Wie eine aktuelle Untersuchung des Softwareunternehmens Symantec zeigt, bieten zahllose Hotelseiten Außenstehenden die Gelegenheit, personenbezogene Buchungsdaten einsehen zu können.
Das Softwareunternehmen Symantec hat herausgefunden, dass zwei von drei Hotel-Websites Buchungscodes an Drittanbieter wie Werbekunden und Analyseunternehmen weitergeben. Trotz Datenschutzerklärung habe keine von ihnen dieses Verhalten ausdrücklich nach außen kommuniziert. Es ist zwar kein Geheimnis, dass Werbetreibende die Surfgewohnheiten der Nutzer verfolgen, doch in diesen Fällen könnten die Informationen Drittanbietern ermöglichen, sich in eine Reservierung einzuloggen, persönliche Daten einzusehen und sogar die ganze Buchung zu stornieren.
Die getesteten Institutionen reichten von Zwei-Sterne-Hotels auf dem Land bis hin zu luxuriösen Fünf-Sterne-Resorts am Strand. Die Tester haben die Gästehäuser dabei nach dem Zufallsbetrieb ausgewählt und auch große Hotelketten nicht außen vor gelassen. Das erschreckende Ergebnis: In zahlreichen Fällen wurden persönliche Daten weitergegeben, wie beispielsweise Name, E-Mail-Adresse, Handy-Nummer oder die letzten vier Ziffern der Kreditkarte inklusive Kartentyp und Ablaufdatum.
Kaum Reaktionen seitens der Hotelbetreiber
Wodurch diese Sicherheitslücken entstanden sind? 57% der getesteten Websites sendeten eine Bestätigungs-E-Mail an Kunden mit einem direkten Zugriffs-Link auf ihre Buchung. Dies dient schlichtweg der Bequemlichkeit und ermöglicht es dem Kunden, mit einem Klick direkt zu seiner Reservierung zu gelangen, ohne sich irgendwo anmelden zu müssen. Da auf denselben Portalen jedoch meist auch Werbeanzeigen eingebunden werden, hätten Drittanbieter häufig direkten Zugriff auf die Gästedaten. Auch wenn diese an vermeintlich seriöse Unternehmen weitergereicht werden, könnte dies zu weiteren Sicherheitsproblemen führen: So könnten sich Hacker problemlos einklinken, wenn die unverschlüsselte Mail geöffnet werde – etwa an öffentlichen Hotspots im Flughafen oder im Hotel.
Als Symantec auf diese Problematiken bzw. Verstöße gegen die DSVGO hingewiesen hat, hätten rund ein Viertel der Hotels keinerlei Reaktionen gezeigt. Die Reaktionen der restlichen Unternehmen wären Symantec zufolge enttäuschend gewesen und hätten zumeist nur den Erhalt der Mail und eine Überprüfung bestätigt. Manche Unternehmen hätten schlichtweg die Möglichkeit eines Datenlecks dementiert.
Quelle: Hogapage, Augsburg
Photo by Marten Bjork on Unsplash
25.04.2019