UK: Datenschutzskandal um Hotel-Buchungsportal UK: Datenschutzskandal um Hotel-Buchungsportal - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


03.07.2014 pte

UK: Datenschutzskandal um Hotel-Buchungsportal

Aufregung um das Hotel-Buchungsportal HotelHippo, das von Security-Experten beschuldigt wird, große Datenmengen mit Kundeninformationen nicht ausreichend gesichert zu haben.

Aufregung um das Hotel-Buchungsportal HotelHippo

Aufregung um das Hotel-Buchungsportal HotelHippo

© Hans-Joachim Roy - Fotolia.com

Interessierte könnten unter anderem problemlos und ohne großen Aufwand die privaten Wohnadressen von Kunden herausfinden. Die zuständige britische Datenschutzbehörde Information Commissioner's Office (ICO) hat bereits eine gründliche Untersuchung in dieser Angelegenheit eingeleitet. HotelHippo wurde aus Sicherheitsgründen offline genommen.

"Ich hatte kürzlich das Vergnügen, auf dieser Webseite ein nettes kleines Hotel zu buchen", schildert der britische Sicherheitsexperte Scott Helme gegenüber BBC News seine erste Begegnung mit HotelHippo. Dabei habe er schnell feststellen müssen, dass das Portal zwar überall mit Gütesiegeln und Stempeln seine Datensicherheit bekundet, diese aber in der Praxis keineswegs wirklich Ernst nimmt. "Ich war erschüttert von dem, was ich dort gefunden habe", erklärt Helme. Schon nach einigen schnellen Tests habe sich herausgestellt, dass diese Seite ihre Kundendaten quasi "auf dem Präsentierteller" für Übeltäter bereitstellt. "Es war unglaublich leicht, dort sensible persönliche Informationen von Tausenden Nutzern zu extrahieren", kritisiert Helme.

Aus technischer Sicht sieht der Sicherheitsexperte vor allem die Art und Weise der Datensammlung und -verwaltung als Kernproblem von HotelHippo. "Die Anfälligkeit resultiert zu einem Großteil aus der Verwendung von spezifischen Web-Adressen", erläutert Helme. Sobald nämlich ein User eine Buchung auf der Seite durchführt, wird automatisch eine fünfstellige Nummer generiert, die auch in der Adresszeile des Web-Browsers angezeigt wird. "Es reicht, diese Nummer ein wenig abzuändern, um Zugriff auf Details von vorangegangenen Buchungen zu erhalten", beschreibt der Fachmann.

Das Datenmaterial, das auf diese Weise von Cyber-Kriminellen erbeutet werden könnte, reiche vom Ort und der Länge der jeweiligen Hotelbuchung bis hin zur privaten Wohnadresse der Kunden. "Man könnte ganz leicht ein simples Programm schreiben, um diese Daten automatisch von der Seite zu holen und eine Datenbank mit Adressen anzulegen", meint Helme.

Seine ersten Sicherheitsprüfungen auf HotelHippo führte der Experte eigenen Angaben zufolge schon Ende des vergangenen Monats durch. Am 25. Juni habe er sich dann erstmals mit genaueren Details zu den gefundenen Sicherheitslücken an den Betreiber des Portals gewandt. Doch sein Bericht habe keinerlei Reaktion hervorgebracht. Mittlerweile hat sich aber auch die ICO-Behörde in die Angelegenheit eingeschaltet und eine "gründliche Aufklärung" versprochen. Bei HotelHippo wusste man sich in Anbetracht der aktuellen Aufregung offenbar nicht anders zu helfen, als die Webseite bis auf weiteres komplett vom Netz zu nehmen. "Die Privatsphäre unsere Kunden ist unsere oberste Priorität", begründet der Seitenbetreiber den drastischen Schritt. (pte)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr

Hosted by:    Security Monitoring by: