Phisherman's Friend
-
Share
min
Lesezeit
0
Kommentare
Blogpost von Markus Luthe zur Datensicherheit eines Buchungsportals
Das interne Kommunikationssystem von Booking.com, das Hoteliers zwingend für die Kommunikation mit ihren über Booking.com buchenden Hotelgästen nutzen müssen, erweist sich zunehmend als Sicherheitsrisiko und Achillesferse der Branche. Das System scheint seit Anfang dieses Jahres gleich mehrfach als Einfallstor für Betrügereien („Phishing“) rund um die Hotelbuchung genutzt worden zu sein.
Bislang haben wir drei Angriffsmethoden der Cyberkriminellen verzeichnet:
1. Phishing
Über die Kommunikationskanäle von Booking.com erhält der Hotelier Anfragen potenzieller Gäste, die unter irgendeinem plausibel inszeniertem Vorwand nach der direkten E-Mail-Adresse des Hotels fragen und dem Hotel dann Links oder Dateien mit verseuchter Schadsoftware zusenden („trojanisches Pferd“). Das Ziel des Angriffs scheint darin zu bestehen, den Hotelaccount im Extranet von Booking.com zu kapern, um den Hotelnamen, die Kontaktdaten sowie Verfügbarkeiten und Preise zu manipulieren.
Es gibt auch noch eine subtilere Spielart des Phishings, die wohl nicht nur Daten aus dem vorherigen Hackerangriff nutzt, sondern auch noch andere Sicherheitslücken. Die Cyberkriminellen nehmen dabei direkt Kontakt mit Gästen über die Mailbox des Extranets von Booking.com oder über WhatsApp auf. Diese Kunden werden aufgefordert, auf einen Link zu klicken und ihre Kreditkarte (erneut) anzugeben.
2. Fake-Buchungen
Wie eine Reporterin der Bild-Zeitung am eigenen Leib erfahren musste, haben Hacker Nutzer-Accounts von Booking.com geknackt und buchen über die Konten der ahnungslosen Nutzer überall in Deutschland Dutzende Hotelzimmer. In der Folge drohen die Booking-Kunden mit Stornokosten belastet zu werden, die Hotels werden durch die massenhaften Fake-Buchungen blockiert und dürfen sich auch noch mit verärgerten Kunden auseinandersetzen. Auch wenn sich uns der konkrete Sinn dieses Massenbetruges noch nicht erschließt, scheint der letztlich auf Sicherheitslücken des Kommunikationssystems von Booking.com beruhende Schaden enorm.
3. Zahlungserschleichung
Bis Mitte Juli führt Booking.com Wartungsarbeiten an seinem Zahlungssystem durch. Prompt erreichen uns Berichte, dass Hotels vermeintliche Rechnungsbeträge von Booking.com auf ein neues Konto überweisen sollen, da aktuell keine SEPA-Lastschrift erfolgen könne. In der Rechnung werden Namen und Reisedaten tatsächlicher Hotelgäste aufgeführt, also Insiderwissen verwendet. Die Betrüger machen sich den Umstand zunutze, dass aufgrund der Wartungsarbeiten die Zahlungen im Extranet von Booking.com vorübergehend nicht überprüfbar sind.
Sollten Sie unter diesen oder weiteren Angriffen zu leiden gehabt haben, melden Sie dies bitte Booking.com und parallel auch uns!
Ob Booking.com das mehrmalige Korrumpieren des Extranets seines Buchungssystems und die Verletzungen des Schutzes personenbezogener Daten gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) den Aufsichtsbehörden hätte melden müssen, mögen andere beurteilen.
Ich finde es in jedem Fall inakzeptabel und bezeichnend, wie Booking.com – vorsichtig ausgedrückt – diese Fälle seinen Hotelpartnern gegenüber nur „schleppend“ kommuniziert! Schließlich hat Booking.com vor einigen Jahren aus vorgeblichen „Sicherheitsgründen“ seine Hotelpartner gezwungen, die gesamte Gästekommunikation ausschließlich über das System des Buchungsportals zu führen, und hält den Hotels sogar bis heute sicherheitsrelevante Kommunikationsdaten ihrer eigenen Gäste vor.
Ich meine: Wer seinen Hotelpartnern jahrelang suggeriert, sein Extranet genüge besonders hohen Sicherheitsstandards, der hat im Schadensfall auch eine besondere Verantwortung, Sicherheitslücken zu kommunizieren und Schäden zu ersetzen!
0 Kommentare
Sei der erste der kommentiert
Kommentar hinzufügen