Hotelkette Marriott: Neuer Datenverlust betrifft 5,2 Millionen Gäste

Die Hotelkette Marriott meldet einen weiteren Einbruch in seine Systeme, der offenbar auch zu einem Datenverlust geführt hat. Betroffen sind mehr als 5,2 Millionen Gäste, die die Bonus-App des Unternehmens genutzt haben.

Den Hackerangriff bemerkte die Hotelkette Ende Februar. Der unbekannte Täter hatte die Anmeldedaten von zwei Mitarbeitern eines Franchise-Partners benutzt, um Kundendaten aus dem Backend-System der App abzurufen. Der Diebstahl selbst fand demnach Mitte Januar statt. Das Unternehmen nannte keine weiteren Details zum Vorgehen des Hackers.

Zugriff hatte er auf Name, Anschriften, E-Mail-Adressen und Telefonnummern. Auch Kontoinformationen wie Kontonummern und Anzahl von Bonuspunkten von Gästen fielen dem Cyberkriminellen in die Hände. Die App speicherte außerdem Angaben zu Arbeitgebern, Geschlecht, Geburtstag und Vielfliegerprogrammen.

Kennwörter wurden laut Marriott jedoch nicht kompromittiert. Das soll auch für Finanzdaten, Ausweisdaten und Führerscheinnummern gelten, mit denen sich Gäste gemäß der jeweiligen Meldebestimmungen bei einem Hotelaufenthalt ausweisen.

Gäste der Hotelkette beziehungsweise Nutzer des Bonusprogramms können sich nun über ein Internetportal informieren, ob und wenn ja welche Daten von Ihnen entwendet wurden. Zudem wurden alle möglichen Betroffenen gestern per E-Mail über den Vorfall informiert. Darüber hinaus können sich Gäste an eigens dafür eingerichtete Call-Center wenden. Die Telefonnummern, auch für deutschsprachige Kunden, hält das Unternehmen auf seiner Website bereit.

Es ist bereits der zweite erfolgreiche Hackerangriff auf Marriott innerhalb von weniger als zwei Jahren. Ende 2018 räumte das Unternehmen den Verlust von Daten von bis zu einer halben Milliarde Gästen ein. Später wurde dies Zahl auf weniger als 383 Millionen Betroffene korrigiert. Damals erbeuteten die Täter auch unverschlüsselte Personalausweisnummern.

Sam Curry, Chief Security Officer von Cybereason, weist darauf hin, dass Cyberkriminelle auch in Ausnahmezeiten wie der aktuellen COVID-19-Pandemie aktiv seien. Unternehmen müssten ihre Mitarbeiter vor allem im Umgang mit verdächtigen E-Mails schulen, um Infektionen mit Schadsoftware zu verhindern.

„In diesem Fall erfolgte der Angriff über kompromittierte Mitarbeiterkonten. Sie ermöglichten den Zugang zu den Gästeservices. Da die Mitarbeiter oft Zugang zu sensiblen Kundendaten haben, ist die Erstellung entsprechender Warnmeldungen zur Erkennung von Missbrauch besonders schwierig“, kommentierte Tim Mackey, Principal Security Analyst bei Synopsys. Missbrauch sei unter anderem an Verhaltensmustern zu erkennen wie Tageszeiten, zu denen sich Mitarbeiter anmelden, oder ein typisches Datenvolumen, das dabei erzeugt werde. „Bei der Implementierung solcher Kontrollen müssen Unternehmen nicht nur die Anwendungssicherheit und die Art und Weise ihrer Bereitstellung, sondern auch die beabsichtigten Nutzungsmuster unter Einbeziehung von Human-Factors-Daten betrachten.“

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Neue Datenanalyse-Software für die Thüringer Polizei

Ob schnelles Bild zur Lage, kollaborative Ermittlung oder strategische Analysen auf Basis von polizeilichen Vorgängen:…

14 Stunden ago

US-Bundesstaat Arizona verklagt Google wegen Täuschung von Verbrauchern

Es geht um die Sammlung von Standortdaten. Der Generalstaatsanwalt von Arizona unterstellt eine fehlende Zustimmung…

15 Stunden ago

Poco F2 Pro: Xiaomi erhöht heimlich Preis um 100 Euro

Statt 499 Euro verlangt Xiaomi für das Poco F2 Pro nun 599,90 Euro. Das Unternehmen…

16 Stunden ago

Handelsstreit mit USA: Auslieferung von Huawei-CFO rückt näher

Der Supreme Court lehnt eine Einstellung des Auslieferungsverfahrens ab. Es sieht genug Anhaltspunkte für eine…

16 Stunden ago

Bug-Bounty-Plattform HackerOne gibt 100 Millionen Dollar für Sicherheitslücken aus

Für die ersten 20 Millionen Dollar benötigt das Unternehmen noch fünf Jahre. Danach kommen in…

19 Stunden ago

Forscher finden 26 USB-Bugs in Linux, Windows, macOS und FreeBSD

Sie entwickeln ein spezielles Fuzzing-Tool für USB-Treiber. Es emuliert ein USB-Gerät und erzeugt ungültige und…

20 Stunden ago