ドイツ国内の数百万人のホテル宿泊客のデータがネット上で閲覧可能な状態になっていました。原因はホテルソフトウェアのセキュリティ上の脆弱性です。
Tobias Arhelger – shutterstock.com
ITセキュリティ活動家グループ「Zerforschung」は、最近ホテル管理ソフトウェアにおいて、顧客の氏名、住所、身分証明書やクレジットカードの詳細などの機密データが漏洩するセキュリティホールを発見しました。
影響を受けたのは、ホテルチェーンのMotel One、メクレンブルク=フォアポンメルン州、ラインラント=プファルツ州、ザールラント州のDJHユースホステル、労働者福祉協会の子会社AWO SANO、DeHoGaキャンパス、その他のホテルチェーンなどです。
セキュリティ専門家によると、合計で3,550万件以上の予約と4,850万件以上の宿泊者情報が閲覧可能だったと見られています。「Motel Oneだけでも、推定3,000万件以上の予約と4,000万件以上のゲストプロフィールが取得可能だった可能性があり、その中には著名な政治家も含まれていた」と活動家たちは警告しています。
これまでにデータ悪用の事例は確認されず
ミュンヘンのホテルチェーンMotel Oneは、すでに公式の声明でこの事案を認めました。それによると、脆弱性はGubse AGのホテル予約ソフトウェアに存在していたとのことです。サービス提供会社はすでにこの脆弱性を修正したとしています。
「現時点では、機密性の高い支払い情報が含まれるデータセットは影響を受けていません。データの悪用は確認されておらず、データが外部に流出した事実もありません」と同社は強調しています。
DJHもこの件を過小評価しています。北ドイツ放送局NDRによると、DJHメクレンブルク=フォアポンメルン州支部は、自身の会員がこの脆弱性の影響を受けたことを認めましたが、影響があったのは氏名と住所データのみであり、該当する少数のゲストには速やかに通知したとしています。
また、ソフトウェアサービス提供会社もNDRに対し、不正アクセスや個人データの流出はなかったと強調しています。さらに、ITインフラは事前に外部監査人によって調査されており、セキュリティ上の懸念は指摘されなかったとしています。
ホテル業界でのセキュリティ事故は珍しくない
すでに2023年10月には、ホテルチェーンMotel Oneのデータがダークネット上に出回りました。犯人は当時、企業データ6テラバイト以上を入手したと主張していました。その1か月前には、ホテル大手MGMリゾーツ・インターナショナルがサイバー犯罪者の攻撃を受け、盗まれたデータで脅迫されていました。
翻訳元: https://www.csoonline.com/article/4070283/lucke-in-hotelsoftware-legt-kundendaten-offen.html
