ifun.de — Apple News seit 2001. 39 479 Artikel

6 Terabyte Daten geklaut

Motel One: Übernachtungsdaten der letzten 8 Jahre im Darknet

Artikel auf Mastodon teilen.
111 Kommentare 111

Die Hotelgruppe Motel One ist im vergangenen Monat einem Ransomware-Angriff zum Opfer gefallen. Während sich das offizielle Statement des Unternehmens unspektakulär liest, hier ist nur von 150 Kreditkarten die Rede und es wird betont, dass der Geschäftsbetrieb der Hotelgruppe zu keinem Zeitpunkt gefährdet war, lässt eine Recherche der Süddeutschen Zeitung zu diesem Thema vermuten, dass die Ausmaße der Attacke deutlich größer sind. Die Angreifer haben demnach die bei Motel One erbeutete Daten im Internet veröffentlicht, darunter auch die Übernachtungslisten der Hotels mit mehreren Millionen Gästenamen.

Der Datenbestand ermöglicht nicht nur, Reisen und Übernachtungen von Einzelpersonen bei Motel One über die vergangenen acht Jahre hinweg nachzuvollziehen, sondern spuckt auch Informationen darüber aus, ob man alleine oder in Begleitung übernachtet hat, wie lange man in dem Hotel untergekommen ist und welche Zimmernummer man hatte.

Motel One

Bilder: MotelOne

Rechnungsadressen und interne Berichte

Obendrauf sei bei einem Teil der Gäste auch das Geburtsdatum in den Datensätzen enthalten und es wurde eine vermutlich siebenstellige Zahl von Rechnungsadressen publik. Zudem wurden auch interne Hotelinformationen wie Tages- und Monatsberichte oder Listen mit Geschäftskunden veröffentlicht.

Insgesamt handelt es sich soweit bislang bekannt um einen Satz mit rund 24 Millionen Dateien, die etwa sechs Terabyte Speicherplatz belegen und über die Darknet-Seite der auch als BlackCat bekannten Ransomware-Gruppe ALPHV abrufbar sind. Hintergrund des Datendiebstahls war wohl ein Erpressungsversuch mit Verschlüsselungssoftware, der laut Angaben von Motel One jedoch gescheitert ist.

Motel-One-Gründer sucht die Schuld beim Staat

Aktuell hat es den Anschein, dass die Angreifer einen Computer von Motel One in Ulm als Einfallstor verwendet haben. Sicherheitsexperten kritisieren nach einer ersten Auswertung die teils nur durch miserable Passwörter geschützten Zugänge und auch die Tatsache, dass sechs Terabyte Daten unbemerkt abfließen konnten. Der Motel-One-Gründer zeigt angesichts dieser Vorwürfe nicht den Ansatz von Schuldbewusstsein und macht stattdessen die Politik verantwortlich: Der Staat habe noch keinen Weg gefunden, Bürger und Unternehmen vor digitalen Angriffen zu schützen.

07. Okt 2023 um 18:50 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    111 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Richtig wäre „KEIN Staat hat einen Weg gefunden.“
    Und noch richtiger: niemand.

  • Scheidungsanwälten gefällt das :-)

    Und jetzt im Ernst: Die Reaktion des Chefs wird mich vermutlich dazu bringen, kein Motel One mehr zu besuchen. Die eigene IT vernachlässigen und anderen die Schuld geben. Extrem Unsympathisch und unprofessionell.

  • Darf ein Hotelbetreiber 8 Jahre lang die Daten seiner Besucher speichern???

  • Datensparsamkeit war wohl keine Priorität. Laut »SZ« enthält der Satz neben den annähernd vollständigen Übernachtungslisten seit dem Jahr 2016 private Rechnungsadressen, Geburtsdaten von Kunden sowie interne Geschäftszahlen und Handynummern von Motel-One-Mitarbeitern.

  • System funktioniert.
    Bürger müssen sich dort registrieren.
    Wenn diese Daten geklaut werden geben sich die großen gegenseitig die Schuld und der Bürger hat die A Karte

  • Zitat: „Der Staat habe noch keinen Weg gefunden, Bürger und Unternehmen vor digitalen Angriffen zu schützen.“
    Damit hat er nicht ganz unrecht. Wenn man sieht, im realen Leben gibt es überall Polizei, Zoll und „private“ Verkehrsüberwachung. Und im Internet überhaupt nix.

    Allerdings sollten Paßwörter gewisse Mindestanforderungen erfüllen.

    • Der wahre Klaus

      Das ist doch nur eine „Nebelkerze“. Der will seinen Arsch retten, denn Angriff ist die beste Verteidigung.

