Laut einer Meldung des weltgrößten Hotelkonzerns Marriott hatten Unbekannte schon länger Zugriff auf die Reservierungsdatenbank des Tochterunternehmens Starwood und konnten so auch unberechtigt an die Daten von einer halben Milliarde Gäste gelangen. Neben persönlichen Daten wurden dabei teilweise auch Kreditkarteninformationen entwendet.

„Dieser Hackerangriff hat das Potenzial, zum zweitgrößten Datenleck der Geschichte – direkt nach dem massiven Hackerangriff auf Yahoo im Jahr 2013 mit drei Milliarden betroffenen Nutzerkonten – zu werden“, kommentiert Adam Brown, Manager Security Solutions bei Synopsys. „Unter den bislang bekannten 327 Millionen betroffenen Hotelgästen werden viele EU-Bürger sein. Diese Tatsache könnte empfindliche Sanktionen gemäß DSGVO nach sich ziehen.“

Die Zugriffe begannen schon im Jahr 2014, wurden aber jahrelang nicht bemerkt, wie aus einer Meldung Marriots an die US-Börsenaufsicht SEC hervorgeht. Ein internes Sicherheitstool habe erst am 8. September 2018 auf einen versuchten Zugriff aufmerksam gemacht, woraufhin Marriott führende Sicherheitsexperten mit einer Untersuchung beauftragte. Inzwischen habe das Unternehmen in Erfahrung gebracht, dass unbefugte Dritte Informationen in erheblichem Umfang abgegriffen und ihrerseits in einer verschlüsselten Datenbank gespeichert hätten. Am 19. November 2018 stand dann fest, nachdem die Datenbank entdeckt und entschlüsselt wurde, dass die entwendeten Daten aus der Reservierungsdatenbank von Starwood stammten.

Nach bisheriger Kenntnis wurden laut Marriott von 327 Millionen Starwood-Gästen Informationen wie Namen, Postadresse, Telefonnummer, E-Mail-Adresse, Nummer des Reisepasses, Starwood-Kontoinformationen, Aufenthaltszeiten und mehr entwendet. Es seien auch Kreditkartendaten gestohlen worden, dessen Zahl Marriott aber nicht nannte.

„Bei manchen schlossen die Informationen auch Kartennummern und die Ablaufdaten der Bezahlkarten ein, aber die Kartennummern waren mit Advanced Encryption Standard (AES-128) verschlüsselt“, heißt es dazu in der SEC-Meldung. „Es sind zwei Komponenten erforderlich, um die Nummern der Bezahlkarten zu entschlüsseln, und zu diesem Zeitpunkt kann Marriott nicht ausschließen, das beide entwendet wurden.“

„Dass die betroffenen Daten teilweise verschlüsselt waren, bietet keinerlei Schutz, da die Hacker vermutlich auch die zur Entschlüsselung notwendigen Daten abgegriffen haben“, merkt Adam Brown von der Sicherheitsfirma Synopsys dazu an. „Dies kann entweder auf eine unsichere Schlüsselspeicherung oder die Verwendung ungeeigneter Verschlüsselungsmechanismen zurückzuführen sein. Um zu verhindern, dass ein Datenklau über Jahre hinweg unerkannt bleibt, sollten Firmen und Organisationen eine Protokollierung und Überwachung solcher Daten gemäß OWASP Top 10 durchführen.“

Bei bis zu insgesamt rund 500 Millionen weiteren Hotelgästen wurden Marriott zufolge Einzelinformationen wie Namen und Adressen abgegriffen. Der Hotelkonzern hat damit begonnen, alle betroffenen Gäste per E-Mail zu informieren. Des Weiteren wurde mit info.starwoodhotels.com eine Website mit weiteren Informationen eingerichtet.

(jf, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE