{"id":224157,"date":"2019-10-24T15:18:56","date_gmt":"2019-10-24T13:18:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224157"},"modified":"2019-10-24T15:18:56","modified_gmt":"2019-10-24T13:18:56","slug":"reservierungsplattform-autoclerk-leakt-persnliche-daten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/24\/reservierungsplattform-autoclerk-leakt-persnliche-daten\/","title":{"rendered":"Reservierungsplattform Autoclerk leakt pers&ouml;nliche Daten"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>Die US-Plattform Autoclerk hat wohl unfreiwillig die pers\u00f6nlichen Daten von&nbsp; Best Western Hotel &amp; Resorts Group-Kunden \u00f6ffentlich im Internet abrufbar bereitgehalten. Unter den Kunden sind auch US-Beh\u00f6rden bzw. die US-Regierung.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/a44640ff411843d6989609f728396f97\" width=\"1\" height=\"1\"\/>Plattform Autoclerk handelt es um ein Reservierungsmanagementsystem der Best Western Hotels and Resorts Group. Wenige Wochen vor der Entdeckung des Lecks durch Sicherheitsforscher wurde Autoclerk von der Best Western Hotel &amp; Resorts Group gekauft.<\/p>\n<h2>Leck mit pers\u00f6nlichen Buchungsinformationen<\/h2>\n<p>Sicherheitsforscher von vpnmentor sind auf eine <a href=\"https:\/\/www.vpnmentor.com\/blog\/us-travel-military-leak\/\" target=\"_blank\" rel=\"noopener noreferrer\">Datenbank mit Reservierungsdaten von Kunden gesto\u00dfen<\/a>, die \u00f6ffentlich und ungesch\u00fctzt per Internet abrufbar war. Die offene Datenbank wurde auf Amazon Web Servern in den USA gehostet und enth\u00e4lt \u00fcber 179 GB an Daten. Ein Gro\u00dfteil der exponierten Daten stammt von externen Reise- und Hotel-Plattformen, die die Autoclerk-Plattform zum Datenaustausch untereinander nutzen.<\/p>\n<p>Zu den betroffenen Kundenplattformen geh\u00f6ren Property Management Systeme (PMS), Buchungsmaschinen und Datendienste in der Tourismus- und Gastronomiebranche. Es wurde ja bereits oben erw\u00e4hnt: Autoclerk ist ein kombiniertes Reservierungssystem f\u00fcr Hotels, Unterkunftsanbieter, Reiseb\u00fcros und mehr. Zu den Funktionen geh\u00f6ren serverbasierte und Cloud-basierte Property Management Systeme (PMS), eine Web-Buchungsmaschine, zentrale Reservierungssysteme und Hotel-PMS-Schnittstellen. <\/p>\n<p>Aus diesem Grund war die Datenbank, das Team aus Sicherheitsforschern gefunden hat, mit unz\u00e4hligen Hotel- und Reiseplattformen verbunden. Durch das Leck wurden sensible personenbezogene Daten von Nutzern und Hotelg\u00e4sten sowie einen vollst\u00e4ndigen \u00dcberblick \u00fcber ihre Hotel- und Reisebuchungen offen gelegt. In einigen F\u00e4llen geh\u00f6rten dazu auch die Check-in-Zeit und die Zimmernummer. Es betraf weltweit 1.000 Personen, wobei t\u00e4glich Millionen neuer Datens\u00e4tze hinzugef\u00fcgt wurden.&nbsp; Zu den Daten, die einsehbar waren, geh\u00f6ren:<\/p>\n<ul>\n<li>Vollst\u00e4ndiger Name<\/li>\n<li>Geburtsdatum<\/li>\n<li>Privatadresse<\/li>\n<li>Telefon-Nummer<\/li>\n<li>Daten &amp; Reisekosten<\/li>\n<li>Maskierte Kreditkartendaten<\/li>\n<\/ul>\n<p>Bei bestimmten Reservierungen wurde nach dem Einchecken eines Gastes in ein Hotel auch dessen Check-in-Zeit und Zimmernummer in der Datenbank sichtbar. Solche Daten sind nat\u00fcrlich ein gefundenes Fressen f\u00fcr Cyber-Kriminelle, die damit allerlei anstellen k\u00f6nnen.