    • Na ja. Wenn du deine Haustür nur unzureichend sicherst, bist alleine du schuld, wenn dann eingebrochen wird. Und nicht der „Staat“, der nicht alle Einbrecher geschnappt hat.

      • Puh, wenn man die Haustüre nach dem „Stand der Technik“ sichert und trotzdem eingebrochen wird? Und was ist Stand der Technik? Ein Sicherheitsschloß? Ne Alarmanlage? Videoüberwachung?
        Wann ist ein Paßwort unzureichend?

      • Deshalb vertraut man da der Fachperson, dass diese dir den richtigen Schutz einbauen. Bei der Türe, so wie bei der IT.
        KMUs sollten sehr früh ihre IT an Experten outsourcen. Das ist meist günstiger als selber immer alles aktuell zu halten. Und man hat oft ein 24/7 emergency team verfügbar. Stell dir vor wie teuer so ein team für ein KMU allein ist.

    • Wollen wir das? Ich dachte wir wollen ein freies Internet,… jetzt will man doch noch eine totale Überwachung. Bitte bitte nicht. IT-Sicherheit ist deine Aufgabe, nicht vom Staat. Die Polizei überwacht ja auch nicht mein Haus.

    • Das ist doch wohl nicht dein Ernst, oder? Wie soll der Staat davor schützen? Das ginge doch nur, wenn er immer und überall Vollzugriff auf deine internetfähigen Geräte hätte. Willst Du das? Und soll die Polizei auch täglich bei Dir vorbeischauen und kontrollieren, ob Du auch die Haustür und die Fenster richtig verschlossen, oder schaffst Du das noch alleine?

    • Genau, und deswegen passieren auch keine Diebstähle, weil die Polizei alles überwacht.
      Das wäre so als wenn man sein Auto mit offener Tür und gestecktem Schlüssel irgendwo parkt, und sich dann beschwert, das die Polizei noch keinen Weg gefunden den hat, solche Diebstähle zu verhindern.

    • Und im Internet überhaupt nix.“

      Das glaubst aber auch nur Du.

      Was glaubst Du denn, wie die Kinderschänder, Drogenhändler, Uploader, oder auch Erpresser gefasst worden sind?

      Wir haben mit dem BSI sogar ein Bundesamt das sich nur damit beschäftigt. Aber auch wenn Du 1Mio Polizisten einstellst, wird es trotzdem noch Kriminelle geben. Bei Internetkriminalität kommt erschwerend hinzu, dass die Täter oft in Russland, China oder Nordkorea sitzen.

      Google doch einfach mal „Operation Dawnbreaker“ oder „Quakbot“, da siehst Du beachtliche Erfolge, aber alle wirst Du niemals fassen, erst Recht nicht die im Ausland.

      Die eigentliche Frage ist doch, wie die Täter an die Daten gelangt sind. Und in den meisten Fällen hat jemand einen schweren Fehler begangen, entweder ein Admin, oder die Geschäftsleitung, oder ein Mitarbeiter.

  • Der Hotelchef will natürlich einen Schuldigen präsentieren und vom eigenen Versagen ablenken
    Nicht ganz unrecht hat er jedoch damit, dass der Staat tatsächlich zu wenig tut, eine hilfreiche staatliche Sicherheitsarchitektur zu entwickeln, die als Baukastensystem Angebote für Unternehmen anbietet.
    Stattdessen plädieren namhafte Vertreter:innen in der Politik in der EU und in Deutschland für eine Schwächung von Sicherheit, siehe hierzu Chatkontrolle
    Mehr zu diesem Thema bei Logbuch Netzpolitik und Lage der Nation

    • Das stimmt so nicht, es gibt die NIS und bald auch NIS2 Vorgaben, die Firmen zu genau solchen Schutzmaßnahmen fast schon zwingt. Kannst dich gerne mal dazu einlesen ;)

    • Ich denke auch, nicht nur ein Betreiber von IT ist hier allein Schuld (wobei Schuld nicht ganz das richtige Wort ist und der Staat erst an anderer Stelle zum Einsatz kommt wenn der Rechtsverstoss passiert) – wie beim eigenen Haus baut man halt Zäune, Türen und Schlösser ein (Selbstschutz im Rahmen der eigenen Möglichkeiten, des technisch machbaren und der Verhältnismässigkeit – ich meine: sind mehrfach gepanzerte Türen für ein Eigenheim wirklich nötig) – so baut man Firewalls (waren die Daten wirklich so schlecht geschützt) etc. Lässt einer das Fenster angetippt (Menschen sind nicht unfehlbar) ist es dem Verbrecher halt einfacher – ein falscher unbedachter Mausklick mmmhhh am Counter von einer Aushilfe nach einer 12 Stundenschicht mmmhhh. Der Staat hat danach versagt als es um Ermittlung und Wiederbeschaffung von Diebesgut ging – stattdessen wurde durch mangelnde (am wollen lags bestimmt weniger) Möglichkeiten nicht mal die Hehlerei oder Veröffentlichung verhindert, man kann also feststellen, am Ausgang der Sache ist dann wohl sogar nur der Staat schuld (gewollt oder bewusst ist dabei relativ).

