FastBooking gehackt – Gefahr für tausende Nutzerdaten

Die Hotelsoftware FastBooking wurde offenbar gehackt. Das Programm wird laut Unternehmensangaben von rund 4.000 Hotels in 100 Ländern für die Verwaltung ihrer Buchungen verwendet. Mit über 1,2 Millionen Transaktionen pro Jahr, die über die Server von FastBooking laufen, bietet das Unternehmen einen reichhaltigen Datenbestand, der von persönlichen Informationen der Hotelgäste wie Kontaktdaten und Reiserouten bis hin zu Zahlungsinformationen reicht. Diesen Datenschatz haben sich nun scheinbar Kriminelle angeeignet, wie das Portal Bleeping Computer diese Woche berichtete.

Der Angriff erfolgte dem Bericht zufolge Mitte Juni in zwei Wellen. Während bei der ersten Attacke Namen und Kontaktinformationen das favorisierte Diebesgut der Hacker waren, wurden bei der zweiten Welle auch Kreditkartendaten abgegriffen. Möglich war der Beutezug wegen einer Schwachstelle in einer Anwendung, die auf dem Server des Unternehmens gehostet wurde. Darüber hatten die Angreifer einen Remote-Access-Trojaner eingeschleust und anschließend die Daten exportiert.

Aktuell steht besonders der Umgang des Unternehmens mit dem Sicherheitsvorfall in der Kritik. Lediglich die betroffenen Hotels wurden informiert, nicht jedoch die Hotelgäste, deren Daten gestohlen wurden, geschweige denn die Öffentlichkeit. Weder auf der Webseite noch in den Social-Media-Kanälen ist von einem Hackerangriff zu lesen. Auf Anfrage von heise Security wurde lediglich erklärt, dass man die Schwachstelle beseitigt hätte und mit IT-Security-Experten zusammenarbeite. Darüber, ob man die betroffenen Hotelgäste informieren wolle, schweigt sich das Unternehmen aus. Offenbar will FastBooking die Verantwortung für die Informationsweiterleitung an seine Kunden delegieren. Den Hotels hat das Unternehmen scheinbar eine E-Mail-Vorlage zur Verfügung gestellt, die diese an die Gäste schicken können – oder auch nicht, das liegt in deren eigenem Ermessen. In der E-Mail wird der Vorfall benannt und besonders vor möglichen Phishing-Mails gewarnt, denn mit den erbeuteten Daten könnten die Kriminellen versuchen, weitere vertrauliche Informationen abzufragen.

Die japanische Hotelkette Prince hat das Template genutzt und mehr als 125.000 ihrer Gäste über den Vorfall informiert. Das gibt einen ungefähren Eindruck vom Ausmaß des Angriffs, denn diese Zahl verteilt sich auf nur rund 80 Häuser der Kette. Bedenkt man, dass FastBooking nach eigenen Angaben in 4.000 Hotels verwendet wird, dürften wohl deutlich mehr Hotelgäste betroffen sein.

Über die 8com GmbH & Co. KG

Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.

Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Wallgasse 11
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.