{"id":322331,"date":"2026-03-09T00:02:21","date_gmt":"2026-03-08T23:02:21","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322331"},"modified":"2026-03-09T09:40:30","modified_gmt":"2026-03-09T08:40:30","slug":"whatsapp-phishing-gibt-es-ein-leck-bei-buchungsplattform-onepagebooking-com","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/09\/whatsapp-phishing-gibt-es-ein-leck-bei-buchungsplattform-onepagebooking-com\/","title":{"rendered":"WhatsApp-Phishing: Gibt es ein Leck bei Buchungsplattform onepagebooking.com?"},"content":{"rendered":"

\"SicherheitIch stelle mal die Beobachtung eines Blog-Lesers samt seinen Informationen hier im Blog ein. Es geht um die Buchungsplattform onepagebooking.com, die von verschiedenen Hotels genutzt wird. Es gibt einen Verdacht auf ein Datenleck, da der Leser kurz nach Buchung gezielte Phishing-Nachrichten zum Abfischen von Zahlungsdaten bekam. Derzeit kann ich nicht genau angeben, ob die Buchungsplattform oder das Hotel kompromittiert wurde. Aber es ist mutma\u00dflich kein Einzelfall, und es soll sogar Opfer geben, die bei der Hotelbuchung finanzielle Sch\u00e4den erlitten haben.<\/p>\n

<\/p>\n

Der Sachverhalt: Hotelbuchung endet mit Phishing<\/h2>\n

\"\"Ein hier nicht namentlich genannter Blog-Leser hat die Tage ein Zimmer im Hotel Stay2Munich gebucht. Soweit nichts ungew\u00f6hnliches, kommt Tausendfach in Deutschland vor. Nachfolgender Screenshot der Hotel-Webseite zeigt auch einen entsprechenden Buchen<\/em>-Button.<\/p>\n

\"Stay2Munich\"<\/a><\/p>\n

Buchung \u00fcber Dienstleister<\/h3>\n

Geht man auf diesen Button, wird aber nicht direkt beim Hotel gebucht, sondern die Buchung wird \u00fcber einen Dienstleister f\u00fcr Hotelbuchungssysteme abgewickelt. Konkret handelt es sich um den Anbieter onepagebooking[.]com<\/em>.<\/p>\n

Die Buchungsplattform wird von \"Hotel Net Solutions\" f\u00fcr Einzelhotels und Hotelketten zur Verf\u00fcgung gestellt, wie man auf deren Webseite<\/a> nachlesen kann. Es wird damit geworben, dass die Plattform \u00fcber 2500 Einzelhotels und Hotelketten zu ihren Kunden z\u00e4hlt.<\/p><\/blockquote>\n

Pl\u00f6tzlich Phishing-Versuch per WhatsApp<\/h3>\n

Der Blog-Leser berichtete, dass er am 6. M\u00e4rz 2026 Opfer eines Phishing-Versuchs wurde. Er wurde \u00fcber WhatsApp, angeblich \u00fcber einen Unternehmens-Account von Corvi LED Light mit Sitz in Mumbai, Indien, kontaktiert.<\/p>\n

\"Phishing<\/a><\/p>\n

Bei der Kontaktaufnahme wurde der Blog-Leser unter Angaben der korrekten Buchungsinformationen angeschrieben. In der WhatsApp-Nachricht hie\u00df es, dass der Leser seine Kreditkarteninformationen verifizieren solle, um sicherzustellen, dass seine Kreditkartendaten nicht durch unautorisierte Dritte genutzt werden.<\/p>\n

\"Phishing-Nachricht<\/a>\"Phishing-Nachricht<\/a><\/p>\n

Obige Screenshots zeigen die betreffende WhatsApp-Nachricht. Der Leser war so clever, direkt beim betreffenden Hotel anzurufen. Dieser\u00a0Anruf im Hotel ergab dann, dass sich bereits mehrere Kunden und auch der Vermittler booking.com<\/em> diesbez\u00fcglich gemeldet haben. Das hei\u00dft, es gab wohl mehrere F\u00e4lle, die nach obigem Schema abgelaufen sind.<\/p>\n

Der Blog-Leser schrieb mir, dass er beim Anruf am Telefon erfahren habe, dass es wohl auch schon Kunden gegeben habe, die \u00fcber den Link in der Nachricht ihre Daten angegeben und dadurch Geld verloren h\u00e4tten. Es hie\u00df weiterhin, dass die hoteleigene IT mit Hochdruck an der Identifizierung des Lecks arbeitet.<\/p>\n

