Datenpanne bei Hotelgästen legt Daten von 5 Millionen Menschen offen

Hotelgästdaten in Echtzeit gestohlen und über Telegram geleakt

Sicherheitsforscher von Cybernews haben eine groß angelegte Datendiebstahl-Operation aufgedeckt, die Hotelgäste in mehreren Ländern ins Visier nimmt. Der Angriff kompromittierte mehr als 500 Konten auf Hospitality-Management-Plattformen und legte die persönlichen Daten von fast 5 Millionen Reisenden weltweit offen. Was diesen Vorfall besonders beunruhigend macht, ist nicht nur das Ausmaß, sondern die Methode der Verbreitung: Die gestohlenen Daten wurden in Echtzeit über Telegram-Kanäle geleakt und gleichzeitig auf einem ungeschützten Server gespeichert.

Zu den betroffenen Plattformen gehören das in Spanien ansässige Unternehmen Chekin und das österreichische Unternehmen Gastrodat, die beide von Hotels und Immobilienverwaltern für die Abwicklung von Gäste-Check-ins und Verwaltungsdaten genutzt werden. Hacker verwendeten automatisierte Skripte, um systematisch Gästenamen, E-Mail-Adressen, Telefonnummern und Ausweisdaten aus den kompromittierten Konten zu sammeln.

So funktionierte der Angriff

Die Operation basierte auf der Kompromittierung von Anmeldedaten und nicht auf einem einzigen katastrophalen Einbruch in eine Plattform. Durch den Zugriff auf mehr als 500 einzelne Property-Management-Konten waren die Angreifer in der Lage, mithilfe automatisierter Tools Gästdaten aus jedem einzelnen Konto abzurufen. Diese Art von Angriff wird manchmal als Credential Stuffing oder Account-Übernahme bezeichnet, bei der gestohlene oder schwache Anmeldedaten verwendet werden, um auf legitime Systeme zuzugreifen.

Einmal im System, schöpften die Skripte alle persönlichen Daten ab, die die Konten enthielten, einschließlich der Art von Informationen, die Gäste beim Check-in in einem Hotel angeben müssen: vollständige amtliche Namen, Kontaktdaten und Ausweisdokumente. Diese Kombination von Daten ist für Kriminelle besonders wertvoll, da sie für Identitätsdiebstahl, Phishing-Kampagnen, SIM-Swapping und andere Formen von Betrug genutzt werden kann.

Die Entscheidung, die gestohlenen Daten über Telegram zu verbreiten, anstatt sie auf herkömmlichen Dark-Web-Marktplätzen zu verkaufen, spiegelt einen allgemeinen Wandel in der Vorgehensweise von Cyberkriminellen wider. Telegram hat sich zunehmend zu einem Verbreitungskanal für geleakte Daten entwickelt, was auf seine Benutzerfreundlichkeit und die vergleichsweise permissive Inhaltsmoderation zurückzuführen ist.

Was das für Sie bedeutet

Wenn Sie jemals in einem Hotel übernachtet haben, das Chekin oder Gastrodat für das Gästemanagement verwendet, könnten Ihre persönlichen Daten Teil dieses Datensatzes sein. Selbst wenn Sie nicht direkt betroffen sind, verdeutlicht dieser Vorfall eine weitverbreitete Schwachstelle, mit der Reisende konfrontiert sind: Wenn Sie in einem Hotel einchecken, übergeben Sie sensible persönliche Daten, ohne einen klaren Einblick darin zu haben, wie diese gespeichert werden, wer darauf zugreifen kann oder wie sicher diese Systeme verwaltet werden.

Die hier offengelegten Daten gehen weit über eine einfache E-Mail- und Passwortkombination hinaus. Ausweisdaten in Kombination mit vollständigem Namen, Telefonnummer und E-Mail-Adresse geben Kriminellen genug Informationen, um sich als Sie auszugeben, Konten in Ihrem Namen zu eröffnen oder äußerst überzeugende Phishing-Nachrichten zu erstellen, die speziell auf Sie zugeschnitten sind.

Hotels und Property-Management-Plattformen sind attraktive Ziele, gerade weil sie umfangreiche persönliche Daten von einer großen Anzahl von Menschen sammeln, oft mit einer weniger strengen Sicherheitsinfrastruktur als Finanzinstitute oder große Technologieunternehmen.

Maßnahmen zur Reduzierung Ihrer Gefährdung

Sie können nicht immer kontrollieren, was mit Ihren Daten passiert, sobald Sie diese an ein Unternehmen weitergegeben haben, aber Sie können Maßnahmen ergreifen, um den Schaden zu begrenzen, falls etwas schiefläuft.

Überwachen Sie Ihre Konten und Ihre Identität. Wenn Sie häufig reisen, sollten Sie einen Identitätsüberwachungsdienst nutzen, der Sie benachrichtigt, wenn Ihre persönlichen Daten in bekannten Datenpannen oder im offenen Web auftauchen.

Verwenden Sie eindeutige E-Mail-Adressen für Reisebuchungen. Dienste, die es Ihnen ermöglichen, Alias-E-Mail-Adressen zu erstellen, bedeuten, dass selbst wenn ein Konto kompromittiert wird, der Schaden begrenzt bleibt.

Seien Sie gegenüber unaufgefordertem Kontakt skeptisch. Wenn Sie eine E-Mail, eine SMS oder einen Anruf erhalten, der auf einen kürzlichen Hotelaufenthalt verweist, sollten Sie vorsichtig sein. Angreifer nutzen solche Details, um Phishing-Versuche überzeugender zu gestalten.

Sichern Sie Ihre Geräte und Verbindungen beim Reisen. Öffentliche Netzwerke in Hotels und Flughäfen sind häufige Einfallstore für das Abfangen von Daten. Die Verwendung eines VPN beim Verbinden mit öffentlichem WLAN verschlüsselt Ihren Datenverkehr und verringert das Risiko, dass Ihre Aktivitäten überwacht oder abgefangen werden.

Überprüfen Sie, welche Daten Plattformen über Sie gespeichert haben. In vielen Ländern, insbesondere innerhalb der Europäischen Union, haben Sie das Recht, anzufragen, welche persönlichen Daten ein Unternehmen über Sie besitzt, und deren Löschung zu verlangen. Wenn Sie in Unterkünften übernachtet haben, die Plattformen wie Chekin oder Gastrodat nutzen, können Sie diese Plattformen direkt kontaktieren.

Dieser Vorfall ist eine Erinnerung daran, dass Ihre persönlichen Daten mit Ihnen reisen, oft auf eine Weise, die Sie weder sehen noch kontrollieren können. Informiert zu bleiben darüber, wohin Ihre Daten gelangen, und praktische Schritte zu unternehmen, um Ihre Gefährdung zu begrenzen, ist die wirksamste Schutzmaßnahme, die gewöhnlichen Reisenden derzeit zur Verfügung steht.