News Hotels und Jugendherbergen betroffen: Millionen Gästedaten wegen Software-Fehler online abrufbar

[mischaef]

Aufgrund mehrerer Sicherheitslücken in einer Buchungsplattform waren Gästedaten zahlreicher deutscher Hotels und Jugendherbergen zeitweise ohne großen Aufwand online einsehbar. Der Software-Anbieter hat die Schwachstellen inzwischen behoben, bewertet die Vorfälle jedoch teilweise anders als die beteiligten Sicherheitsforscher.

Zur News: Hotels und Jugendherbergen betroffen: Millionen Gästedaten wegen Software-Fehler online abrufbar

 

[Alexander 65]

Diese Daten werden gerne verkauft!

 

[Puma7]

Das Modern-Solution-Urteil zeigt leider, wie riskant das Melden von Sicherheitslücken sein kann. Als Finder einer Schwachstelle möchte man verantwortungsvoll handeln und die Betreiber informieren — niemand sollte aus Angst vor juristischen Folgen davon abgehalten werden. Ich hoffe, dieser Fall sorgt dafür, dass Verantwortliche und Gesetzgeber besseren Schutz und klare Regeln für Responsible Disclosure schaffen, damit Sicherheitsforscher nicht kriminalisiert werden, wenn sie auf echte Probleme hinweisen.
https://www.computerbase.de/news/ne...elden-einer-sicherheitsluecke-verklagt.85187/

 

[Lan_Party94]

Gibt's nun eine Klage? War da nicht etwas, wenn man zu wenig für die IT Sicherheit macht und etwas passiert das man mit extremen strafen rechnen muss? Wie in England ein Airline? 🤔

 

[Snoopmore]

Die IT-Struktur sei zuvor von einem externen Auditor ohne Beanstandungen überprüft worden.

Aaaahja. Da ist sie wieder. Die moderne "ich habe aber eine geh-aus-dem-gefägnis-karte"... Wann lernen diese beratungsresistenten Manager endlich, das man dennoch für die eigene infrstruktur vollumfänglich selber verantwortlich ist.

 

[SSD960]

Ist ja nichts schlimmes passiert...

 

[seyfhor]

Die moderne "ich habe aber eine geh-aus-dem-gefägnis-karte".

"Moment, ich jab da mal vor kurzem, muss so um 2000.... 2002 gewesen sein, ein Zertifikat gekauft, äh bekommen"

 

[CastorTransport]

Aaaahja. Da ist sie wieder. Die moderne "ich habe aber eine geh-aus-dem-gefägnis-karte"... Wann lernen diese beratungsresistenten Manager endlich, das man dennoch für die eigene infrstruktur vollumfänglich selber verantwortlich ist.

Nun, man müsste den Auditor mal überprüfen. Obwohl - wenn das Audit 1 Jahr her ist, können neuere Lückenn oder gar Verännderungen am System ja nicht mehr abgedeckt sein. Eigentlich müssten die "audit-konforme" Änderungen reinbringen etc.pp. und 1-2x im Jahr prüfen lassen ^^

 

[anexX]

Von einem "externen Auditor" geprüft worden - so so - der muss aber entweder komplett inkompetent oder sonstwie geistig abwesend gewesen sein, oder beides ... SQL Injection - tztztz. ^^

 

[interesTED]

Wenn es ein 27001 Audit war, hat sich der Auditor ganz bestimmt keine individuellen IT-Systeme angeguckt, weshalb das eine mit dem anderen hier nichts zu tun hat.

 

[andi_sco]

Da ist sie wieder. Die moderne "ich habe aber eine geh-aus-dem-gefägnis-karte"

Ja und der prüft natürlich alles bis auf tiefste, wie jeder Beteiligte weiß.

Bei den Autodoctoren gab es vor kurzem einen Fall, wo der TÜV total versagt hatte.
Es wurden kritische Stellen nicht kontrolliert, mit der Begründung "hätten sie eine ausführlichere Prüfung in Auftrag gegeben, hätten wir die beanstandeten Bauteile auch geprüft".
Nur doof, wenn der frisch vor dem Verkauf gemacht wurde und man verlässt sich ja auf solche Prüfungen.
Aber erst heute wieder beobachtet, wie ein Auto kontrolliert wurde, während man nebenbei die ganze Zeit am Telefon hängt🤢🤮.

 

[Schmarall]

WARUM sind die überhaupt online???

Buchungsplattform macht die Buchung ... und schiebt die Daten dann ins Intranet. Anschließend wird es auf der Plattform gelöscht. Aber nein, hier nicht.
Eigentlich sollte da mit dem Hammer draufgehauen werden (sprich RICHTIG teure Strafe), aber ich sehe schon, dass da mit einem "du du du" nicht viel passieren wird. 🤢

 

[user321]

Wie können denn Daten und den 2000er Jahren betroffen sein? Gibt es da keine Pflicht personenbezogene Daten nach einer gewissen Zeit zu löschen?

