Hotelbranche: Prestige Software mit falsch konfiguriertem AWS S3 Bucket
IT-Experte Mark Holden von Website Planet entdeckte ein falsch konfiguriertes und unsicheres S3 Bucket. Die ungeschützte Cloud-Datenbank gehört dem spanischen Entwickler Prestige Software. Dieser stellt eine automatisierte Buchungsplattform für Hotels zur Verfügung. 10 Millionen einzelne Log-Dateien aus den letzten sieben Jahren waren dort abgelegt. Insgesamt handelte es sich um 24,4 GB an personenbezogenen Daten.
Mark Holden warnte, dass die Kriminelle das ungeschützte Bucket für Identitätsbetrug, Phishing-Attacken oder das Kapern von Buchungen hätten ausnutzen können. Laut Holden gibt es zum Glück keine Beweise dafür, dass sich jemand hier bedient hätte. Falls doch, so Holden, würde es
„enorme Auswirkungen auf die Privatsphäre, die Sicherheit und das finanzielle Wohlergehen der Betroffenen haben.“
Prestige Software kurz vorgestellt
Prestige Software ist ein spanisches Softwareunternehmen, das sich auf integrierte Hotel Management Systeme spezialisiert. Deren Software Cloud Hospitality ist ein oft verwendeter Channel Manager, um verschiedene Online-Reservierungs-Seiten zu verbinden. Webseiten wie Expedia oder Booking.com greifen damit auf die Zimmerreservierung einzelner Hotels zu. Der Channel-Manager stellt sicher, dass Verfügbarkeit von Hotelzimmern stets aktualisiert und über jede angeschlossene Buchungswebseite. Es kann sich um Hunderte solcher Buchungsplattformen handeln.
Die Cloud Hospitality Lösung wird von solchen Hotels genutzt, die ihre Zimmer auf vielen der größten Hotelbuchungswebseiten und Online-Reisebüros anbieten. Auch herkömmliche Reisebüros sind damit verbunden. Prestige Software nutzt Amazon Webservices als Datenbank für das Cloud Hospitality System.
Mögliche Folgen des falsch konfigurierten AWS S3 Bucket
Das falsch konfigurierte AWS S3 Bucket brachte 24.4 GB an persönlichen Daten von Hotelgästen in aller Welt in die Gefahr, von Hackern missbraucht zu werden. Dazu gehören vollständige Namen, Personalausweis-Nummern. Aber auch Kontaktdaten wie E-Mail-Adressen und Telefonnummern der Hotelgäste. Kreditkartendetails einschließlich dem Namen des Karteninhabers, den CVV-„Sicherheitscode“, die Kartennummer und das Ablaufdatum waren ebenfalls ungesichert. Daneben waren auch genaue Reservierungsdetails und besondere Wünsche von Hotelgästen gespeichert.
Betroffene Hotelgäste könnten einer Vielzahl von Cybergefahren ausgesetzt sein. Identitätsdiebstahl und Phishing wären die lukrativsten Möglichkeiten. Allerdings wäre es auch möglich, bereits gebuchte und bezahlte Urlaube zu kapern und weiterzuverkaufen. Auch könnten Cyberkriminelle mit den gestohlenen Informationen beispielsweise Gäste in Luxus-Hotels identifizieren. Damit sind viele kriminelle Aktionen denkbar. Diese reichen von kleinen Betrügereien bis hin zu schweren Verbrechen wie Erpressung.
Die Forscher bei Website Planet schrieben in ihrem Bericht:
„Wir können nicht garantieren, dass nicht schon jemand vor uns auf den S3-Bucket zugegriffen und die Daten gestohlen hat. Bis jetzt gibt es keine Anzeichen dafür, dass etwas passiert ist. Sollte jedoch was vorgefallen sein, hätte dies enorme Auswirkungen auf die Privatsphäre, die Sicherheit und das finanzielle Wohlergehen der Betroffenen.“
Website Planet untersuchte, wer verantwortlich war für die Datenlücke. Aufgrund der Menge und der Sensibilität der gefährdeten Daten entschieden die Forscher, es direkt AWS zu melden. Der Cloud-Servicebetreiber reagierte prompt und sicherte das S3-Bucket schon am nächsten Tag.
