Massives Datenleck betrifft Gäste von Expedia, Booking.com und anderen Reiseportalen
Auch Kreditkartendaten und Ausweisdaten sollen zugänglich gewesen sein. (Foto: Ti_ser / Shutterstock)
Der spanische Dienstleister Prestige Software, das die Belegung von Hotelzimmern in Hotels verarbeitet und die Daten dynamisch mit regelmäßigen Aktualisierungen in Websites einspeist, hat offenbar über Jahre hinweg einen fehlkonfigurierten AWS-Bucket gehabt (Amazon Web Services – wobei der Cloud-Anbieter hierfür freilich nichts kann). Wie Website Planet berichtet, sei des deshalb möglich gewesen, dass sich Cyberkriminelle Daten verschaffen konnten, die Hotelgäste betreffen. Konkret könnten laut Medienberichten Daten zu Hotelgästen in falsche Hände gelangt sein, die Buchungen bis ins Jahr 2013 zurück betreffen. Darunter seien auch Kreditkartendaten von Gästen, die sich – wenn auch sicher nicht mehr in allen Fällen – teilweise noch missbräuchlich nutzen lassen. Gerade Personalausweisdaten – auch diese seien zugänglich gewesen – behalten oft über viele Jahre ihre Gültigkeit.
Offenbar wurden ungesichert nicht nur Namen, Mailadressen und Kontaktdaten, sondern auch Ausweisdaten und Kreditkartendaten (inklusive Nummer, Ablaufdaten, CVV-Zahl sowie Inhaber) preisgegeben – sowie Daten und Kosten für Hotelaufenthalte, eventuell auch Sonderwünsche des Gastes und mitreisende Personen. Alleine aus dem August 2020 waren in den Daten rund 180.000 Speicherungen zu finden, so das Portal, wodurch die geltenden Datenschutzbestimmungen und Payment-Standards (PCI DSS) verletzt worden wären.
Bis 2013 zurück: Bist du von dem Datenleck betroffen?
Wer genau zu den Kunden des spanischen Dienstleisters gehört, ist unklar, zumal das Unternehmen hierzu noch keine konkreten Angaben macht. Betroffen sollen aber neben Booking.com, Expedia und Hotels.com auch die Buchungsplattform Amadeus sowie Agoda, Hotelbeds, Sabre und Omnibees sein. Unklar ist allerdings, in welchem Umfang die Daten tatsächlich kopiert wurden und in wieweit sie bereits missbräuchlich verwendet wurden. Denn selbst wenn Verbraucher etwas gemerkt haben, lässt sich ja nicht zweifelsfrei sagen, ob die geleakten Daten hieraus stammen.
Gerade Kreditkartendaten und Ausweisdaten lassen sich für die unterschiedlichsten Betrugsszenarien einsetzen, was dazu führt, dass jeder, der über eines der genannten Portale in den letzten Jahren gebucht hat, besonders akribisch auf Aktivitäten rund um die Kreditkarte achten sollte. Zwischenzeitlich wurde die Sicherheitslücke beseitigt, weil IT-Sec-Spezialisten sowohl AWS als auch den Dienstleister der Channel-Management-Plattform hierüber informiert haben.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team