Hotelservierungen bei vielen Hotels schlecht geschützt

Eine weitere Branche scheint sich nicht so sehr um die Sicherheit unserer Daten zu kümmern, wie wir es vielleicht möchten. Wenn Sie Hotelreservierungen vornehmen und sie Ihnen die Buchungsdetails per E-Mail zusenden, sind Sie möglicherweise nicht die einzige Person mit Zugriff auf die Dokumente. Symantec fand Fehler auf vielen Hotelwebsites, die zeigten, dass sie sensible Informationen preisgeben.

Hotelreservierungsdaten knacken leicht gemacht

Bevor wir weitermachen, müssen wir vor einigen Jahrzehnten zurückschauen und erkennen, wie viel einfacher das Internet die Buchung von Reisen gemacht hat. Erinnern Sie sich, als Sie ein Reisebüro anrufen mussten, um ein Hotelzimmer oder einen Flug zu buchen? Sie könnten ein Hotel buchen, wenn Sie von seiner Existenz wissen, aber ohne das Internet wüssten Sie nicht, welche Hotels sich an einem bestimmten Strand oder in der Nähe des Flughafens befinden, wenn Sie noch nie zuvor in die Gegend gereist wären. Und es gab keine andere Möglichkeit, Flüge zu buchen. Das Internet hat nicht nur die Buchung von Reisen erleichtert, sondern uns auch viel mehr Kontrolle gegeben, um all diese Entscheidungen selbst recherchieren zu können.

Aber Symantec sagt uns, dass die Freiheit einen Preis hat. Hunderte von Hotel-Websites haben Fehler, die sensible Informationen durchsickern lassen, einschließlich Ihres Namens, Ihrer Telefonnummer, Ihrer Adresse, Ihrer Bestätigungs-E-Mail und sogar Ihrer Passnummer. Bedenken Sie, dass Hacker mit diesen Informationen Ihre Adresse kennen und wann Sie für einen längeren Zeitraum weg sind.

Der Symantec-Bedrohungsforscher Candid Wueest untersuchte mehr als 1.500 Hotel-Websites in mehr als 50 Ländern. Er fand heraus, dass zwei Drittel von ihnen Sicherheitsprobleme hatten. Die Marriott Hotelkette war in letzter Zeit offen für ihre Cyberangriffe, ebenso wie Sheraton, Westin, Starwood und Wyndham Hotels. Marriott gab im vergangenen November zu, dass Hacker die Aufzeichnungen von bis zu 383 Millionen Gästen gestohlen hatten. Es wurde zu einer der größten Verletzungen personenbezogener Daten in der Geschichte.

Eine häufige Sicherheitslücke bei Hotels ist eine URL, die sie an Gäste senden. Etwa 850 Hotel-Websites benötigen keine Authentifizierung, um die Details dieser URL zu sehen. Erstaunlicherweise stellt Wueest fest, dass ein Drittel der Hotels die Buchungsnummer in dieser URL enthält. Werbetreibende und Analysetools von Drittanbietern sind auf diesen Seiten eingebettet, d.h. sie erhalten auch die URL und sind damit für potenzielle Cyberangreifer offen. Wueest fand eine Google Analytics-Anfrage für eine Hotel-Bestätigungsseite mit einer URL und einer Reservierungsnummer.

Viele der Hotel-Websites sind auch anfällig für Brute-Force-Angriffe. Eine Maschine konnte jede mögliche Kombination aus einem achtstelligen Passwort in weniger als drei Stunden erraten. Auf einer bestimmten Hotelwebsite hat Wueest mit roher Gewalt jede aktive Reservierung angezeigt.

Viele Hotels zeigen kein Problembewusstsein

Leider wird es an dieser Stelle nicht viel besser. Die Verantwortung liegt bei den Hotelketten, ihre Vorgehensweise zu verbessern. Enttäuschend berichtet Wueest, dass, als er sich an Hotels wandte, um ihnen die Probleme mit ihren Sicherheitsmaßnahmen zu zeigen, ein Viertel von ihnen die Warnungen mehr als sechs Wochen lang ignorierte. Er empfiehlt, dass sie aufhören, Buchungsinformationen in die URL aufzunehmen und die Authentifizierung auf Bestätigungsseiten verwenden.