Bericht: Kundendaten von 700.000 Choice Hotels geleakt
Hacker behaupten, 700.000 Gästedatensätze von Choice Hotels, einer der größten Hotelketten der Welt, gestohlen zu haben. Comparitech arbeitete mit dem Sicherheitsforscher Bob Diachenko zusammen, um die ungesicherte Datenbank aufzudecken, die offengelegt und für jeden mit einer Internetverbindung zugänglich blieb.
Diachenko benachrichtigte das Unternehmen sofort über die exponierte MongoDB-Instanz, aber es scheint, dass böswillige Akteure zuerst daran gelangten. Sie hinterließen einen Lösegeldschein mit der Forderung von 0,4 Bitcoin oder 3.856 US-Dollar zum Zeitpunkt des Schreibens.
Die Datenbank enthielt 5,6 Millionen Datensätze. Choice Hotels teilte Comparitech jedoch in einer E-Mail mit, dass es sich bei den meisten Datensätzen um „Testdaten handelte, die nicht mit echten Personen in Verbindung gebracht wurden“. Etwa 700.000 der Datensätze enthielten Angaben zu tatsächlichen Gästen, darunter Namen, E-Mail-Adressen und Telefonnummern.
Das Unternehmen sagtDie Daten wurden auf dem Server eines Anbieters gehostetund es wurde auf keine Server von Choice Hotels zugegriffen. „Der Anbieter arbeitete mit den Daten als Teil eines Vorschlags zur Bereitstellung eines Tools“, sagt ein Unternehmensvertreter gegenüber Comparitech.
Choice Hotels antwortete Comparitech per E-Mail und fügte die folgende Erklärung bei:
„Wir haben diese Angelegenheit mit dem Anbieter besprochen und werden in Zukunft nicht mehr mit ihm zusammenarbeiten. Wir bewerten die Beziehungen zu anderen Anbietern und arbeiten daran, zusätzliche Kontrollen einzuführen, um künftige Vorkommnisse dieser Art zu verhindern. Wir richten außerdem ein Programm zur verantwortungsvollen Offenlegung ein und freuen uns über die Unterstützung von Herrn Diachenko, der uns dabei hilft, etwaige Lücken zu identifizieren.“
Das Unternehmen setzt seine Ermittlungen zum Zeitpunkt des Verfassens dieses Artikels fort.
Zeitleiste des Verstoßes
Die MongoDB-Datenbank wurde öffentlich zugänglich gemacht, ohne dass für den Zugriff ein Passwort oder eine andere Authentifizierung erforderlich war. Folgendes ist passiert:
- 30. Juni:Die offengelegte Datenbank wurde zunächst von der Suchmaschine BinaryEdge indiziert.
- 2. Juli:Der Sicherheitsforscher Bob Diachenko entdeckte die Datenbank und benachrichtigte Choice Hotels sofort über die Offenlegung. Darin war bereits der Lösegeldschein enthalten. Choice Hotels gibt an, die E-Mail unbeabsichtigt gefiltert zu haben, sodass sie nicht gelesen wurde.
- 2. Juli:Der Datenbankzugriff wurde gesichert.
- 28. Juli:Diachenko schickte eine zweite Benachrichtigung und Choice Hotels begann mit der Untersuchung des Vorfalls.
Die Datenbank blieb vier Tage lang offen.
Der von Hackern hinterlassene Lösegeldschein war bereits vorhanden, als Diachenko die Datenbank entdeckte. Diachenko vermutet, dass die Notiz von einem automatisierten Skript hinterlassen wurde, das auf öffentlich zugängliche MongoDB-Datenbanken abzielt. Er vermutet, dass das Skript beabsichtigte, die Datenbank nach dem Kopieren zu löschen, dies jedoch fehlschlug.
Diachenko ermittelte, dass Informationen in der 3,8 GB großen MongoDB-Datenbank zu Choice Hotels gehörten, basierend auf der Art der Datensätze, den internen Administrator-Kontaktinformationen, die den Domainnamen @choicehotels.com enthielten, und dem Namen der offengelegten Datenbank: „ch“.
Welche Informationen wurden offengelegt?
Die ungesicherte Serverinstanz enthielt mehrere Datenbanken mit einer Vielzahl von Informationen, insgesamt mehr als 5,6 Millionen Datensätze. Laut Choice Hotels bestand der Großteil der Datenbank ausTestdaten, einschließlich aller Felder, die auf Zahlungskartendaten, Passwörter und Reservierungsinformationen verweisen.
