WhatsApp-Phishing: Gibt es ein Leck bei Buchungsplattform onepagebooking.com?

Veröffentlicht am 9. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Ich stelle mal die Beobachtung eines Blog-Lesers samt seinen Informationen hier im Blog ein. Es geht um die Buchungsplattform onepagebooking.com, die von verschiedenen Hotels genutzt wird. Es gibt einen Verdacht auf ein Datenleck, da der Leser kurz nach Buchung gezielte Phishing-Nachrichten zum Abfischen von Zahlungsdaten bekam. Derzeit kann ich nicht genau angeben, ob die Buchungsplattform oder das Hotel kompromittiert wurde. Aber es ist mutmaßlich kein Einzelfall, und es soll sogar Opfer geben, die bei der Hotelbuchung finanzielle Schäden erlitten haben.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Der Sachverhalt: Hotelbuchung endet mit Phishing

Ein hier nicht namentlich genannter Blog-Leser hat die Tage ein Zimmer im Hotel Stay2Munich gebucht. Soweit nichts ungewöhnliches, kommt Tausendfach in Deutschland vor. Nachfolgender Screenshot der Hotel-Webseite zeigt auch einen entsprechenden Buchen-Button.

Stay2Munich

Buchung über Dienstleister

Geht man auf diesen Button, wird aber nicht direkt beim Hotel gebucht, sondern die Buchung wird über einen Dienstleister für Hotelbuchungssysteme abgewickelt. Konkret handelt es sich um den Anbieter onepagebooking[.]com.

Die Buchungsplattform wird von "Hotel Net Solutions" für Einzelhotels und Hotelketten zur Verfügung gestellt, wie man auf deren Webseite nachlesen kann. Es wird damit geworben, dass die Plattform über 2500 Einzelhotels und Hotelketten zu ihren Kunden zählt.

Plötzlich Phishing-Versuch per WhatsApp

Der Blog-Leser berichtete, dass er am 6. März 2026 Opfer eines Phishing-Versuchs wurde. Er wurde über WhatsApp, angeblich über einen Unternehmens-Account von Corvi LED Light mit Sitz in Mumbai, Indien, kontaktiert.

Phishing über WhatsApp

Bei der Kontaktaufnahme wurde der Blog-Leser unter Angaben der korrekten Buchungsinformationen angeschrieben. In der WhatsApp-Nachricht hieß es, dass der Leser seine Kreditkarteninformationen verifizieren solle, um sicherzustellen, dass seine Kreditkartendaten nicht durch unautorisierte Dritte genutzt werden.

Phishing-Nachricht 1Phishing-Nachricht 2

Obige Screenshots zeigen die betreffende WhatsApp-Nachricht. Der Leser war so clever, direkt beim betreffenden Hotel anzurufen. Dieser Anruf im Hotel ergab dann, dass sich bereits mehrere Kunden und auch der Vermittler booking.com diesbezüglich gemeldet haben. Das heißt, es gab wohl mehrere Fälle, die nach obigem Schema abgelaufen sind.

Der Blog-Leser schrieb mir, dass er beim Anruf am Telefon erfahren habe, dass es wohl auch schon Kunden gegeben habe, die über den Link in der Nachricht ihre Daten angegeben und dadurch Geld verloren hätten. Es hieß weiterhin, dass die hoteleigene IT mit Hochdruck an der Identifizierung des Lecks arbeitet.

Der Leser vermutet das Datenleck bei onepagebooking[.]com, also dem Anbieter  des Buchungsdiensts, und meinte, da ich ja auch im Thema Datenschutz recht aktiv bin, dass das vielleicht von Interesse für die Blog-Leserschaft sei. An dieser Stelle mein Dank an den Leser für den Hinweis.

Einige Gedanken und eine Kurzanalyse

Bei dieser oben beschriebenen Konstellation ist es bei "Unregelmäßigkeiten" etwas "schwierig" festzustellen, was Sache ist. Denn sowohl die Buchungsplattform als auch das gebuchte Hotel könnten kompromittiert sein.

Bei booking.com hatte ich in diesem Beitrag über Betrugsversuche berichtet. Dort bestand der Verdacht, dass die Computer der  betreffenden Hotels kompromittiert waren.

Ich habe die betreffende URL, die bei WhatsApp genannt wurde und die Buchungsnummer beinhaltet, bei virustotal.com überprüfen lassen. Ein Vendor zeigt die betreffende URL bereits als SPAM an.

