Aufregung um das Hotel-Buchungsportal HotelHippo, das von Security-Experten beschuldigt wird, große Datenmengen mit Kundeninformationen nicht ausreichend gesichert zu haben. [...]
Interessierte könnten unter anderem problemlos und ohne großen Aufwand die privaten Wohnadressen von Kunden herausfinden. Die zuständige britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat bereits eine gründliche Untersuchung in dieser Angelegenheit eingeleitet. HotelHippo wurde aus Sicherheitsgründen offline genommen.
„Ich hatte kürzlich das Vergnügen, auf dieser Webseite ein nettes kleines Hotel zu buchen“, schildert der britische Sicherheitsexperte Scott Helme gegenüber BBC News seine erste Begegnung mit HotelHippo. Dabei habe er schnell feststellen müssen, dass das Portal zwar überall mit Gütesiegeln und Stempeln seine Datensicherheit bekundet, diese aber in der Praxis keineswegs wirklich Ernst nimmt. „Ich war erschüttert von dem, was ich dort gefunden habe“, erklärt Helme. Schon nach einigen schnellen Tests habe sich herausgestellt, dass diese Seite ihre Kundendaten quasi „auf dem Präsentierteller“ für Übeltäter bereitstellt. „Es war unglaublich leicht, dort sensible persönliche Informationen von Tausenden Nutzern zu extrahieren“, kritisiert Helme.
Aus technischer Sicht sieht der Sicherheitsexperte vor allem die Art und Weise der Datensammlung und -verwaltung als Kernproblem von HotelHippo. „Die Anfälligkeit resultiert zu einem Großteil aus der Verwendung von spezifischen Web-Adressen“, erläutert Helme. Sobald nämlich ein User eine Buchung auf der Seite durchführt, wird automatisch eine fünfstellige Nummer generiert, die auch in der Adresszeile des Web-Browsers angezeigt wird. „Es reicht, diese Nummer ein wenig abzuändern, um Zugriff auf Details von vorangegangenen Buchungen zu erhalten“, beschreibt der Fachmann.
Das Datenmaterial, das auf diese Weise von Cyber-Kriminellen erbeutet werden könnte, reiche vom Ort und der Länge der jeweiligen Hotelbuchung bis hin zur privaten Wohnadresse der Kunden. „Man könnte ganz leicht ein simples Programm schreiben, um diese Daten automatisch von der Seite zu holen und eine Datenbank mit Adressen anzulegen“, meint Helme.
Seine ersten Sicherheitsprüfungen auf HotelHippo führte der Experte eigenen Angaben zufolge schon Ende des vergangenen Monats durch. Am 25. Juni habe er sich dann erstmals mit genaueren Details zu den gefundenen Sicherheitslücken an den Betreiber des Portals gewandt. Doch sein Bericht habe keinerlei Reaktion hervorgebracht. Mittlerweile hat sich aber auch die ICO-Behörde in die Angelegenheit eingeschaltet und eine „gründliche Aufklärung“ versprochen. Bei HotelHippo wusste man sich in Anbetracht der aktuellen Aufregung offenbar nicht anders zu helfen, als die Webseite bis auf weiteres komplett vom Netz zu nehmen. „Die Privatsphäre unsere Kunden ist unsere oberste Priorität“, begründet der Seitenbetreiber den drastischen Schritt. (pte)
Be the first to comment