Gravierende Datenschutzmängel in zahlreichen Hotels

(openPR) Datenleck in WLAN-Software ermöglicht Einsicht in persönliche Daten der Hotelgäste

HEILBRONN, 13. Juli 2011 – cirosec, der Spezialist für IT-Sicherheit, warnt vor gravierenden Datenschutz- und Sicherheitsproblemen in weltweiten IT-Systemen zahlreicher Hotels im 3- bis 5-Sterne-Bereich. Anonyme Angreifer können vertrauliche Daten wie Ausweisdaten, angesehene Filme und weitere sensible, personenbezogene Details der letzten Jahre auslesen.

Im Rahmen von Sicherheitsanalysen wurden Standard-IT-Produkte vorgefunden, die über ungesicherte WLAN-Zugänge den Zugriff auf interne Datenbanken erlauben. Durch eine SQL-Injection-Schwachstelle in der WLAN-Anmeldemaske erlangt ein Angreifer Zugriff auf die Datenbank zur Verwaltung von IPTV- und Wireless-LAN-Zugängen des Hotels. Bei den dort gespeicherten Daten handelt es sich beispielsweise um die Namen der Hotelgäste der letzen Jahre inklusive ihrer kompletten Postanschriften, E-Mail-Adressen, Telefon-, Handy- und Personalausweisnummern sowie die erhaltenen persönlichen Nachrichten.

Des Weiteren ist es möglich, die Konfiguration der TV-Geräte in den Hotelzimmern auszulesen und zu manipulieren. Dadurch könnte man beispielsweise gezielt Gäste mit Falschmeldungen versorgen, die von fingierten Nachrichten bis zum hotelweiten "Feueralarm" reichen. In der Konfiguration sind zudem die ausgeliehenen Filme gespeichert.

Außerdem werden innerhalb der Applikation Kreditkartennummer inklusive Verfikationscode und Gültigkeitsdatum unverschlüsselt übertragen.