  • Ich hoffe so sehr, dass Motel One unter dieser miserablen Geschäftsführung und dem unterirdischen Krisenmanagement die Konsequenzen zu spüren bekommen wird.

    IT-Sicherheit vernachlässigen und den Staat dafür verantwortlich zu machen?

    Sechs, setzen!

  • DSGVo hat uns doch gerettet, der Staat hat doch alles dafür getan um uns zu schützen. Zettel mit Datenschutzverordnung unterschrieben und schon ist alles sicher …

    • Du weißt. Ich was sonst noch gespeichert wäre, wenn es die DSGO nicht gäbe. Außerdem gibt es u.U. eine nicht unerhebliche Strafe.

      • DSGVo ist völlig egal. Du unterschreibst „ja zu allem“ und fertig is der Kittel. Sicherer ist damit garnichts. Ebenso wenig werden weniger Daten erhoben. Du unterzeichnest nur jetzt konkreter für alles mögliche.

  • Aha, was genau hat jetzt der Staat damit zutun, wenn die zu blöd sind ihre Daten zu schützen ? Komische Erklärung, die der da abgibt.

  • Die Youtubeanwälte von WBS-legal programmieren wahrscheinlich schon ein Tool und freuen sich auf die Einnahmen.

  • Die betroffen Anwalt neben und auf Schadenersatz verklagen. Anders lernen es derartige Chefs nicht.

  • Tja sonistbdas wenn Dilettanten den Chef geben. Ich werde jetzt mal slmregelmäßiger ehemaliger Gast erstmal ne Auskunft anfordern. Das sollten alle tun, die sich dort aufgehalten haben. Danke übrigens an den Chef von Motel one. So präsentiert man sich als völlig unqualifizierter Boss eines Unternhmens

  • Bitte es kann jeder Betroffene die Firma auf Schadenersatz verklagen, da die DGSVO nicht eingehalten wurde.

  • Und jetzt stelle man sich vor, das ganze passiert mit Eurer elektronischen Gesundheitsakte! Alles zentral gespeichert!
    Ist das nicht toll!
    Will man das?
    Ich nicht!

    • Käpt'n Blaschke

      Nein das will man nicht. Aber Datenschutz immer als Verhinderungsgrund für ausbleibende Innovationen zu betrachten ist auch nicht richtig. Datenschutz ist eine Rahmenbedingung. Man kann Daten auch sicher schützen. Ist aber für eine Billigklitsche wie Motel One zu teuer. Professionelle Unternehmen können das. Ist teuer und aufwändig aber möglich.

  • Dann verlangt fast jedes Hotel den Perso, scannt den ein, und klatscht denn auf deine Buchung. Somit sind im Zweifel selbst diese Daten weg.

  • Wer betroffen ist, sollte Schadenansprüche gegenüber das Hotel geltend machen.
    1. kann sich das echt finanziell lohnen
    2. ist das Hotel und nicht der Staat für seine Datensicherheit verantwortlich
    Seine Pflicht ist es, die Daten so abzusichern, sodass sowas nicht passieren kann. Diese Pflicht wurde verletzt. Da bringt auch nichts den Finger auf andere zu zeigen…

  • Geschäftsbetrieb nicht gefährdet. !!!!
    Super!!!
    Kundendaten scheinen ja nicht wichtig zu sein. Gehts noch…. hoffentlich werden die Betreiber….

  • Na toll… Nach dem Deezer Datenleck, werden wir jetzt sicher jahrelang mit Werbemüll zum Motel One Datenleck zugespamt

  • Ich verstehe das Argument des Hotelbesitzers nicht ganz. Wenn es seine Infrastruktur ist, ist er also für den Diebstahl nicht verantwortlich, nur weil es anscheinend keine ausreichende Regelung durch den Staat gibt?

  • Na so unrecht hat der Chef nicht, jedes Hotel muss die Daten der Gäste an das Statistische Zentralamt melden, vielleicht ist da was schief gelaufen.
    Kann ja vielleicht nützlich sein, wenn man zB einen Terroristen sucht, aber die werden sich kaum mit dem richtigen Namen eintragen, über bleibt wie immer der unbescholtene Bürger und da ist sehr wohl der Staat mit seinen Kontrollwahn schuld, zumindest Mitschuld.

