Die US-Plattform Autoclerk hat wohl unfreiwillig die persönlichen Daten von Best Western Hotel & Resorts Group-Kunden öffentlich im Internet abrufbar bereitgehalten. Unter den Kunden sind auch US-Behörden bzw. die US-Regierung.
Anzeige
Plattform Autoclerk handelt es um ein Reservierungsmanagementsystem der Best Western Hotels and Resorts Group. Wenige Wochen vor der Entdeckung des Lecks durch Sicherheitsforscher wurde Autoclerk von der Best Western Hotel & Resorts Group gekauft.
Leck mit persönlichen Buchungsinformationen
Sicherheitsforscher von vpnmentor sind auf eine Datenbank mit Reservierungsdaten von Kunden gestoßen, die öffentlich und ungeschützt per Internet abrufbar war. Die offene Datenbank wurde auf Amazon Web Servern in den USA gehostet und enthält über 179 GB an Daten. Ein Großteil der exponierten Daten stammt von externen Reise- und Hotel-Plattformen, die die Autoclerk-Plattform zum Datenaustausch untereinander nutzen.
Zu den betroffenen Kundenplattformen gehören Property Management Systeme (PMS), Buchungsmaschinen und Datendienste in der Tourismus- und Gastronomiebranche. Es wurde ja bereits oben erwähnt: Autoclerk ist ein kombiniertes Reservierungssystem für Hotels, Unterkunftsanbieter, Reisebüros und mehr. Zu den Funktionen gehören serverbasierte und Cloud-basierte Property Management Systeme (PMS), eine Web-Buchungsmaschine, zentrale Reservierungssysteme und Hotel-PMS-Schnittstellen.
Aus diesem Grund war die Datenbank, das Team aus Sicherheitsforschern gefunden hat, mit unzähligen Hotel- und Reiseplattformen verbunden. Durch das Leck wurden sensible personenbezogene Daten von Nutzern und Hotelgästen sowie einen vollständigen Überblick über ihre Hotel- und Reisebuchungen offen gelegt. In einigen Fällen gehörten dazu auch die Check-in-Zeit und die Zimmernummer. Es betraf weltweit 1.000 Personen, wobei täglich Millionen neuer Datensätze hinzugefügt wurden. Zu den Daten, die einsehbar waren, gehören:
Anzeige
- Vollständiger Name
- Geburtsdatum
- Privatadresse
- Telefon-Nummer
- Daten & Reisekosten
- Maskierte Kreditkartendaten
Bei bestimmten Reservierungen wurde nach dem Einchecken eines Gastes in ein Hotel auch dessen Check-in-Zeit und Zimmernummer in der Datenbank sichtbar. Solche Daten sind natürlich ein gefundenes Fressen für Cyber-Kriminelle, die damit allerlei anstellen können.
US-Militär und –Behörden als Kunden
Was überraschend war: Das größte Opfer dieses Lecks war keine Einzelperson oder Firma. Vielmehr gehören die US-Regierung, das Militär und das Department of Homeland Security (DHS) zu den Nutzern dieser Plattform.
Eine der in der Datenbank enthaltenen Plattformen war ein Auftragnehmer der US-Regierung, des Militärs und des DHS. Der Auftragnehmer verwaltet die Reisevorbereitungen von US-Regierungs- und Militärpersonal sowie von unabhängigen Auftragnehmern, die mit amerikanischen Verteidigungs- und Sicherheitsbehörden zusammenarbeiten.
Das Leck enthüllte die persönlichen Identifizierungsdaten (PII) des Personals und dessen Reisevorkehrungen. Die Sicherheitsforscher stießen auf Daten von der US-Generälen, die nach Moskau, Tel Aviv und vielen anderen Zielen reisten. Zu den Daten gehörten auch deren E-Mail-Adresse, Telefonnummern und andere sensible persönliche Daten.
Das heißt, hochsensible und persönliche Daten von Regierungsmitarbeitern und Militärpersonal sowie deren Reisevorbereitungen (in der Vergangenheit und für geplante Reisen) zu Orten auf der ganzen Welt waren einsehbar. Dies bedeutete einen massiven Sicherheitsverstoß für die betroffenen Behörden und Abteilungen.
Zeitlicher Ablauf der Entdeckung
Am 13. September 2019 entdeckten die israelischen Sicherheitsforscher die entsprechende Datenbank per Internetsuche. In diesem Fall war der Eigentümer der Datenbank aufgrund der Anzahl der externen Herkunftspunkte und der schieren Größe der exponierten Daten für eine Weile unklar. Die Sicherheitsforscher vermuteten aber, dass die Datenbank Autoclerk gehörte.
Daher kontaktierten die Sicherheitsforscher am gleichen Tag das US CERT, erhielten aber keine Antwort. Daher wurde die US-Botschaft in Tel Aviv am 19. September über das Datenleck und die fehlende CERT-Antwort informiert. Am 26. September 2019 gab es dann einen Kontakt mit einem Vertreter des Pentagons. Dieser stellte sicher, dass das Thema behandelt wird. Am 2. Oktober 2019 wurde die offene Datenbank endlich geschlossen.
Weitere Details sind hier einsehbar. Der Vorfall zeigt erneut, dass die Büchse der Pandora geöffnet wurde. Heute kann eigentlich niemand mehr sicher sein, dass seine persönlichen Daten nicht in irgend einer öffentlich abrufbaren Datenbank ungeschützt abrufbar sind.
Anzeige
Herr Born, ein Artikel zum KB4523786 Autopilot Update das auch Home user bekommen?
2019-10 Windows Autopilot Update für Windows 10 Version 1903 für x64-basierte Systeme (KB4523786)
https://support.microsoft.com/de-de/help/4523786/cumulative-update-for-autopilot-in-windows-10-version-1903