Das Information Commissioner’s Office (ICO), die britische Datenschutzbehörde, hat eine Strafe gegen das Online-Reisebüro Think W3 verhängt. Insgesamt wird eine Summe von 150.000 britischen Pfund fällig, da ein Hacker Zugriff auf Kreditkartendetails bekommen hatte. Diesen Zugriff erlangte er über einen Fehler im Code der Webseite.

Da das System nie aktualisiert wurde, konnte der Hacker sogar noch auf Daten von 2006 zugreifen. Auch führte das Unternehmen nie Sicherheitstests oder Penetrationsteststests nach dem Aufbau der Webseite durch.

Im Bericht des ICO heißt es wie folgt:

„Die Datenbeauftragten führten nie einen angemessenen Penetrationstest oder interne Scans und Überprüfungen auf Schwachstellen in Bezug auf den Webserver durch. Auf anderen Servern schon, da die Webseite und der Webserver vermeintlich nicht nach außen gerichtet waren.“

„Die Webseite (und damit auch das verbundene System und der Webserver) konnte jedoch von jedem mit ausreichendem Wissen entdeckt und über das Internet betreten werden.“

Dies geschah am 21. Dezember 2012, als der Hacker den Fehler im Code der Seite entdeckte. Daraufhin nutzte er eine SQL Injection, um sich in die Benutzeroberfläche des Admins einzuloggen.

Nur drei Tage später entdeckten die Datenbeauftragten den Angriff, als sie eine Routine-Überprüfung durchführten. Dabei kam eine Benachrichtigung von einem Antivirenprogramm ans Licht, welches auf dem Server installiert war.

Zu diesem Zeitpunkt hatte der Hacker allerdings schon Zugriff auf 1.163.996 Aufzeichnungen von Kredit- und EC-Karten. Von diesen waren 430.599 noch aktuell und 733.397 abgelaufen.
Stephen Eckersley, der die Untersuchung leitete:

„Datenschutz sollte eine der Top-Prioritäten jeder Firma sein, die online arbeitet. Think W3 übernimmt die Verantwortung für den Umstand, dass sie die Daten ihrer Kunden nicht schützten, die Sicherheit nicht testeten und veraltete Daten nicht löschten.“

Die Thomas Cook Gruppe ist der Eigentümer von Think W3. Sie sagte bereits zu, die Strafe zu zahlen, und gibt an:

„Keinem Kunden ist ein Schaden entstanden durch den Vorfall, den unser Sicherheitssystem sofort entdeckte. Das Computersystem der betroffenen Tochterfirma wird von keinem anderen Zweig der Thomas Cook Gruppe verwendet.“

Auch der neue Eigentümer von Think W3, Holiday Extras, bestätigt die Sicherheit der Kundendaten.

„Wir haben Essential Travel (eine Marke von Think W3) im Januar 2014 übernommen. Zu diesem Zeitpunkt wurden alle Bezahlprozesse in das Hauptsystem von Holiday Extras überführt. Die Sicherheit der Kundendaten genießt bei uns höchste Priorität und wir investieren signifikante Summen in diesem Bereich.“

Artikel von v3.co.uk, 24.07.2014: ICO fines travel firm £150,000 after hacker steals card details from more than a million customers
Artikel von theregister.co.uk, 24.07.2014: Who has your credit card data? 1 million HOLIDAY-MAKERS‘ RECORDS exposed