Gefährliches Datenleck: Wie ein einzelnes Zeichen sensible Infos von Hotelgästen offenlegt
Sicherheitslücke in Check-in-Terminals von Hotels entdeckt. (Symbolbild: August_0802/Shutterstock)
Anfang April 2024 hatte Sicherheitsforscher Martin Schobert von der IT-Security-Firma Pentagrid über eine von ihm entdeckte Schwachstelle in einem Check-in-Terminal eines Ibis-Hotels berichtet. Demnach reichte die Eingabe einer ungültigen Buchungs-ID in Form von „——“ aus, um an die Zimmernummern und die Tastenschloss-Codes anderer Gäste zu kommen.
Check-in-Terminals in Hotels mit Sicherheitslücken
Mit diesen Informationen könnte man sich jederzeit physischen Zugang zu deren Hotelzimmern verschaffen. Hersteller und Marke des Check-in-Terminals konnte Schobert nicht verifizieren. Jetzt hat der Experte aber eine weitere Schwachstelle entdeckt, die mit einem solchen Hotelterminal in Verbindung steht – dieses Mal inklusive Hersteller.
Wie Pentagrid mitteilt, lief das betroffene Selbstbedienungsterminal mit der Software Allegro Scenario Player der Firma Ariane Systems. Ähnlich wie im oben beschriebenen Fall soll Schobert auch hier durch Zufall auf die Sicherheitslücke gestoßen.
Apostroph bringt System zum Absturz
Demnach habe er bei einem Hotelbesuch das dort angebotene Selbstbedienungsterminal zum Check-in verwendet. Das Verwenden eines Apostrophs wie in „O’YOLO“ bei der Eingabe des Nachnamens habe das System zum Absturz gebracht. Anschließend sei der Zugriff auf einen Windows-Desktop möglich gewesen.
Dort wiederum seien „die auf dem Terminal gespeicherten Daten, einschließlich personenbezogener Daten, Reservierungen und Rechnungen“ einsehbar gewesen. Hätten findige Angreifer:innen die Möglichkeit, einen Programmcode auf dem Terminal einzuschleusen und auszuführen, hätten sie sich auch Zimmerschlüssel für andere Zimmer erstellen können, so Schobert.
Software laut Hersteller gepatcht
Ariane Systems zeigte sich angesichts des Problems laut Pentagrid nicht sonderlich beeindruckt und stritt zunächst ab, dass über das Terminal personenbezogene Daten abgerufen werden könnten. Es handle sich um „Altsysteme“, hieß es in einer ersten Reaktion.
Später erklärte das Unternehmen dann laut Schobert, dass das Problem im Allegro Scenario Player behoben sei – ohne allerdings eine Angabe dazu zu machen, mit welcher Version der Software die Sicherheitslücke gepatcht wurde. Ebenfalls nicht offiziell bestätigt ist, welche Terminals und welche Hotels von dem Problem betroffen sind. Schobert zufolge könnte es sich um ein Terminal der Serie Ariane Duo 6000 handeln.
Hotels sollten neueste Softwareversion installieren
Pentagrid empfiehlt, dass Hotels, die über ein Check-in-Terminal des Herstellers verfügen, die neueste Version der Software installieren sollten. Laut eigenen Angaben bediene Ariane Systems „derzeit 3.000 Hotels und 500.000 Zimmer in mehr als 25 Ländern“, darunter „ein Drittel der 100 größten Hotelketten weltweit“.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team