Virustotal

Die Seite ist also schon mal aufgefallen. Weiterhin habe ich noch einen Site-Scan samt Pentest mit einem kostenlosen Web-Scanner durchführen lassen. Bei aller Vorsicht (es ist unklar, was der Scanner da macht), lässt mich das Ergebnis doch stutzig werden. Der Pentest meldete ein als High eingestuftes Sicherheitsrisiko.

Pentest

Die obige Detailseite erzählt mir, dass für die Implementierung der Buchungsplattform Angular 15.2.9 verwendet wurde (vor 4 Tagen wurde 21.2.1 veröffentlicht). Und die Version 15.2.9 ist 2025 sowie 2026 durch mehrere Schwachstellen aufgefallen. Passt auch ins obige Bild. Sofern die Aussage des Pen-Testers, dass Angular 15.2.9 verwendet wird, stimmt, sieht das nicht so sonderlich gut aus.

Noch merkwürdiger wurde das Ganze, als ich die URL abgerufen habe. Die Zielseite zeigt mir das Logo von booking.com an (wird von imgur.com geladen), verwendet aber eine authstep91-booking.info-URL (das passt also nicht zusammen). Aber auf der Zielseite werden mir die Buchungsdaten des Blog-Lesers angezeigt. Ganz am Seitenende finden sich dann Optionen zur Auswahl der EC- oder Kreditkarten. Die Phishing-Seite ist gut gemacht. Hier haben Dritte also vollständigen Zugriff auf die Buchungsdaten.

Der obige Abriss zeigt, wie wackelig die Infrastruktur diverser Buchungssysteme ist. Zum Glück gibt es das oft verspottete Telefon, über welches sich vorsichtige Zeitgenossen ggf. rückversichern.

Ähnliche Artikel:
Booking.com von Cyberangreifern missbraucht – Phishing und Malware verschickt
Booking.com: Raffiniertes Phishing, Spam-Welle wegen Datenreichtum und ein Leak
Booking.com Konten wieder gehackt? Empfehlung zum Passwortwechsel
Vorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?
Unberechtigte Abbuchungen bei HypoVereinsbank-Kreditkarte: Datenabfluss?

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu WhatsApp-Phishing: Gibt es ein Leck bei Buchungsplattform onepagebooking.com?

  1. Tobo sagt:
    9. März 2026 um 08:23 Uhr

    Eine ähnliche Masche hatte ich Ende letzten Jahres bei einer Hotelbuchung in Lissabon. Damals betraf es wohl die Plattform Heytravel. Die Telefonnummer des Accounts war aus Brasilien.

    Da bereits andere User im Reddit von Airbnb warnten, ich aber bei Booking gebucht hatte, musste wohl der Channelmanager gehacked worden sein.
    Das von mir gebuchte Hotel hatte kurze Zeit später die Software gewechselt, was ich über den Quellcode der Webseite feststellen konnte.

    https://www.reddit.com/r/AirBnB/comments/1m5p89s/whatsapp_scam_with_accurate_details_europe/
    (wenn Link nicht erlaubt gerne löschen)

    Antworten
  2. Hans sagt:
    9. März 2026 um 11:26 Uhr

    Es würde schon helfen, wenn einem WhatsApp endlich mal erlauben würde alle Nachrichten, die von nicht Kontakten kommen zu sperren und gar nicht erst zu zu lassen. Ich fand es schon bei der Veröffentlichung damals von WhatsApp nicht gut, dass wir von account ID plus passwort (ICQ und Co Zeiten) zu Telefonnummern gewechselt sind. Die Option "unbekannte Kontakte blockieren, wenn sie eine gewisse Nachrichtenanzahl überschreiten " bringt halt nichts bei gezielten Phishing. Das sichert keine Infrastruktur und dieses ganze Outsourcing (zendesk, buchungsplattformen für hotel und Restaurant etc.) ab aber man könnte nicht so einfach per WhatsApp benachrichtigt und abgepfisht werden.

    Antworten
    • User007 sagt:
      9. März 2026 um 13:09 Uhr

      Sorry, aber das ist ja zu idealistisch und naiv hinsichtlich der wirtschaftlich getriebenen Interessenhaltung aller Beteiligten gedacht – diese "Welt" ist vorbei, zumind. in sog. "zivilisierten" Hemisphären. 🤷‍♂️

      Antworten

Antworte auf den Kommentar von Hans Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.