PresseBox
Pressemitteilung BoxID: 435389 (cirosec GmbH)
  • cirosec GmbH
  • Edisonstraße 21
  • 74076 Heilbronn
  • https://www.cirosec.de
  • Ansprechpartner
  • Daniela Strobel
  • +49 (7131) 59455-60

Gravierende Datenschutzmängel in zahlreichen Hotels

Datenleck in WLAN-Software ermöglicht Einsicht in persönliche Daten der Hotelgäste

(PresseBox) (Heilbronn, ) cirosec, der Spezialist für IT-Sicherheit, warnt vor gravierenden Datenschutz- und Sicherheitsproblemen in weltweiten IT-Systemen zahlreicher Hotels im 3- bis 5-Sterne-Bereich. Anonyme Angreifer können vertrauliche Daten wie Ausweisdaten, angesehene Filme und weitere sensible, personenbezogene Details der letzten Jahre auslesen.

Im Rahmen von Sicherheitsanalysen wurden Standard-IT-Produkte vorgefunden, die über ungesicherte WLAN-Zugänge den Zugriff auf interne Datenbanken erlauben. Durch eine SQL-Injection-Schwachstelle in der WLAN-Anmeldemaske erlangt ein Angreifer Zugriff auf die Datenbank zur Verwaltung von IPTV- und Wireless-LAN-Zugängen des Hotels. Bei den dort gespeicherten Daten handelt es sich beispielsweise um die Namen der Hotelgäste der letzen Jahre inklusive ihrer kompletten Postanschriften, E-Mail-Adressen, Telefon-, Handy- und Personalausweisnummern sowie die erhaltenen persönlichen Nachrichten.

Des Weiteren ist es möglich, die Konfiguration der TV-Geräte in den Hotelzimmern auszulesen und zu manipulieren. Dadurch könnte man beispielsweise gezielt Gäste mit Falschmeldungen versorgen, die von fingierten Nachrichten bis zum hotelweiten "Feueralarm" reichen. In der Konfiguration sind zudem die ausgeliehenen Filme gespeichert.

Außerdem werden innerhalb der Applikation Kreditkartennummer inklusive Verfikationscode und Gültigkeitsdatum unverschlüsselt übertragen.

cirosec GmbH

Die cirosec GmbH ist ein spezialisierter Anbieter von Beratung, Dienstleistung und Lösungen im Bereich der IT-Sicherheit. Das cirosec-Team zeichnet sich dabei durch seine zahlreichen Experten aus, die als Buchautoren, Dozenten oder Referenten internationaler Kongresse bekannt sind und den Kunden individuell mit technischem und strategischem Sachverstand beraten. Darüber hinaus verfügen sie über langjährige Erfahrung in der Konzeption und Integration von Sicherheitsprodukten in komplexen Umgebungen. Neben den klassischen Themen wie Netzwerksicherheit und Intrusion Prevention beschäftigt sich das Unternehmen schwerpunktmäßig mit Themen wie Applikationssicherheit, Wireless Security, Sicherheit sensibler Daten, Incident Handling, IT-Forensik, Informationssicherheits- und Risiko-Management und Verwundbarkeits-Management. Weitere Schwerpunkte der Tätigkeit sind Sicherheitsanalysen, Audits und Penetrationstest von Systemumgebungen und Anwendungen sowie Incident Handling, forensische Analysen und Trainings.