Prestige Software hielt Sicherheitsstandards nicht ein
Es liegt wohl ein klarer Verstoß gegen bestehenden Datenschutzrichtlinien vor. Prestige Software hatte nicht nur die Vorgaben der DSGVO nicht eingehalten. Es hatte auch gegen den Payment Card Industry Data Security Standard verstoßen.
Das ist ein Informationssicherheitsstandard, den große Kreditkartenunternehmen festgelegt haben, um ihre Kunden gegen Betrug zu schützen. Darin werden Protokolle festgelegt, wie Unternehmen Kreditkartendaten speichern, übertragen und mit ihnen umgehen müssen. Eine Nichteinhaltung des Standards oder ein Verstoß gegen dessen Protokolle hat schwerwiegende unternehmerische Folgen. Die Zulassung zur Nutzung und Verarbeitung von Kreditkartenzahlungen kann entzogen werden.
SANS Sicherheitsexperte John Pescatore: AWS S3 mit neuer Konfiguration
Pescatore wies in einem Kommentar zum Fall auf eine große Hilfe zur Vermeidung von derartigen Schwachstellen hin.
„Das Center for Internet Security hat die v1.3 Konfigurationsrichtlinien für AWS S3, Office365 und die anderen häufig genutzten Cloud-Dienste aktualisiert. Dazu zählen insbesondere solche, die ständig in den Nachrichten sind, weil vermeidbare Fehlkonfigurationen Vorfälle und Gefährdungen dies erst möglich machen“.
Infos dazu gibt es unter www.cisecurity.org: CIS Benchmarks September 2020 Update.
Meldungen über falsch konfigurierten Buckets häufen sich
Der Prestige Software Vorfall ist nicht der einzige Fall von falsch konfigurierten Cloudspeichern. Das Pharmaunternehmen Pfizer musste im Oktober feststellen, dass die medizinischen Daten von Patienten in den USA, die verschreibungspflichtige Medikamente einnehmen, betroffen waren. Sie lagen jahrelang ungeschützt in einem Google-Cloud-Speicher-Bucket.
Bei Broadvoice, einem VoIP-Anbieter, wurden über 350 Millionen Kundendaten aus der Cloud-basierten Kommunikationssuite „b-hive“ geleakt. Razer, ein Anbieter von High-End-Gaming-Ausrüstung für Laptops, gefährdete die Daten von etwa 100.000 seiner Kunden. Hier war ein Elasticsearch-Server falsch konfiguriert. Ein weiterer Elasticsearch-Server von Mailfire für 70 Dating- und E-Commerce-Webseiten war falsch konfiguriert. Der walisische Zweig des britischen National Health Service musste ebenfalls zugeben, dass persönliche Daten von Walisern gefährdet waren. Die betroffenen Personen waren positiv auf COVID-19 getestet worden. Ihre Testergebnisse lagen ungesichert in einem öffentlichen Cloud-Upload.
Alle diese Vorfälle bestätigen das Ergebnis einer Studie von Comparitch. Das Unternehmen hatte im September seine Funde veröffentlicht. Demnach seien sechs Prozent aller Google Cloud-Datenbanken mit hochsensiblen Informationen öffentlich zugänglich. Verantwortlich hierfür sind auch falsch konfiguriert Buckets.
Artikel von websiteplanet.com, 06.11.2020: Report: Hotel Reservation Platform Leaves Millions of People Exposed in Massive Data Breach
Artikel von threatpost.com, 09.11.2020: Millions of Hotel Guests Worldwide Caught Up in Mass Data Leak
Artikel von infosecurity-magazine.com, 09.11.2020: Hotel Booking Firm Leaks Data on Millions of Guests
Beitragsbild: Public Domain, Creative Commons CC0 von Pixabay auf pexels.com.