FastBooking, ein Hersteller von Booking-Software für Hotelketten weltweit, ist Opfer eines Hackerangriffs geworden. Das geht aus zwei Dokumenten sowie aus E-Mails hervor, die das Unternehmen laut Bleeping Computer am gestrigen Dienstag an die betroffenen Hotels verschickte. Offenbar gelang es Angreifern, eine Schwachstelle in einer auf dem Server gehosteten Anwendung zum Einschleusen eines Remote-Access-Trojaners (RAT) zu missbrauchen, um anschließend Daten zu exportieren.

Den Dokumenten ist zu entnehmen, dass es sich wohl um zwei separate Daten-Exports handelte, die zwischen dem 14. und 19. beziehungsweise dem 16. und 20. Juni vorgenommen wurden. Im ersten Durchgang erbeuteten die Kriminellen vollständige Namen von Hotelgästen, ihre E-Mail-Adressen und Angaben zur Nationalität sowie möglicherweise auch die Postanschrift. Hinzu kamen das Ankunfts- und Abreisedatum und der für den Aufenthalt fällige Betrag nebst Reservierungsnummer. Der zweite Beutezug zielte dann auf Kombinationen aus Namen und Kreditkartendaten ab.

Alles unter Kontrolle (?)

In seinen Social-Media-Kanälen hat das französische Unternehmen bislang kein Wort zu den Vorfällen verloren. Auch auf der offiziellen Internetpräsenz gibt es keinerlei Hinweise auf den Datenklau, geschweige denn einen Link zu den nur via Suchmaschine auffindbaren Dokumenten.

Auf eine Anfrage von heise Security reagierte FastBooking zunächst mit der Gegenfrage, welche Informationen uns denn vorlägen. Später beteuerte eine Sprecherin, dass die Server-Schwachstellen beseitigt worden seien; FastBooking habe zudem eine Beschwerde bei der French Information Technology Fraud Investigation Brigade (BEFTI) eingereicht. Man arbeite bei der Untersuchung der Vorfälle mit externen IT-Forensikern zusammen, habe sämtliche betroffenen Hotels informiert und unterstütze diese im Umgang mit der Situation.

Mehr als 124.000 Betroffene weltweit

Zur Gesamtzahl der Betroffenen weltweit sagte FastBooking, dessen Buchungsservices laut Firmenprofil von 4000 Hotels in 100 Ländern genutzt wird, nichts. Eine Vorstellung vom möglichen Ausmaß vermittelt aber ein offizielles Statement der japanischen Hotelkette Prince: Offenbar wurden Daten von fast 125.000 Gästen gestohlen, die in mehr als 80 verschiedenen Prince-Hotels nächtigten. Auch das 43-stöckige, mehr als 1000 Zimmer umfassende Tokyo Dome Hotel veröffentlichte eine Warnung.

Eine Google-Suche nach "fastbooking data breach filetype:pdf" liefert neben den Angriffsdokumentationen auch ein (von FastBooking am 19. Juni hochgeladenes) E-Mail-Template zurück, das offenbar für die Kommunikation betroffener Hotelinhaber mit ihren Besuchern gedacht ist. Unter anderem enthält es die Aufforderung an die Hotelbesucher, besonders wachsam in Bezug auf potenzielle Phishing-Mails zu sein: Die Hacker könnten die gestohlenen Daten verwenden, um im Namen des jeweiligen Hotels weitere vertrauliche Informationen abzufragen. (ovw)