Unschöne Sache: Bei der Hotel-Management-Plattform Otelier hat es einen gravierenden Cybervorfall gegeben, bei dem zwischen Juli bis Sept. 2024 insgesamt 7,8 TB an Daten von AWS Buckets abgezogen wurden. Möglich war der Hack durch einen platzierten Infostealer. Betroffen sind wohl Hotels, die die Management-Plattform Otelier verwenden.
Anzeige
Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden. Der skizzierte Plot: Cyber-Kriminellen ist es gelungen, einen Info-Stealer zu platzieren und dann Anmeldedaten zu stehen. Damit wurde ein Atlassian (Jira)-Tickets abgegriffen, so dass die Angreifer an Anmeldedaten gelangten.
Am Ende des Tages konnten die Cyber-Kriminellen auf ein AWS S3-Bucket mit 7,8 TB Daten zugreifen und diese Daten abziehen. Die Kollegen von Bleeping Computer haben die Details im Beitrag Otelier data breach exposes info, hotel reservations of millions aufbereitet.
Die Hotel-Management-Plattform Otelier wird von über 10.000 Hotels zur Verwaltung der Buchungen eingesetzt – entsprechend groß dürfte der Kreis der Betroffenen sein. Die Kollegen schreiben, dass Millionen von persönlichen Informationen und Reservierungen von Gästen für bekannte Hotelmarken wie Marriott, Hilton und Hyatt betroffen seien.
Anzeige
Der Cyberangriff erfolgte angeblich bereits Juli 2024 statt und dauerte bis Oktober 2024. Gegenüber BleepingComputer bestätigte Otelier die Kompromittierung und sagte, dass es mit den betroffenen Kunden kommuniziert. Zudem ist ein Team von Experten aus dem Bereich der Cybersicherheit mit der forensischen Analyse und der Validierung der Systeme befasst.
Otelier will den Zugriff auf die AWS S3-Buckets nun beendet haben, aber die Daten aus der früher als MyDigitalOffice bekannten, Cloud-basierenden Hotelverwaltungslösung, sind weg. Die Software wird von über 10.000 Hotels weltweit zur Verwaltung von Reservierungen, Transaktionen, Berichten und Rechnungen verwendet.
Die Bedrohungsakteure hinter dem Angriff auf Otelier erklärten BleepingComputer, dass sie zunächst den Atlassian-Server des Unternehmens mit den Anmeldedaten eines Mitarbeiters (über einen Infostealer) gehackt haben. Otelier verweigerte diesbezüglich jeglichen Kommentar, aber BleepingComputer fand auf der Flare-Plattform für Bedrohungsdaten von Otelier Mitarbeiterinformationen, die von einer Infostealer-Malware gestohlen worden war.
Die Bedrohungsakteure gaben an, dass sie diese Anmeldedaten verwendeten, um Tickets und andere Daten abzugreifen, die weitere Anmeldedaten für die S3-Buckets des Unternehmens enthielten.
Der Bedrohungsakteur versuchte Marriott zu erpressen, da er dachte, die S3-Buckets gehörten dem Hotelkonzern. Er hinterließ Lösegeldforderungen, in denen er eine Zahlung in Kryptowährung forderte, um die Daten nicht zu veröffentlichen. Es kam laut Bleeping Computer jedoch keine Kommunikation zustande. Im September 2024 wurde den Cyberkriminellen dann der Zugang gekappt.
Beispiele der gestohlenen Daten wurden BleepingComputer und Troy Hunt von Have I Been Pwned zur Verfügung gestellt. Dort waren persönliche Informationen von Hotelgästen enthalten. Stichproben von Daten umfassen Reservierungen von Hotelgästen, Transaktionen, E-Mails von Mitarbeitern und andere interne Daten. Zu den persönlichen Informationen, die enthalten sind, gehören Namen, Adressen, Telefonnummern und E-Mail-Adressen von Hotelgästen. Die gestohlenen Daten enthalten laut Bleeping Computer auch Informationen und E-Mail-Adressen von Hyatt, Hilton und Wyndham.
Troy Hunt gibt an, dass er einen umfangreichen Datensatz erhalten hat, wobei die Reservierungstabelle 39 Millionen Zeilen und die Benutzertabelle 212 Millionen Zeilen enthält. Hunt will 1,3 Millionen eindeutige E-Mail-Adressen gefunden haben, die er in seiner Have I Been Pwned-Datenbank hinzugefügt hat.
Anzeige