<\/p>\n<h2>US-Milit\u00e4r und \u2013Beh\u00f6rden als Kunden<\/h2>\n<p>Was \u00fcberraschend war: Das gr\u00f6\u00dfte Opfer dieses Lecks war keine Einzelperson oder Firma. Vielmehr geh\u00f6ren die US-Regierung, das Milit\u00e4r und das Department of Homeland Security (DHS) zu den Nutzern dieser Plattform. <\/p>\n<p>Eine der in der Datenbank enthaltenen Plattformen war ein Auftragnehmer der US-Regierung, des Milit\u00e4rs und des DHS. Der Auftragnehmer verwaltet die Reisevorbereitungen von US-Regierungs- und Milit\u00e4rpersonal sowie von unabh\u00e4ngigen Auftragnehmern, die mit amerikanischen Verteidigungs- und Sicherheitsbeh\u00f6rden zusammenarbeiten.<\/p>\n<p>Das Leck enth\u00fcllte die pers\u00f6nlichen Identifizierungsdaten (PII) des Personals und dessen Reisevorkehrungen. Die Sicherheitsforscher stie\u00dfen auf Daten von der US-Gener\u00e4len, die nach Moskau, Tel Aviv und vielen anderen Zielen reisten. Zu den Daten geh\u00f6rten auch deren E-Mail-Adresse, Telefonnummern und andere sensible pers\u00f6nliche Daten.<\/p>\n<p>Das hei\u00dft, hochsensible und pers\u00f6nliche Daten von Regierungsmitarbeitern und Milit\u00e4rpersonal sowie deren Reisevorbereitungen (in der Vergangenheit und f\u00fcr geplante Reisen) zu Orten auf der ganzen Welt waren einsehbar. Dies bedeutete einen massiven Sicherheitsversto\u00df f\u00fcr die betroffenen Beh\u00f6rden und Abteilungen.<\/p>\n<h2>Zeitlicher Ablauf der Entdeckung<\/h2>\n<p>Am 13. September 2019 entdeckten die israelischen Sicherheitsforscher die entsprechende Datenbank per Internetsuche. In diesem Fall war der Eigent\u00fcmer der Datenbank aufgrund der Anzahl der externen Herkunftspunkte und der schieren Gr\u00f6\u00dfe der exponierten Daten f\u00fcr eine Weile unklar. Die Sicherheitsforscher vermuteten aber, dass die Datenbank Autoclerk geh\u00f6rte. <\/p>\n<p>Daher kontaktierten die Sicherheitsforscher am gleichen Tag das US CERT, erhielten aber keine Antwort. Daher wurde die US-Botschaft in Tel Aviv am 19. September \u00fcber das Datenleck und die fehlende CERT-Antwort informiert. Am 26. September 2019 gab es dann einen Kontakt mit einem Vertreter des Pentagons. Dieser stellte sicher, dass das Thema behandelt wird. Am 2. Oktober 2019 wurde die offene Datenbank endlich geschlossen. <\/p>\n<p>Weitere <a href=\"https:\/\/www.vpnmentor.com\/blog\/us-travel-military-leak\/\" target=\"_blank\" rel=\"noopener noreferrer\">Details sind hier einsehbar<\/a>. Der Vorfall zeigt erneut, dass die B\u00fcchse der Pandora ge\u00f6ffnet wurde. Heute kann eigentlich niemand mehr sicher sein, dass seine pers\u00f6nlichen Daten nicht in irgend einer \u00f6ffentlich abrufbaren Datenbank ungesch\u00fctzt abrufbar sind.&nbsp; <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die US-Plattform Autoclerk hat wohl unfreiwillig die pers\u00f6nlichen Daten von&nbsp; Best Western Hotel &amp; Resorts Group-Kunden \u00f6ffentlich im Internet abrufbar bereitgehalten. Unter den Kunden sind auch US-Beh\u00f6rden bzw. die US-Regierung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-224157","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224157","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224157"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224157\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}