![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
N\u00e4chster Sicherheitsunfall bei Hotels: Bei den Check-In-Terminals der IBIS-Hotels war es durch Eingabe einer speziellen nicht alphanumerischen Buchungsnummer m\u00f6glich, die Tastencodes von fast die H\u00e4lfte der Zimmer abzurufen. Dritte h\u00e4tten in die Zimmer eindringen und Wertsachen stehlen k\u00f6nnen. Es ist unklar, ob die Schwachstelle inzwischen behoben worden ist.<\/p>\n
<\/p>\n
Martin Schobert von der Schweizer Firma Pentagrid AG stie\u00df beim Besuch eines Hacker-Kongresses in Hamburg zuf\u00e4llig auf die Sicherheitsl\u00fccke in den Check-In-Automaten der Ibis-Hotelkette, als er am Check-in-Terminal mit der ID 2711 in Hamburg Altona in sein gebuchtes Zimmer einchecken wollte. Durch Zufall gab er statt der Buchungs-ID die Zeichenkette \"——\" ein, und staunte nicht schlecht, dass das Check-in-Terminal pl\u00f6tzlich die Reservierungen anderer G\u00e4ste auflistete. <\/p>\n Bei Anwahl einer Reservierung wurden die Zimmernummer und der Tastaturcode f\u00fcr diese Reservierung angezeigt. In diesem Artikel<\/a> schreibt Martin Schobert, dass von den 180 Zimmern des Hotels 87 Buchungseintr\u00e4ge in der Liste angezeigt wurden. Aber auch die Buchungsnummer k\u00f6nnte auf weggeworfenen Rechnungen und Ausdrucken in die H\u00e4nde Dritter gelangen, so dass diese \u00fcber das Check-In-Terminal an die Zimmernummer und Tastaturcodes f\u00fcr die Zimmert\u00fcr gelangen k\u00f6nnen. <\/p>\n Es reicht, wenn ein Angreifer physischen Zugang zu einem Check-in-Terminal der Hotelkette erh\u00e4lt und die Rezeption unbesetzt ist, so dass Check-Ins per Automat erfolgen m\u00fcssen.<\/p>\n Nach dem k\u00fcrzlich bekannt gewordenen UbsafeLock-Fall, bei dem durch eine Schwachstelle Millionen elektronische Schl\u00f6sser von Saflock durch manipulierte RFID-Karten entsperrt werden konnten (siehe Unsaflok: Millionen Hotelt\u00fcren lassen sich durch Sicherheitsl\u00fccken \u00f6ffnen<\/a>), ist dies jetzt der zweite Sicherheitsvorfall, der Hotels betrifft. <\/p>\n Die Schwachstelle wurde am 31. Dezember 2023 beim Besuch des CCC-Hackerkongresses in Hamburg in einem Ibis Budget-Hotel in Altona durch Zufall aufgedeckt. Am 1. Januar 2024 wurde die Schwachstelle an den Franchisenehmer Sczygiel Hotelmanagement GmbH m\u00fcndlich weiter gegeben. Auf dieser Pentagrid-Seite<\/a> l\u00e4sst sich die Zeitleiste der Kommunikation mit ibis.accor.com verfolgen. Nachdem die Deadline von 90 Tagen verstrichen ist, hat sich der Entdecker der Schwachstelle entschlossen, diese zum 2. April 2024 in einem Blog-Beitrag zu ver\u00f6ffentlichen. Auf der verlinkten Pentagrid-Blog-Seite k\u00f6nnen die weiteren Details nachgelesen werden. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":" N\u00e4chster Sicherheitsunfall bei Hotels: Bei den Check-In-Terminals der IBIS-Hotels war es durch Eingabe einer speziellen nicht alphanumerischen Buchungsnummer m\u00f6glich, die Tastencodes von fast die H\u00e4lfte der Zimmer abzurufen. Dritte h\u00e4tten in die Zimmer eindringen und Wertsachen stehlen k\u00f6nnen. Es ist … Weiterlesen Bei IBIS Budget-Hotels ist ein Self-Check-in \u00fcber einen Check-In-Automaten m\u00f6glich (siehe nachfolgenden Screenshot von dieser Hotelseite<\/a>), falls die Rezeption unbesetzt ist. Am Terminal dieses Automaten gibt man die Buchungsnummer (8 stelliger Code) f\u00fcr sein Zimmer ein. Dann werden die Zimmernummer und der Code (6 stellig) f\u00fcr das Tastenschloss zum \u00d6ffnen der T\u00fcr dieses Hotelzimmers angegeben. <\/p>\n
![\"Rezeption](\"https:\/\/i.postimg.cc\/g0g0Wqcc\/image.png\"\/ "\\"Rezeption")
<\/a><\/p>\nDer Check-In-Automat verr\u00e4t fremde Zimmercodes<\/h2>\n