Sämtliche Buchungsdaten der europäischen Best-Western-Hotels seit 2007 wurden im Internet von russischen Kriminellen zum Verkauf angeboten. Das berichtet der Sunday Herald. Betroffen sind insgesamt 1312 europäische Hotels und 8 Millionen Hotelgäste.
Zu den angebotenen Daten gehören Name und Privatadresse sowie fast immer die Kreditkartendaten der Betroffenen. Im Fall der Businesskunden ist meist auch der Arbeitgeber erfasst. Nach einem Hinweis des Sunday Herald konnte Best Western die identifizierte Sicherheitslücke schließen, so dass keine weiteren Daten von Hotelgästen an die Hacker gehen.
Einem indischen Hacker war es gelungen, einen Trojaner in das Buchungssystem von Best Western einzuschleusen. Dieser sendete prompt alle Buchungsdaten in Echtzeit an einen russischen Server. Jacques Erasmus von der Sicherheitsfirma Prevx ist durchaus erstaunt: Im Internet würden zwar zahlreiche Datenbanken illegal zum Verkauf angeboten, dieser Fall stelle jedoch aufgrund der Datenmenge eine Ausnahme da.
Best Western hat inzwischen angekündigt, mit den Kreditkartenunternehmen zusammenzuarbeiten, um weiteren Schaden zu verhindern. Obwohl keine weiteren Daten nach außen dringen, muss davon ausgegangen werden, dass mit den bisher gestohlen Daten weiterhin Missbrauch getrieben wird.
Neueste Kommentare
2 Kommentare zu Persönliche Daten von acht Millionen Hotelgästen gestohlen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Falschmeldung zu Datendiebstahl bei Best Western
Statement zu Medienberichten zum Datendiebstahl bei Best Western
In einem am Sonntag, den 24. August 2008, in der schottischen Tageszeitung „Glasgow Sunday Herald“ erschienenen Artikel wird behauptet, es sei zu einer Verletzung der Sicherheit von Daten von Best Western Gästen und zu einem großangelegten zum Datendiebstahl gekommen. Dieser Bericht entbehrt jeglicher Grundlage. Die Medienbehauptungen, dass Daten von 8 Millionen Gästen aus etwa 1.300 Best Western Hotels aus den vergangenen 12 Monaten aus dem Best Western Reservierungssystem von einem indischen Hacker gestohlen worden seien, sind unrichtig. Entgegen der Medienberichte kam es nicht zu einem Hackerangriff auf das Best Western Reservierungssystem. Best Western bestätigt vielmehr, dass es zu einem Vorfall in einem einzelnen Hotel in Deutschland gekommen ist, in dem einem Hacker über einen PC-Virus Zugang zu zehn Gästedaten geglückt ist. Die kleine Anzahl an betroffenen Gästen ist umgehend informiert worden und die Polizei sowie FBI wurden eingeschaltet.
Best Western International hat sofort nach Veröffentlichung der entsprechenden Medienberichte alle Sicherheitssysteme überprüft. Die Überprüfung der in der „Glasgow Sunday Herald“ geschilderten Vorkommnisse hat keinerlei Hinweis darauf gegeben, dass die Behauptungen zutreffen. Es ist nicht zu einem Einbruch in das Best Western Reservierungssystem gekommen und es hat keinen großangelegten Datendiebstahl von Gästedaten gegeben. Ein Hackerangriff fand am 21. August in einem einzelnen deutschen Hotel durch ein trojanischen Computervirus statt. Das Hotel hat nach dem Erkennen des PC-Virus durch eine Anti-Virus-Software umgehend alle Systeme abgeschaltet und die Polizei eingeschaltet. Bei dem Datenangriff gab es nicht wie in den Medienberichten gemeldet, Einblick in 8 Millionen Datensätze von Gästen, sondern vielmehr Einblick in die Reservierungsdaten von zehn Gästen des Hotels, die umgehend informiert wurden. Alle notwendigen Sicherheitsmaßnahmen wurden sofort ergriffen.
Best Western hat sich zur strikten Wahrung vertraulicher Informationen der Gäste verpflichtet. Die Hotelgruppe hält sich an die Datensicherheitsnormen (DSS) der Payment Card Industry (PCI). Um diese Einhaltung zu gewährleisten, verfügt Best Western über ein Sicherheitsnetzwerk, das durch Firewalls geschützt und durch eine starke Informationssicherheitspolitik geregelt ist. Kreditkarteninformationen werden nur dann gesammelt, wenn dies für die Bearbeitung einer Reservierung des Gastes notwendig ist. Dabei haben zu diesen Informationen ausschließlich diejenigen Personen Zugang, die sie benötigen, und deren Zugang ist nur über spezifische, persönliche und passwortgeschützte Eintragsstellen möglich. Best Western verschlüsselt Kreditkarteninformationen in seinen Systemen und Datenbanken sowie bei jeder elektronischen Übertragung über öffentliche Netzwerke. Sämtliche Kreditkarteninformationen und alle anderen persönlichen Informationen werden sofort nach Abreise des Gastes gelöscht. Um Kundeninformationen zu schützen, werden die Best Western Systeme und Verfahren regelmäßig geprüft und es werden die Dienste von in der Branche führenden Firmen in Anspruch genommen, um diese Sicherheitsmaßnahmen zu evaluieren.
AW: Falschmeldung zu Datendiebstahl bei Best Western
Aha…. ich staune…