 

[lordfritte]

Das ist diese Hintertür für Regierungen?

 

[Gurkenwasser]

Aus irgendeinem Datenleck (oder wurde er bewusst verkauft?) ist von mir ein Datensatz (Name, Vorname / frühere Anschrift / E-Mail Adresse / Mobilnummer) im Umlauf. Seitdem bekam ich anfangs etwa wöchentlich, inzwischen mit deutlich abnehmender Häufigkeit Anrufe von Callcentern, die mir was aufschwatzen wollen oder behaupten, sie seien von EUROPOL.
Zudem kommen auch E-Mails, mit denen ich zu einer Zahlung erpresst werden soll. Andernfalls werde ein Video von mir veröffentlicht, das mich beim Masturbieren zeigt 😂

 

[aid0nex]

Ich dachte mir zuerst "puh, zum Glück war ich in der letzten Zeit in keinem der genannten Hotels/Einrichtungen", aber dann kam das:

Laut einer Mitteilung des Kollektivs sollen die einsehbaren Datensätze teilweise bis Anfang der 2000er-Jahre zurückreichen.

WTF?! Gibt es keine Löschfristen für solche Daten?! Oder wurden die einfach nur ignoriert?? Ich dachte dass die Speicherung personenbezogener Daten nur so lange zulässig ist, wie die Daten benötigt werden. Warum archivieren die Hotelbuchungen von vor 25 Jahren?! Da ich auch schonmal in einem Motel One war, bin ich also auch davon betroffen... Danke auch.

Außerdem: Wie passt diese Aussage hier:

Wie Jiska Classen, IT-Sicherheitsforscherin am Hasso-Plattner-Institut, gegenüber der Tagesschau erklärte, gehören die zugrunde liegenden Sicherheitslücken zu den weltweit „Top Ten“ der bekannten Schwachstellen in Web-Anwendungen und wären entsprechend leicht auszunutzen, aber ebenso leicht zu verhindern gewesen.

Mit der hier zusammen?!

Zudem widersprach der Hersteller der Einschätzung zur Unsicherheit des Systems und erklärte, für eine Ausnutzung der Lücken seien „tiefgehende technische Kenntnisse erforderlich gewesen“. Die IT-Struktur sei zuvor von einem externen Auditor ohne Beanstandungen überprüft worden.

Da sollte sowohl der Anbieter der Software als auch der externe Auditor entsprechend vollständig für haftbar gemacht werden. Welchen Wert hat das Gütesiegel des Auditors wenn offensichtlich jahrelang bekannte Schwachstellen nicht entdeckt werden?!

Ergänzung (9. Oktober 2025)

Wann lernen diese beratungsresistenten Manager endlich, das man dennoch für die eigene infrstruktur vollumfänglich selber verantwortlich ist.

Das ist dieses "ich bezahle Geld an wen anders damit er im Falle eines Falles den Kopf für mich hin hält"

Ergänzung (9. Oktober 2025)

@Gurkenwasser Erhalte ich ebenfalls seit diesem Sommer. Schuld war bei mir die lokale Stadtverwaltung, die ein PDF online gestellt hat wo die persönlichen Daten von allen Kandidaten für die Lokalwahl einsehbar waren: Name, Geburtsdatum, Adresse, E-Mail, Telefonnummer, alles... Wäre mir neu dass das Pflicht ist.

 

[M-X]

Ich liebe es wie diese Software Buden immer sofort das beißen Anfangen und mit haltlosen Behauptungen von "tiefgreifenden Technischen Verständnis" kommen um das ganze als super komplex abzustempeln... wir haben hier kein Spectre sondern eine SQL injection.... Das sind oft Lücken die jeder Automatisierte Pentest gefunden hätte. Da fehlt es einfach Grundsätzlich an Sicherheitsverständnis .

 

[M@tze]

Wenn laut Aussage des Betreibers alles nicht so schlimm war, warum wurde dann jetzt doch gepatcht? Einfach so lassen, wenn es angeblich kaum jemand ausnutzen kann... /s

Andernfalls werde ein Video von mir veröffentlicht, das mich beim Masturbieren zeigt 😂

Was im Zusammenhang mit Deinem Usernamen jetzt nicht mehr ganz so unwahrscheinlich klingt...

 

[-MK]

Schuld war bei mir die lokale Stadtverwaltung, die ein PDF online gestellt hat wo die persönlichen Daten von allen Kandidaten für die Lokalwahl einsehbar waren: Name, Geburtsdatum, Adresse, E-Mail, Telefonnummer, alles...

Und das war legal und mit deiner Zustimmung? Oder was kam als Strafe raus? Denn du bist doch da hoffentlich dran geblieben, oder?

 

[aid0nex]

@-MK Der OB hat sich entschuldigt... Verwaltungsfehler...