179 GByte Daten von Hotelkunden und Militärpersonal entdeckt

Ein Team von Sicherheitsforschern des US-Unternehmens vpnMentor hat unter der Leitung von Noam Rotem und Ran Locar eine ungesicherte 179 GByte große Datenbank entdeckt. Sie gehört zur Hotelgruppe Best Western. In der Autoclerk genannten Datenbank sind vertrauliche Daten über Hotelkunden sowie Angehörige des US-Militärs gespeichert.

Autoclerk ist das Reservierungssystem, das Hotelbuchungen über das Internet verwaltet. Es speichert aber auch Gästeprofile und Umsatzdaten. Außerdem wird es für die Abwicklung von Zahlungen und Bonusprogrammen benutzt.

Die Elasticsearch-Datenbank wurde durch das Web Mapping Project von vpnMentor aufgespürt. Die Forscher hatten vollständigen Zugriff auf die Daten, die weder verschlüsselt noch auf irgendeine andere Art gesichert waren. Ihren Schätzungen zufolge geht die Zahl der Betroffenen in die Tausende. Eine genaue Zahl hätten sie jedoch aus ethischen Gründen nicht ermittelt.

Alleine mehrere Hunderttausend Reservierungen und Buchungen von Gästen enthielten jeweils neben vollständigen Namen auch Geburtsdaten, Anschriften, Telefonnummern, Reisedaten und Kosten. In einigen Fällen waren auch Ankunftszeiten und Zimmernummern hinterlegt. In Einzelfällen gaben die Buchungen auch verdeckte Kreditkartendaten preis.

Derartige Datenlecks durch ungesicherte und über das Internet zugängliche Datenbanken sind nicht ungewöhnlich. Selten sind allerdings Vertreter der US-Regierung und des US-Militärs betroffen. Die Forscher gehen davon aus, dass das Buchungssystem auch von einem Lieferanten der US-Regierung benutzt wird, der Reisebuchungen vornimmt.

vpnMentor hatte nicht nur Einsicht in vergangene, sondern auch in geplante Reisebuchungen für Mitarbeiter der Regierung, des Militärs und des Ministeriums für Heimatschutz. Unter anderem fanden die Forscher Buchungen für US-Generäle für Reisen nach Russland und Israel.

Das United States Computer Emergency Readiness Team (CERT) informierten die Forscher am 13. September über das Datenleck. Sie erhielten jedoch keine Reaktion. Darauf traten sie mit Vertretern der US-Botschaft in Tel Aviv sowie einen Vertreter des Verteidigungsministeriums in Kontakt. Letzterer versprach eine schnelle Reaktion. Der Zugang zu der Datenbank wurde schließlich am 2. Oktober gesperrt.

„Für die US-Regierung und das Militär besteht das größte Risiko durch dieses Leck“, sagten die Forscher. „Bedeutende Mengen an sensiblen Mitarbeiter- und Militärdaten könnten heute öffentlich zugänglich sein. Dies gibt einen unschätzbaren Einblick in die Operationen und Aktivitäten der US-Regierung und des Militärs. Die Auswirkungen auf die nationale Sicherheit für die US-Regierung und das Militär sind weitreichend und schwerwiegend.“