Die MongoDB-Instanz enthielt eine Tabelle mit 2,4 Millionen Datensätzen mit der Bezeichnung „Datenschutzprotokoll“, die laut Choice Hotels den Großteil der 700.000 echten Kundendatensätze enthielt. Sie enthielten eine Mischung aus:
- Ganze Namen
- Adressen
- Telefonnummern
- E-mailadressen
- Einwilligungsstatus
Gefahren offengelegter Daten für Benutzer
Laut Choice Hotels enthielten alle Felder mit Passwörtern, Reservierungsdetails und Zahlungsinformationen nur gefälschte Testdaten.
Die größte Bedrohung für Kunden von Choice Hotels ist Phishing. Mithilfe der in der offengelegten Datenbank enthaltenen persönlichen Informationen können Betrüger gezielte Phishing-E-Mails erstellen. Diese E-Mails geben sich möglicherweise als Choice Hotels oder ein verbundenes Unternehmen aus und fordern Benutzer entweder per E-Mail oder auf einer Phishing-Website zur Herausgabe sensiblerer Informationen auf.
Betrüger können Benutzer mit Namen ansprechen und detaillierte persönliche Informationen angeben, um die Nachricht überzeugender zu machen. Abgesehen von E-Mails können Betrüger auch Phishing-Nachrichten über SMS-Texte an die Telefone der Benutzer senden.
Kunden von Choice Hotels sollten sich auch auf eine Zunahme gezielter Spam-Mails auf ihren Telefonen und E-Mail-Konten einstellen.
Auch ungeschützte MongoDB-Datenbanken können zur Verbreitung von Malware oder Ransomware gekapert werden. Laut Diachenko könnten Cyberkriminelle das gesamte System verwalten, es mit Malware infizieren, aus der Ferne auf die Serverressourcen zugreifen und sogar Code ausführen, um auf dem Server gespeicherte Daten zu stehlen oder zu zerstören.
Über Choice Hotels
Choice Hotels ist ein Hotel-Franchisegeber mit Sitz in Maryland, der eine Reihe von Hotelmarken besitzt, darunter unter anderem Comfort Inn, MainStay Suites, Econo Lodge und Cambria Hotels. Das Unternehmen hat rund 7.000 Immobilien in 41 Ländern franchisiert.
Im April 2012, Choice Hotels erlitt einen Datenvorfall davon waren Kunden in Kalifornien und New Hampshire betroffen. Sensible Kundeninformationen, darunter Kreditkartennummern, Führerscheinnummern, Reisepassnummern und Sozialversicherungsnummern, wurden fälschlicherweise zu Datenbankfeldern hinzugefügt. Diese Daten wurden an die Marketingpartner des Unternehmens weitergegeben, was dazu führte, dass vertrauliche Informationen auf Marketingumschlägen gedruckt wurden, die an Kunden verschickt wurden. Nach Angaben des Unternehmens waren von diesem Vorfall weniger als 0,001 Prozent der Gästeaufenthalte betroffen.
Wie und warum wir diesen Verstoß entdeckt haben
Das Sicherheitsforschungsteam von Comparitech durchsucht das Internet nach falsch konfigurierten und anfälligen Datenbanken mit dem Ziel, verantwortliche Organisationen zu alarmieren und das Internet für alle sicherer zu machen.
Bob Diachenko nutzt sein umfassendes Wissen und seine Erfahrung im Bereich Cybersicherheit, um Daten aufzuspüren und zu analysieren, die versehentlich oder absichtlich offengelegt wurden. Wenn er ein Leck entdeckt, ergreift er sofort Maßnahmen, um die für die Daten verantwortliche Organisation zu benachrichtigen, damit diese sie sichern kann.
Unsere Untersuchung wird dann fortgesetzt und wir erfahren, um welche Art es sich bei den Daten handelt und auf wen sie sich beziehen. Wir berichten über unsere Ergebnisse, um betroffene Verbraucher zu sensibilisieren, damit sie alle notwendigen Maßnahmen oder Vorsichtsmaßnahmen ergreifen können. Wir ergreifen diese Initiative, um den böswilligen Zugriff auf personenbezogene Daten zu begrenzen und den Schaden zu mindern, wenn die Daten in die falschen Hände geraten.
Frühere Berichte
Comparitech und Diachenko haben sich zusammengetan, um mehrere Datenlecks und -verstöße aufzudecken, darunter:
- 7 Millionen Datensätze von K-12-Schülern
- 188 Millionen personenbezogene Datensätze von Personensuchseiten
- 300.000 Datensätze gehört zur Kryptowährungsbörse QuickBit