Letzte Woche war bereits bekannt geworden, dass die Motel One Gruppe Opfer eines Cyberangriffs wurde. Wurde seinerzeit noch von der Hotelgruppe mitgeteilt, dass sich der Schaden in Grenzen halte, hat die BlackCat/AlphV Ransomware-Gruppe inzwischen 6 TByte an erbeuteten Daten auf seinen Servern öffentlich zugänglich gemacht. In den Datensätzen finden sich auch Adress- und Rechnungsdaten sowie Kreditkartendaten von Kunden.
Anzeige
Angriff im Sept. 2023 bestätigt
Die Nachricht wurde bereits am 30. Sept. 2023 durch Motel One auf X (Twitter) bestätigt, wo es hieß, dass man das Ziel eines Hackerangriffs geworden sei. Dabei gestand das Unternehmen ein, dass Kundendaten (auch Kreditkartendaten) abgeflossen sind. Laut Motel One wurden sowohl Betroffenen informiert als auch die IT-Sicherheit & Ermittlungs- & Datenschutzbehörden involviert.
Inzwischen hat sich ein Betroffener bei mir gemeldet und den Hinweistext, der ihm per E-Mail zuging, geschickt. Die Nachricht entspricht der Presseinformation, die auf der Webseite des Unternehmens über den Hack veröffentlicht wurde:
Die Motel One Gruppe ist Ziel eines Hackerangriffs geworden. Dabei drangen die bisher unbekannten Täter in die internen Systeme des Hotelbetreibers ein und versuchten vermutlich eine sogenannte Ransomware-Attacke durchzuführen. Dank umfangreicher Maßnahmen konnten die Auswirkungen relativ geringgehalten werden. Der Geschäftsbetrieb einer der größten Hotelgruppen Europas war zu keinem Zeitpunkt gefährdet. Die schnellen Sofortmaßnahmen umfassten die Beauftragung eines zertifizierten IT-Sicherheitsdienstleisters sowie die Zusammenarbeit mit Ermittlungs- und Datenschutzbehörden.
Ersten Analysen zufolge wurden Adress- und Rechnungsdaten von Kunden abgegriffen – darunter 150 Kreditkartendaten. Die betroffenen Halter der Karten wurden bereits persönlich informiert.
All zu viele Informationen gibt diese Mitteilung aber nicht her. Weiterhin versuchte die Hotelgruppe diesen Cybervorfall klein zu reden und schrieb, dass die Auswirkungen begrenzt seien.
Anzeige
BlackCat/AlphV veröffentlicht Daten
Die Kollegen von Bleeping Computer berichteten hier (und heise hier, siehe auch diesen Tweet) vor einigen Tagen bereits, dass es ein Angriff einer Ransomware-Gruppe war und BlackCat/AlphV am 30. September 2023 die Verantwortung übernommen habe. An diesem Tag tauchte die Meldung über den erfolgreichen Angriff auf der Webseite von BlackCat/AlphV auf. Die Gruppe widersprach auch den Angaben von Motel One, dass es nur geringe Auswirkungen geben. Es hieß von der Gruppe auf der Erpressungsseite im Dark Web, dass fast 24,5 Millionen Dateien mit einer Gesamtgröße von 6 TB erbeutet worden seien.
Zu den gestohlenen Daten sollen PDF- und RTF-Buchungsbestätigungen der letzten drei Jahre gehören, die Namen, Adressen, Reservierungsdaten, Zahlungsarten und Kontaktinformationen enthalten. Darüber hinaushabe man es eine beträchtliche Menge an Kreditkartendaten von Kunden und interne Unternehmensdokumente erbeutet, die zweifelsohne sensible Informationen enthalten.
BlackCat hatte Motel One fünf Tage Zeit gegeben, um mit ihnen über die Lösegeldzahlung zu verhandeln. Die Gruppe drohen damit, alle Daten, die sie von den Computern des Hotels abgezogen haben, zu veröffentlichen. Wie es ausschaut, hat die Motel One Group nicht gezahlt, denn die Daten sind wohl im Dark Net einsehbar.
Die Redaktion von heise hat sich laut diesem Artikel Auszüge dieser Daten angesehen. Laut heise befinden sich auf dem BlackCat-Webserver verschiedenste Dateien der Hotelkette. Darunter sei Marketingmaterial wie Speisekarten, aber auch Gästelisten und eine veraltete Keepass-Passwortdatenbank. Von heise online angesehene Stichproben zeigen, dass laut Artikel, dass die Daten teilweise mehr als fünf Jahre alt sind. Einige Dateien sollen jedoch auch von August 2023 stammen.
Die Süddeutsche Zeitung hat in diesem Fall noch etwas recherchiert (Artikel hinter einem Paywall) und herausgefunden, dass auch die Daten des Gründers und Miteigentümers der Hotelkette, Dieter Müller, in den Datensätzen enthalten sind. Focus Online hat hier die Rechercheergebnisse der SZ in einem Artikel aufbereitet.
Für die Hotelkette dürfte der Vorfall noch unangenehm werden, denn es drohen Schadensersatzansprüche von Betroffenen. Betroffene, die in den letzten fünf Jahren Gast in den Hotels der Kette waren, haben ein umfangreiches Auskunftsrecht nach DSGVO (Mail an privacy@motel-one.com).
Aus Datenschutzsicht ist der Vorfall brisant, können doch Reiseverläufe und Geschäftsbeziehungen von Gästen seit 2016 zurück verfolgt werden. Interessant dürfte auch werden, inwieweit die Datenschutzaufsichtsbehörden die Speicherung der Gästedaten über einen Zeitraum von mehreren Jahren in Bezug auf die DSGVO einstufen. Steuerliche Aufbewahrungsfristen gelten für Gästelisten (z.B. Notfalllisten für den Hotelbetrieb) jedenfalls nicht.
Wer ist Motel One?
Motel One ist eine Low-Budget-Hotelkette, die über neunzig Hotels mit 25.000 Zimmern in Deutschland, Österreich, dem Vereinigten Königreich, Dänemark, Belgien, den Niederlanden, Spanien, Polen, der Tschechischen Republik und den Vereinigten Staaten betreibt.
Anzeige
