UK: Datenschutzskandal um Hotel-Buchungsportal

Aufregung um das Hotel-Buchungsportal HotelHippo, das von Security-Experten beschuldigt wird, große Datenmengen mit Kundeninformationen nicht ausreichend gesichert zu haben. [...]

Interessierte könnten unter anderem problemlos und ohne großen Aufwand die privaten Wohnadressen von Kunden herausfinden. Die zuständige britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat bereits eine gründliche Untersuchung in dieser Angelegenheit eingeleitet. HotelHippo wurde aus Sicherheitsgründen offline genommen.

„Ich hatte kürzlich das Vergnügen, auf dieser Webseite ein nettes kleines Hotel zu buchen“, schildert der britische Sicherheitsexperte Scott Helme gegenüber BBC News seine erste Begegnung mit HotelHippo. Dabei habe er schnell feststellen müssen, dass das Portal zwar überall mit Gütesiegeln und Stempeln seine Datensicherheit bekundet, diese aber in der Praxis keineswegs wirklich Ernst nimmt. „Ich war erschüttert von dem, was ich dort gefunden habe“, erklärt Helme. Schon nach einigen schnellen Tests habe sich herausgestellt, dass diese Seite ihre Kundendaten quasi „auf dem Präsentierteller“ für Übeltäter bereitstellt. „Es war unglaublich leicht, dort sensible persönliche Informationen von Tausenden Nutzern zu extrahieren“, kritisiert Helme.

Aus technischer Sicht sieht der Sicherheitsexperte vor allem die Art und Weise der Datensammlung und -verwaltung als Kernproblem von HotelHippo. „Die Anfälligkeit resultiert zu einem Großteil aus der Verwendung von spezifischen Web-Adressen“, erläutert Helme. Sobald nämlich ein User eine Buchung auf der Seite durchführt, wird automatisch eine fünfstellige Nummer generiert, die auch in der Adresszeile des Web-Browsers angezeigt wird. „Es reicht, diese Nummer ein wenig abzuändern, um Zugriff auf Details von vorangegangenen Buchungen zu erhalten“, beschreibt der Fachmann.

Das Datenmaterial, das auf diese Weise von Cyber-Kriminellen erbeutet werden könnte, reiche vom Ort und der Länge der jeweiligen Hotelbuchung bis hin zur privaten Wohnadresse der Kunden. „Man könnte ganz leicht ein simples Programm schreiben, um diese Daten automatisch von der Seite zu holen und eine Datenbank mit Adressen anzulegen“, meint Helme.

Seine ersten Sicherheitsprüfungen auf HotelHippo führte der Experte eigenen Angaben zufolge schon Ende des vergangenen Monats durch. Am 25. Juni habe er sich dann erstmals mit genaueren Details zu den gefundenen Sicherheitslücken an den Betreiber des Portals gewandt. Doch sein Bericht habe keinerlei Reaktion hervorgebracht. Mittlerweile hat sich aber auch die ICO-Behörde in die Angelegenheit eingeschaltet und eine „gründliche Aufklärung“ versprochen. Bei HotelHippo wusste man sich in Anbetracht der aktuellen Aufregung offenbar nicht anders zu helfen, als die Webseite bis auf weiteres komplett vom Netz zu nehmen. „Die Privatsphäre unsere Kunden ist unsere oberste Priorität“, begründet der Seitenbetreiber den drastischen Schritt. (pte)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*