Massives Datenleck betrifft Gäste von Expedia, Booking.com und anderen Reiseportalen
Der spanische Dienstleister Prestige Software, das die Belegung von Hotelzimmern in Hotels verarbeitet und die Daten dynamisch mit regelmäßigen Aktualisierungen in Websites einspeist, hat offenbar über Jahre hinweg einen fehlkonfigurierten AWS-Bucket gehabt (Amazon Web Services – wobei der Cloud-Anbieter hierfür freilich nichts kann). Wie Website Planet berichtet, sei des deshalb möglich gewesen, dass sich Cyberkriminelle Daten verschaffen konnten, die Hotelgäste betreffen. Konkret könnten laut Medienberichten Daten zu Hotelgästen in falsche Hände gelangt sein, die Buchungen bis ins Jahr 2013 zurück betreffen. Darunter seien auch Kreditkartendaten von Gästen, die sich – wenn auch sicher nicht mehr in allen Fällen – teilweise noch missbräuchlich nutzen lassen. Gerade Personalausweisdaten – auch diese seien zugänglich gewesen – behalten oft über viele Jahre ihre Gültigkeit.
Offenbar wurden ungesichert nicht nur Namen, Mailadressen und Kontaktdaten, sondern auch Ausweisdaten und Kreditkartendaten (inklusive Nummer, Ablaufdaten, CVV-Zahl sowie Inhaber) preisgegeben – sowie Daten und Kosten für Hotelaufenthalte, eventuell auch Sonderwünsche des Gastes und mitreisende Personen. Alleine aus dem August 2020 waren in den Daten rund 180.000 Speicherungen zu finden, so das Portal, wodurch die geltenden Datenschutzbestimmungen und Payment-Standards (PCI DSS) verletzt worden wären.
Bis 2013 zurück: Bist du von dem Datenleck betroffen?
Wer genau zu den Kunden des spanischen Dienstleisters gehört, ist unklar, zumal das Unternehmen hierzu noch keine konkreten Angaben macht. Betroffen sollen aber neben Booking.com, Expedia und Hotels.com auch die Buchungsplattform Amadeus sowie Agoda, Hotelbeds, Sabre und Omnibees sein. Unklar ist allerdings, in welchem Umfang die Daten tatsächlich kopiert wurden und in wieweit sie bereits missbräuchlich verwendet wurden. Denn selbst wenn Verbraucher etwas gemerkt haben, lässt sich ja nicht zweifelsfrei sagen, ob die geleakten Daten hieraus stammen.
Gerade Kreditkartendaten und Ausweisdaten lassen sich für die unterschiedlichsten Betrugsszenarien einsetzen, was dazu führt, dass jeder, der über eines der genannten Portale in den letzten Jahren gebucht hat, besonders akribisch auf Aktivitäten rund um die Kreditkarte achten sollte. Zwischenzeitlich wurde die Sicherheitslücke beseitigt, weil IT-Sec-Spezialisten sowohl AWS als auch den Dienstleister der Channel-Management-Plattform hierüber informiert haben.