Hotelkette Marriott: Neuer Datenverlust betrifft 5,2 Millionen Gäste

Die Hotelkette Marriott meldet einen weiteren Einbruch in seine Systeme, der offenbar auch zu einem Datenverlust geführt hat. Betroffen sind mehr als 5,2 Millionen Gäste, die die Bonus-App des Unternehmens genutzt haben.

Den Hackerangriff bemerkte die Hotelkette Ende Februar. Der unbekannte Täter hatte die Anmeldedaten von zwei Mitarbeitern eines Franchise-Partners benutzt, um Kundendaten aus dem Backend-System der App abzurufen. Der Diebstahl selbst fand demnach Mitte Januar statt. Das Unternehmen nannte keine weiteren Details zum Vorgehen des Hackers.

Zugriff hatte er auf Name, Anschriften, E-Mail-Adressen und Telefonnummern. Auch Kontoinformationen wie Kontonummern und Anzahl von Bonuspunkten von Gästen fielen dem Cyberkriminellen in die Hände. Die App speicherte außerdem Angaben zu Arbeitgebern, Geschlecht, Geburtstag und Vielfliegerprogrammen.

Kennwörter wurden laut Marriott jedoch nicht kompromittiert. Das soll auch für Finanzdaten, Ausweisdaten und Führerscheinnummern gelten, mit denen sich Gäste gemäß der jeweiligen Meldebestimmungen bei einem Hotelaufenthalt ausweisen.

Gäste der Hotelkette beziehungsweise Nutzer des Bonusprogramms können sich nun über ein Internetportal informieren, ob und wenn ja welche Daten von Ihnen entwendet wurden. Zudem wurden alle möglichen Betroffenen gestern per E-Mail über den Vorfall informiert. Darüber hinaus können sich Gäste an eigens dafür eingerichtete Call-Center wenden. Die Telefonnummern, auch für deutschsprachige Kunden, hält das Unternehmen auf seiner Website bereit.

Es ist bereits der zweite erfolgreiche Hackerangriff auf Marriott innerhalb von weniger als zwei Jahren. Ende 2018 räumte das Unternehmen den Verlust von Daten von bis zu einer halben Milliarde Gästen ein. Später wurde dies Zahl auf weniger als 383 Millionen Betroffene korrigiert. Damals erbeuteten die Täter auch unverschlüsselte Personalausweisnummern.

Sam Curry, Chief Security Officer von Cybereason, weist darauf hin, dass Cyberkriminelle auch in Ausnahmezeiten wie der aktuellen COVID-19-Pandemie aktiv seien. Unternehmen müssten ihre Mitarbeiter vor allem im Umgang mit verdächtigen E-Mails schulen, um Infektionen mit Schadsoftware zu verhindern.

„In diesem Fall erfolgte der Angriff über kompromittierte Mitarbeiterkonten. Sie ermöglichten den Zugang zu den Gästeservices. Da die Mitarbeiter oft Zugang zu sensiblen Kundendaten haben, ist die Erstellung entsprechender Warnmeldungen zur Erkennung von Missbrauch besonders schwierig“, kommentierte Tim Mackey, Principal Security Analyst bei Synopsys. Missbrauch sei unter anderem an Verhaltensmustern zu erkennen wie Tageszeiten, zu denen sich Mitarbeiter anmelden, oder ein typisches Datenvolumen, das dabei erzeugt werde. „Bei der Implementierung solcher Kontrollen müssen Unternehmen nicht nur die Anwendungssicherheit und die Art und Weise ihrer Bereitstellung, sondern auch die beabsichtigten Nutzungsmuster unter Einbeziehung von Human-Factors-Daten betrachten.“