Der Leser vermutet das Datenleck bei onepagebooking[.]com<\/em>, also dem Anbieter\u00a0 des Buchungsdiensts, und meinte, da ich ja auch im Thema Datenschutz recht aktiv bin, dass das vielleicht von Interesse f\u00fcr die Blog-Leserschaft sei. An dieser Stelle mein Dank an den Leser f\u00fcr den Hinweis.<\/p>\n

Einige Gedanken und eine Kurzanalyse<\/h2>\n

Bei dieser oben beschriebenen Konstellation ist es bei \"Unregelm\u00e4\u00dfigkeiten\" etwas \"schwierig\" festzustellen, was Sache ist. Denn sowohl die Buchungsplattform als auch das gebuchte Hotel k\u00f6nnten kompromittiert sein.<\/p>\n

Bei booking.com hatte ich in diesem Beitrag<\/a> \u00fcber Betrugsversuche berichtet. Dort bestand der Verdacht, dass die Computer der\u00a0 betreffenden Hotels kompromittiert waren.<\/p><\/blockquote>\n

Ich habe die betreffende URL, die bei WhatsApp genannt wurde und die Buchungsnummer beinhaltet, bei virustotal.com \u00fcberpr\u00fcfen lassen. Ein Vendor zeigt die betreffende URL bereits als SPAM an.<\/p>\n

\"Virustotal\"<\/a><\/p>\n

Die Seite ist also schon mal aufgefallen. Weiterhin habe ich noch einen Site-Scan<\/a> samt Pentest mit einem kostenlosen Web-Scanner durchf\u00fchren lassen. Bei aller Vorsicht (es ist unklar, was der Scanner da macht), l\u00e4sst mich das Ergebnis doch stutzig werden. Der Pentest meldete ein als High eingestuftes Sicherheitsrisiko.<\/p>\n

\"Pentest<\/a><\/p>\n

Die obige Detailseite erz\u00e4hlt mir, dass f\u00fcr die Implementierung der Buchungsplattform Angular 15.2.9 verwendet wurde (vor 4 Tagen wurde 21.2.1 ver\u00f6ffentlicht). Und die Version 15.2.9 ist 2025 sowie 2026 durch mehrere Schwachstellen<\/a> aufgefallen. Passt auch ins obige Bild. Sofern die Aussage des Pen-Testers, dass Angular 15.2.9 verwendet wird, stimmt, sieht das nicht so sonderlich gut aus.<\/p>\n

Noch merkw\u00fcrdiger wurde das Ganze, als ich die URL abgerufen habe. Die Zielseite zeigt mir das Logo von booking.com an (wird von imgur.com geladen), verwendet aber eine authstep91-booking.info<\/em>-URL (das passt also nicht zusammen). Aber auf der Zielseite werden mir die Buchungsdaten des Blog-Lesers angezeigt. Ganz am Seitenende finden sich dann Optionen zur Auswahl der EC- oder Kreditkarten. Die Phishing-Seite ist gut gemacht. Hier haben Dritte also vollst\u00e4ndigen Zugriff auf die Buchungsdaten.<\/p>\n

Der obige Abriss zeigt, wie wackelig die Infrastruktur diverser Buchungssysteme ist. Zum Gl\u00fcck gibt es das oft verspottete Telefon, \u00fcber welches sich vorsichtige Zeitgenossen ggf. r\u00fcckversichern.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBooking.com von Cyberangreifern missbraucht \u2013 Phishing und Malware verschickt<\/a>
\nBooking.com: Raffiniertes Phishing, Spam-Welle wegen Datenreichtum und ein Leak<\/a>
\nBooking.com Konten wieder gehackt? Empfehlung zum Passwortwechsel<\/a>
\nVorsicht Betrug: Anbieter traum-ferienwohnungen.de gehackt?<\/a>
\nUnberechtigte Abbuchungen bei HypoVereinsbank-Kreditkarte: Datenabfluss?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Ich stelle mal die Beobachtung eines Blog-Lesers samt seinen Informationen hier im Blog ein. Es geht um die Buchungsplattform onepagebooking.com, die von verschiedenen Hotels genutzt wird. Es gibt einen Verdacht auf ein Datenleck, da der Leser kurz nach Buchung gezielte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-322331","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322331","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322331"}],"version-history":[{"count":7,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322331\/revisions"}],"predecessor-version":[{"id":322354,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322331\/revisions\/322354"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322331"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322331"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322331"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}