(St. Albans/London, 02. Juli 2014) Die Internetbranche Großbritanniens wird zurzeit von einem schwerwiegenden Datenschutzskandal erschüttert. Im Zentrum der Aufregung steht das beliebte Hotel-Buchungsportal hotelhippo.com, das von Security-Experten beschuldigt wird, große Datenmengen mit persönlichen Kundeninformationen ungesichert an Cyber-Kriminelle preisgegeben zu haben. Diese konnten damit unter anderem problemlos die privaten Wohnadressen der Betroffenen herausfinden. Die zuständige britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat bereits eine gründliche Untersuchung in dieser Angelegenheit eingeleitet. HotelHippo wurde aus Sicherheitsgründen offline genommen.
“Ich hatte kürzlich das Vergnügen, auf dieser Webseite ein nettes kleines Hotel zu buchen”, schildert der britische Sicherheitsexperte Scott Helme gegenüber BBC News seine erste Begegnung mit hotelhippo.com. Dabei habe er schnell feststellen müssen, dass das Portal zwar überall mit Gütesiegeln und Stempeln seine Datensicherheit bekundet, diese aber in der Praxis keineswegs wirklich Ernst nimmt. “Ich war erschüttert von dem, was ich dort gefunden habe”, erklärt Helme. Schon nach einigen schnellen Tests habe sich herausgestellt, dass diese Seite ihre Kundendaten quasi “auf dem Präsentierteller” für Übeltäter bereitstellt. “Es war unglaublich leicht, dort sensible persönliche Informationen von Tausenden Nutzern zu extrahieren”, kritisiert Helme.
Nummerncode als Kernproblem
Aus technischer Sicht sieht der Sicherheitsexperte vor allem die Art und Weise der Datensammlung und -verwaltung als Kernproblem von hotelhippo.com. “Die Anfälligkeit resultiert zu einem Großteil aus der Verwendung von spezifischen Web-Adressen”, erläutert Helme. Sobald nämlich ein User eine Buchung auf der Seite durchführt, wird automatisch eine fünfstellige Nummer generiert, die auch in der Adresszeile des Web-Browsers angezeigt wird. “Es reicht, diese Nummer ein wenig abzuändern, um Zugriff auf Details von vorangegangenen Buchungen zu erhalten”, beschreibt der Fachmann.
Das Datenmaterial, das auf diese Weise von Cyber-Kriminellen erbeutet werden könnte, reiche vom Ort und der Länge der jeweiligen Hotelbuchung bis hin zur privaten Wohnadresse der Kunden. “Man könnte ganz leicht ein simples Programm schreiben, um diese Daten automatisch von der Seite zu holen und eine Datenbank mit Adressen anzulegen”, meint Helme.
Erste Sicherheitsprüfung im Juni
Seine ersten Sicherheitsprüfungen auf hotelhippo.com führte der Experte eigenen Angaben zufolge schon Ende des vergangenen Monats durch. Am 25. Juni habe er sich dann erstmals mit genaueren Details zu den gefundenen Sicherheitslücken an den Betreiber des Portals gewandt. Doch sein Bericht habe keinerlei Reaktion hervorgebracht. Mittlerweile hat sich aber auch die ICO-Behörde in die Angelegenheit eingeschaltet und eine “gründliche Aufklärung” versprochen. Bei hotelhippo.com wusste man sich in Anbetracht der aktuellen Aufregung offenbar nicht anders zu helfen, als die Webseite bis auf weiteres komplett vom Netz zu nehmen. “Die Privatsphäre unsere Kunden ist unsere oberste Priorität”, begründet der Seitenbetreiber den drastischen Schritt.