Hotelkette Numa: Ausweisdaten von Gästen öffentlich zugänglich

Ein gravierendes Sicherheitsproblem bei der Hotelkette Numa hat zur Offenlegung sensibler Gästedaten geführt. Über das digitale Check-in-System ließen sich durch einfaches Hochzählen der Rechnungsnummern mehr als 500.000 Buchungen aufrufen – inklusive vollständiger Ausweisdokumente. Aufgedeckt wurde die Schwachstelle von einem Mitglied des Chaos Computer Clubs (CCC), das kürzlich in einem Numa-Hotel eingecheckt hatte. Der Check-in war ausschließlich digital möglich und verlangte nach Eingabe der Buchungsnummer den Upload eines amtlichen Ausweises. Trotz vorheriger Bezahlung des Zimmers blieb dem Gast keine Alternative.

Beim näheren Blick auf die Funktionsweise des Systems zeigte sich: Die Rechnungsnummern waren fortlaufend – wer sie schrittweise erhöhte, konnte ohne Authentifizierung auf die Daten anderer Gäste zugreifen. Darunter fanden sich nicht nur Rechnungen, sondern auch hochgeladene Personalausweise und Reisepässe.

Die Hotelkette hat sich bislang nicht zu dem Vorfall geäußert. Datenschutzexperten sprechen von einem eklatanten Verstoß gegen grundlegende Sicherheitsstandards.

IDOR like it’s 1999

Nach dem Auschecken und einem kurzen Blick auf den per E-Mail übersandten Link zu seiner Rechnung kam dem Gast dann die verrückte Idee, den Parameter invoiceID in besagtem URL zu ändern. Prompt stieß er auf eine Schwachstelle, die es in diesem Jahrtausend einfach nicht mehr geben darf: Durch einfaches Hoch- und Runterzählen der Rechnungsnummern konnte direkt auf Rechnungen anderer Gäste zugegriffen werden. Die invoiceIDs waren nach guter buchalterischer Manier fortlaufend vergeben – und das auch lückenlos: In einer Stichprobe zwischen 100000001 und 100545503 waren alle IDs vergeben. Die Rechnungen enthalten Namen, Adressen, Aufenthaltsorte und -zeiten der Numa-Gäste.

Es kommt noch schlimmer

Die Rechnungen enthalten außerdem die jeweilige Buchungsnummer, die zum digitalen Check-in benötigt wird. Nach dem Check-In findet sich im Quellcode der Webseite ein JSON-Objekt mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte. Wir nahmen das Geschenk jedoch freudig an, denn jedenfalls ermöglicht es auch noch den ungeschützten Zugriff auf die Ausweisdaten der Gäste.

Ein qualifizierter Datenhamster kann durch Hoch- und Runterzählen alle Rechnungen herunterladen und erhält mit der darin enthaltenen Buchungsnummer praktischerweise auch Zugriff auf die Ausweisdaten der Gäste.

Die Ausweisdaten hätten nie verarbeitet werden dürfen

Wer ein Zimmer gebucht, bezahlt, und seinen Check-In-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar. Dazu kommentiert Matthias Marx, Reisender und Sprecher des CCC: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen.“

Der CCC fordert eine Abschaffung der Hotelmeldepflicht, auch für Personen ohne deutsche Staatsangehörigkeit.

Links:

• OWASP IDOR Cheat Sheet
• Stellungnahme des CCC an das BMJ zur Abschaffung der Hotelmeldepflicht für Deutsche