  • Ich finde es ziemlich interessant. Wenn sich der Staat irgendwo in die Rechte und Pflichten einmischt, dann schreien alle. Wenn der Schaden da ist, dann soll der Staat Schuld sein bzw. helfen.
    Für mich ganz klar: der Betreiber des Zugangs und des Netzwerks ist für die Daten verantwortlich sein. Im Fall der Fälle muss er zumindest darlegen, dass er alles getan und in die Infrastruktur investiert hat um die Gefahr minimal zu halten.

  • Jeder lefty so: Ist mir doch egal was die für Daten über mich speichern. Ich habe nichts zu verbergen, gern mehr Überwachung, neue Spy Software, mehr Vorratsdatenspeicherung :)

  • Der Ruf nach dem Staat zum Schutz ihrer Bürger ist einfach nur verstörend. jedes Unternehmen ist für seine Security und Datenschutz selbst verantwortlich und diejenigen die das nicht ernst nehmen müssen mit voller Härte zur Rechenschaft gezogen werden.

  • Der Ruf nach dem Staat zum Schutz ist sehr verstörend. Jedes Unternehmen welches Security und Schutz von personenbezognenen Daten nicht ernst nimmt sollte mit voller härte zur Rechenschaft gezogen werden. Es gibt niemand anders der verantwortlich ist als das betroffene Unternehmen.

  • So lange man als Unternehmer mit nem leichten Schlag auf die Hand wegkommt und nicht so viel Strafe zahlen muss, dass man seine 10 Sportwagen verkaufen muss, wird es immer so weiter gehen. Man darf nicht vergessen, die wenigsten Leaks sind öffentlich.

    Wieder mal ein Beispiel wie man von Medien manipuliert wurde. „Datenschutzland Deutschland“, da kann man nur lachen. Am besten um alle deutschen Firmen einen großen Bogen machen.

  • Manchmal gehen die News rund um Mac und i… ziemlich weit über den Tellerrand :D

  • das ist der Zeitgeist, Abwehr statt Demut. Der rotblonde Ami machts vor.

  • Der Staat ist Schuld, daß nenne ich mal deutsche Vollkasko-Mentalität.

  • Ernsthaft? Aufgabe des Staates? Geld kassieren ist super aber Haftung bitte nicht? Was für ein Saftladen, ich buche da dann besser nicht mehr.

  • Unverschlüsselte Datenberge kann man Marketing mässig viel besser filtern, Sicherheitsaspekte sind nur hinderlich.
    Was für ein dämlicher Haufen.
    Die Geldstrafe wird üppig ausfallen.

  • Unabhängig dass ich von diesen Teil noch nie gehört habe (gut liegt vermutlich daran dass ich in keine Motels gehe, sondern in Hotels), so ist die Art des Gründers mal echt Unterirdisch, er gibt kein Geld für die IT Sicherheit aus und schieb die Schuld dann auf andere…

    Mich persönlich macht aber auch die 6TB irgendwie Stützig, dass können doch nicht nur Simple Daten der Gäste sein, auch wenn 8 Jahre eine lange Zeit sind. So sind es doch nur Daten wie Name, Adresse und Übernachtungslänge der Gäste sowie die Kreditkarten Nummern.

    2KB sind so ca. 1 maschinengeschrieben Seite.
    1GB sind ein Kleinlaster voll Bücher
    10TB sind der gesamte Buchbestand der US-amerikanischen Kongressbibliothek

  • Als Quelle für das offizielle Statement des Unternehmens einfach nur dessen Pressemitteilung-Unterseite zu verlinken, wo das Statement gar nicht zu finden ist, das ist echt nicht cool. Wie wäre es mit einer ordentlichen Quellenangabe?

    • Das hier steht hinter den Link:

      Die Motel One Gruppe ist Ziel eines Hackerangriffs geworden. Dabei drangen die bisher unbekannten Täter in die internen Systeme des Hotelbetreibers ein und versuchten vermutlich eine sogenannte Ransomware-Attacke durchzuführen. Dank umfangreicher Maßnahmen konnten die Auswirkungen relativ geringgehalten werden. Der Geschäftsbetrieb einer der größten Hotelgruppen Europas war zu keinem Zeitpunkt gefährdet. Die schnellen Sofortmaßnahmen umfassten die Beauftragung eines zertifizierten IT-Sicherheitsdienstleisters sowie die Zusammenarbeit mit Ermittlungs- und Datenschutzbehörden.
      Ersten Analysen zufolge wurden Adressdaten von Kunden abgegriffen – darunter 150 Kreditkartendaten. Die betroffenen Halter der Karten wurden bereits persönlich informiert.

      Weiß also nicht wo du kein Statement dazu findest.

    Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39479 Artikel in den vergangenen 8461 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven