Willkommen |
|
myGully |
|
Links |
|
Forum |
|
|
|
|
04.04.24, 10:29
|
#1
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Oimjakon
Beiträge: 2.639
Bedankt: 2.774
|
Per Check-in-Terminal: Angreifer konnten in fremde Ibis-Hotelzimmer eindringen
Zitat:
Per Check-in-Terminal: Angreifer konnten in fremde Ibis-Hotelzimmer eindringen
Alles, was dafür nötig war, war eine spezielle Eingabe in einem Check-in-Terminal. Dieses gab daraufhin Buchungsdaten fremder Gäste aus, inklusive Zimmernummern und Zugangscodes.
Der Sicherheitsexperte Martin Schobert hat angeblich "versehentlich" ein Sicherheitsproblem in einem Check-in-Terminal eines in Hamburg befindlichen Hotels der Hotelkette Ibis entdeckt. Wie aus einem am Dienstag veröffentlichten Blogbeitrag des IT-Security-Unternehmens Pentagrid hervorgeht, gab das betroffene Terminal nach einer bestimmten Sucheingabe die Zugangscodes für Hotelzimmer anderer Gäste preis.
Die genannten Check-in-Terminals ermöglichen es den Hotelgästen auch dann einzuchecken, wenn die Rezeption nicht besetzt ist. Der Anmeldevorgang erfolgt dabei unter Angabe einer Reservierungsnummer, woraufhin den Gästen eine Zimmernummer und ein sechsstelliger numerischer Code für das zugehörige Tastenschloss angezeigt wird.
Mit Bindestrichen ausgetrickst
Schobert stellte jedoch am 31. Dezember 2023 fest, dass das Check-in-Terminal mit der ID 2711 im Ibis-Budget-Hotel in Hamburg Altona eine Liste von Buchungen anderer Gäste ausgab, wenn bei Abfrage der Reservierungsnummer einfach sechs Bindestriche ("------") eingegeben wurden. Das Terminal listete daraufhin 87 Buchungseinträge auf – inklusive Reservierungsnummern, Zeitstempeln und Preisangaben.
Dem Pentagrid-Bericht zufolge eignet sich für den Angriff auch jede andere Folge von Bindestrichen, sofern diese lang genug ist, um die Schaltfläche "Bestätigen" zu aktivieren. Aufgrund der variablen Länge sei davon auszugehen, dass es sich nicht um einen Mastercode, sondern um einen Fehler oder eine nicht deaktivierte Testfunktion handle, heißt es.
Nach Auswahl einer der aufgelisteten Buchungen wurde Schobert auch die zugehörige Zimmernummer sowie der Tastenschloss-Code angezeigt. Durch diese Informationen sei ein physischer Zugang zu den Hotelzimmern möglich, warnt Pentagrid. Dieser wiederum ermögliche "den Diebstahl von Wertsachen, insbesondere wenn Low-Budget-Hotelzimmer nicht mit einem Zimmersafe ausgestattet sind".
Pentagrid hielt den gesamten Angriff in einem Videoclip fest.
Auch andere Hotels könnten betroffen sein
Die Hotelkette Ibis gehört zum französischen Accor-Konzern und verfügt weltweit über mehr als 2.500 Hotels der Marken Ibis, Ibis Budget und Ibis Styles. Ein Großteil dieser Hotels befindet sich in Europa.
Dem Pentagrid-Bericht zufolge behob Accor das Sicherheitsproblem nach eigenen Angaben am 26. Januar, nachdem das Unternehmen erstmals am 2. Januar per E-Mail über Schoberts Entdeckung informiert wurde.
Pentagrid gibt an, keine Kenntnis über den Hersteller des untersuchten Terminals zu haben. Die Sicherheitsexperten gehen jedoch davon aus, dass auch andere Hotels von dem Problem betroffen sind. Sie verweisen dafür auf eine Google-Bildersuche, laut der diese Art von Check-in-Terminal offenbar bei mehreren Hotels von Ibis Budget zum Einsatz kommt – sowohl in Deutschland als auch in anderen EU-Ländern.
Erst kürzlich hatte eine Gruppe von Sicherheitsforschern die Entdeckung von Schwachstellen verkündet, die es Angreifern ermöglichen, anhand gefälschter RFID-Schlüsselkarten weltweit Millionen von Hoteltüren unrechtmäßig zu öffnen.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:03 Uhr.
().
|