Ein Team von Sicherheitsforschern des US-Unternehmens vpnMentor hat unter der Leitung von Noam Rotem und Ran Locar eine ungesicherte 179 GByte große Datenbank entdeckt. Sie gehört zur Hotelgruppe Best Western. In der Autoclerk genannten Datenbank sind vertrauliche Daten über Hotelkunden sowie Angehörige des US-Militärs gespeichert.
Autoclerk ist das Reservierungssystem, das Hotelbuchungen über das Internet verwaltet. Es speichert aber auch Gästeprofile und Umsatzdaten. Außerdem wird es für die Abwicklung von Zahlungen und Bonusprogrammen benutzt.
Die Elasticsearch-Datenbank wurde durch das Web Mapping Project von vpnMentor aufgespürt. Die Forscher hatten vollständigen Zugriff auf die Daten, die weder verschlüsselt noch auf irgendeine andere Art gesichert waren. Ihren Schätzungen zufolge geht die Zahl der Betroffenen in die Tausende. Eine genaue Zahl hätten sie jedoch aus ethischen Gründen nicht ermittelt.
Alleine mehrere Hunderttausend Reservierungen und Buchungen von Gästen enthielten jeweils neben vollständigen Namen auch Geburtsdaten, Anschriften, Telefonnummern, Reisedaten und Kosten. In einigen Fällen waren auch Ankunftszeiten und Zimmernummern hinterlegt. In Einzelfällen gaben die Buchungen auch verdeckte Kreditkartendaten preis.
Derartige Datenlecks durch ungesicherte und über das Internet zugängliche Datenbanken sind nicht ungewöhnlich. Selten sind allerdings Vertreter der US-Regierung und des US-Militärs betroffen. Die Forscher gehen davon aus, dass das Buchungssystem auch von einem Lieferanten der US-Regierung benutzt wird, der Reisebuchungen vornimmt.
vpnMentor hatte nicht nur Einsicht in vergangene, sondern auch in geplante Reisebuchungen für Mitarbeiter der Regierung, des Militärs und des Ministeriums für Heimatschutz. Unter anderem fanden die Forscher Buchungen für US-Generäle für Reisen nach Russland und Israel.
Das United States Computer Emergency Readiness Team (CERT) informierten die Forscher am 13. September über das Datenleck. Sie erhielten jedoch keine Reaktion. Darauf traten sie mit Vertretern der US-Botschaft in Tel Aviv sowie einen Vertreter des Verteidigungsministeriums in Kontakt. Letzterer versprach eine schnelle Reaktion. Der Zugang zu der Datenbank wurde schließlich am 2. Oktober gesperrt.
„Für die US-Regierung und das Militär besteht das größte Risiko durch dieses Leck“, sagten die Forscher. „Bedeutende Mengen an sensiblen Mitarbeiter- und Militärdaten könnten heute öffentlich zugänglich sein. Dies gibt einen unschätzbaren Einblick in die Operationen und Aktivitäten der US-Regierung und des Militärs. Die Auswirkungen auf die nationale Sicherheit für die US-Regierung und das Militär sind weitreichend und schwerwiegend.“
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu 179 GByte Daten von Hotelkunden und Militärpersonal entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.