{"id":237395,"date":"2020-11-08T12:08:41","date_gmt":"2020-11-08T11:08:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237395"},"modified":"2020-11-08T23:08:51","modified_gmt":"2020-11-08T22:08:51","slug":"hotel-reservierungsplattform-prestige-software-legt-hundertausende-gstedaten-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/08\/hotel-reservierungsplattform-prestige-software-legt-hundertausende-gstedaten-offen\/","title":{"rendered":"Hotel-Reservierungsplattform Prestige Software legt Hundertausende G&auml;stedaten offen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/11\/08\/hotel-reservierungsplattform-prestige-software-legt-hundertausende-gstedaten-offen\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Prestige Software, eine internationale B2B-Hotelreservierungsplattform, zu deren Kunden Expedia und Booking.com geh\u00f6ren, hat die Daten von Hundertausenden G\u00e4sten seiner angeschlossenen Hotelketten in einem Datenschutzvorfall offen gelegt. Ich gehe davon aus, dass auch zahlreiche deutsche Hotelg\u00e4ste betroffen sind.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/af93acf706c24444bf166890fd3f7214\" alt=\"\" width=\"1\" height=\"1\" \/>Das in Madrid und Barcelona ans\u00e4ssige Unternehmen Prestige Software verkauft Hotels eine Kanalmanagement-Plattform namens Cloud Hospitality. Diese Software automatisiert auf Online-Buchungswebsites wie Expedia und Booking.com die Bereitstellung freier Hotelzimmer. Das Unternehmen speicherte jahrelang Kreditkartendaten von Hotelg\u00e4sten und Reiseb\u00fcros ohne jeglichen Schutz, wodurch Millionen von Menschen dem Risiko von Betrug und Online-Angriffen ausgesetzt waren.<\/p>\n<h2>Falsch konfiguriertes Amazon AWS S3 Bucket<\/h2>\n<p>Ein Sicherheitsteam von WebsitePlanet fand einen falsch konfigurierten Amazon AWS S3 Bucket, der zu Prestige Software, einer internationalen B2B-Hotelreservierungsplattform, geh\u00f6rte. Im S3-Bucket fanden sich Kundendaten von Buchungsplattfomen von Expedia und Booking.com etc. Durch den ungeschl\u00fctzten AWS S3-Bucket wurden die Daten von Hunderttausenden von internationalen Hotelg\u00e4sten offengelegt, darunter PIIs (vollst\u00e4ndiger Name, nationale ID-Nummern, Telefonnummern usw.), nicht \u00fcberpr\u00fcfte Kreditkartendaten und Reservierungsdetails.<\/p>\n<p>Mich erreichte die Information am 6.11.2020 durch eine Mail der Sicherheitsforscher, die allerdings im Spam-Ordner ausgefiltert wurde.\u00a0In diesem <a href=\"https:\/\/www.websiteplanet.com\/blog\/prestige-soft-breach-report\/\" target=\"_blank\" rel=\"noopener noreferrer\">Blog-Beitrag<\/a> legen die Sicherheitsforscher die Details offen. Im offenen S3-Bucket fanden sich folgende private Daten von Hotelg\u00e4sten:<\/p>\n<ul>\n<li>PII-Daten: Vollst\u00e4ndige Namen, E-Mail-Adressen, nationale ID-Nummern und Telefonnummern von Hotelg\u00e4sten<\/li>\n<li>Kreditkartendetails: Kartennummer, Name des Karteninhabers, CVV und Ablaufdatum<\/li>\n<li>Zahlungsdetails: Gesamtkosten der Hotelreservierung<\/li>\n<li>Einzelheiten zur Reservierung: Reservierungsnummer, Aufenthaltsdaten, der pro Nacht bezahlte Preis, eventuelle zus\u00e4tzliche W\u00fcnsche der G\u00e4ste, Anzahl der Personen, Namen der G\u00e4ste und vieles mehr.<\/li>\n<\/ul>\n<p>Jeder dieser Aufzeichnungen enth\u00fcllte sensible und wertvolle personenbezogene Daten (PII), die zu den Personen geh\u00f6ren, die die Reservierungen vorgenommen haben. Betroffen sind unter anderem folgende Buchungsplattformen:<\/p>\n<ul>\n<li>Agoda<\/li>\n<li>Amadeus<\/li>\n<li>Booking.com<\/li>\n<li>Expedia<\/li>\n<li>Hotels.com<\/li>\n<li>Hotelbeds<\/li>\n<li>Omnibees<\/li>\n<li>Sabre<\/li>\n<\/ul>\n<p>Das ist nur ein Auszug der Kundenliste. Der S3-Bucket enthielt \u00fcber 180.000 Datens\u00e4tze allein aus dem August 2020. Viele davon bezogen sich auf Hotelreservierungen, die auf zahlreichen Websites vorgenommen wurden, obwohl die weltweiten Hotelbuchungen f\u00fcr diesen Zeitraum auf einem historischen Tiefstand waren. Insgesamt sind \u00fcber 10 Millionen einzelne Log-Dateien, die bis ins Jahr 2013 zur\u00fcckreichen, offen abrufbar.<\/p>\n<p>Es ist jedoch schwierig zu sagen, wie viele Menschen betroffen sind, da die Datenmenge sehr gro\u00df ist. Au\u00dferdem enthielten viele der Datenprotokolle PII-Daten f\u00fcr zahlreiche Personen in einem Reservat (z.B. Familien). Schlie\u00dflich enthielten einige der Datenprotokolle \u00c4nderungen und Streichungen. Aus diesen Gr\u00fcnden konnte die tats\u00e4chliche Zahl der exponierten Personen viel h\u00f6her sein als die Zahl der protokollierten Vorbehalte. Der S3-Bucket war bei der Publizierung des Blog-Beitrag abgesichert, w\u00e4hrend der Untersuchung aber noch offen in Gebrauch, wobei neue Datens\u00e4tze innerhalb weniger Stunden nach der Untersuchung durch die Sicherheitsforscher hochgeladen wurden. Details lassen sich im verlinkten Blog-Beitrag nachlesen. Das Ganze d\u00fcrfte ein Fall f\u00fcr die DSGVO werden und viele Hotelg\u00e4ste betreffen. Ich gehe davon aus, dass auch meine Daten irgendwo darunter sind, da ich in den letzten Jahren nicht um Hotelbuchungen \u00fcber solche Plattformen wie Booking.com herumgekommen bin.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Prestige Software, eine internationale B2B-Hotelreservierungsplattform, zu deren Kunden Expedia und Booking.com geh\u00f6ren, hat die Daten von Hundertausenden G\u00e4sten seiner angeschlossenen Hotelketten in einem Datenschutzvorfall offen gelegt. Ich gehe davon aus, dass auch zahlreiche deutsche Hotelg\u00e4ste betroffen sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237395","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237395"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237395\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}