programmcode auf dem Terminal einzuschleusen und auszuführen, hätten sie sich auch Zimmerschlüssel für andere Zimmer erstellen können, so Schobert.

Anzeige
Anzeige

Software laut Hersteller gepatcht

Ariane Systems zeigte sich angesichts des Problems laut Pentagrid nicht sonderlich beeindruckt und stritt zunächst ab, dass über das Terminal personenbezogene Daten abgerufen werden könnten. Es handle sich um „Altsysteme“, hieß es in einer ersten Reaktion.

Von sinnfreien Sicherheitsfragen bis zu unsicheren Passwörtern: Die dümmsten Security-Patzer Quelle: (Foto: Wirestock Creators / Shutterstock.com)

Später erklärte das Unternehmen dann laut Schobert, dass das Problem im Allegro Scenario Player behoben sei – ohne allerdings eine Angabe dazu zu machen, mit welcher Version der Software die Sicherheitslücke gepatcht wurde. Ebenfalls nicht offiziell bestätigt ist, welche Terminals und welche Hotels von dem Problem betroffen sind. Schobert zufolge könnte es sich um ein Terminal der Serie Ariane Duo 6000 handeln.

Anzeige
Anzeige

Hotels sollten neueste Softwareversion installieren

Pentagrid empfiehlt, dass Hotels, die über ein Check-in-Terminal des Herstellers verfügen, die neueste Version der Software installieren sollten. Laut eigenen Angaben bediene Ariane Systems „derzeit 3.000 Hotels und 500.000 Zimmer in mehr als 25 Ländern“, darunter „ein Drittel der 100 größten Hotelketten weltweit“.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige