UK: Datenschutzskandal um Hotel-Buchungsportal

Aufregung um das Hotel-Buchungsportal HotelHippo, das von Security-Experten beschuldigt wird, große Datenmengen mit Kundeninformationen nicht ausreichend gesichert zu haben. [...]

Interessierte könnten unter anderem problemlos und ohne großen Aufwand die privaten Wohnadressen von Kunden herausfinden. Die zuständige britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat bereits eine gründliche Untersuchung in dieser Angelegenheit eingeleitet. HotelHippo wurde aus Sicherheitsgründen offline genommen.

„Ich hatte kürzlich das Vergnügen, auf dieser Webseite ein nettes kleines Hotel zu buchen“, schildert der britische Sicherheitsexperte Scott Helme gegenüber BBC News seine erste Begegnung mit HotelHippo. Dabei habe er schnell feststellen müssen, dass das Portal zwar überall mit Gütesiegeln und Stempeln seine Datensicherheit bekundet, diese aber in der Praxis keineswegs wirklich Ernst nimmt. „Ich war erschüttert von dem, was ich dort gefunden habe“, erklärt Helme. Schon nach einigen schnellen Tests habe sich herausgestellt, dass diese Seite ihre Kundendaten quasi „auf dem Präsentierteller“ für Übeltäter bereitstellt. „Es war unglaublich leicht, dort sensible persönliche Informationen von Tausenden Nutzern zu extrahieren“, kritisiert Helme.

Aus technischer Sicht sieht der Sicherheitsexperte vor allem die Art und Weise der Datensammlung und -verwaltung als Kernproblem von HotelHippo. „Die Anfälligkeit resultiert zu einem Großteil aus der Verwendung von spezifischen Web-Adressen“, erläutert Helme. Sobald nämlich ein User eine Buchung auf der Seite durchführt, wird automatisch eine fünfstellige Nummer generiert, die auch in der Adresszeile des Web-Browsers angezeigt wird. „Es reicht, diese Nummer ein wenig abzuändern, um Zugriff auf Details von vorangegangenen Buchungen zu erhalten“, beschreibt der Fachmann.

Das Datenmaterial, das auf diese Weise von Cyber-Kriminellen erbeutet werden könnte, reiche vom Ort und der Länge der jeweiligen Hotelbuchung bis hin zur privaten Wohnadresse der Kunden. „Man könnte ganz leicht ein simples Programm schreiben, um diese Daten automatisch von der Seite zu holen und eine Datenbank mit Adressen anzulegen“, meint Helme.

Seine ersten Sicherheitsprüfungen auf HotelHippo führte der Experte eigenen Angaben zufolge schon Ende des vergangenen Monats durch. Am 25. Juni habe er sich dann erstmals mit genaueren Details zu den gefundenen Sicherheitslücken an den Betreiber des Portals gewandt. Doch sein Bericht habe keinerlei Reaktion hervorgebracht. Mittlerweile hat sich aber auch die ICO-Behörde in die Angelegenheit eingeschaltet und eine „gründliche Aufklärung“ versprochen. Bei HotelHippo wusste man sich in Anbetracht der aktuellen Aufregung offenbar nicht anders zu helfen, als die Webseite bis auf weiteres komplett vom Netz zu nehmen. „Die Privatsphäre unsere Kunden ist unsere oberste Priorität“, begründet der Seitenbetreiber den drastischen Schritt. (pte)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*