Die Schweizer Sicherheitsfirma Pentagrid hat eine Sicherheitslücke in einem Check-in-Terminal des IBIS-Budget-Hotels in Hamburg aufgedeckt, die es ermöglichte, Tastenschloss-Codes von Hotelzimmern zu erlangen. Diese Entdeckung erfolgte zufällig beim Besuch eines Hackerkongress in Hamburg Ende 2023.
Die Schwachstelle kam am 31. Dezember 2023 auf und Pentagrid versuchte sofort, das Problem mit dem Hotelbetreiber Accor zu kommunizieren. Trotz mehrfacher Versuche und eines koordinierten Offenlegungsprozesses dauerte es bis zum 26. Januar 2024, bis Accor das Problem anerkannte und Maßnahmen zur Behebung ergriff.
Die Lücke bestand darin, dass bei der Eingabe einer nicht standardgemäßen Buchungs-ID am Terminal, die Zimmernummern und Tastenschloss-Codes anderer Gäste angezeigt wurden. Diese Informationen könnten von Dieben genutzt werden, um Zugang zu den Zimmern und den darin befindlichen Wertsachen zu erhalten.
Im CVSS (Common Vulnerability Scoring System) wurde der Score 5.3 (Mittel) vergeben. Der CVSS Code CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N ist wie folgt zu interpretieren:
- AV:P (Attack Vector: Physical): Der Angriffsvektor ist physisch, was bedeutet, dass ein Angreifer physischen Zugang zum betroffenen System benötigt, um die Schwachstelle auszunutzen.
- AC:L (Attack Complexity: Low): Die Angriffskomplexität ist niedrig, was bedeutet, dass spezielle Bedingungen oder Vorbereitungen, die der Angreifer überwinden muss, um die Schwachstelle auszunutzen, minimal oder nicht vorhanden sind.
- PR:N (Privileges Required: None): Es sind keine speziellen Berechtigungen erforderlich, um die Schwachstelle auszunutzen. Jeder, der physischen Zugang hat, könnte dies potenziell tun.
- UI:N (User Interaction: None): Die Schwachstelle kann ohne jegliche Interaktion mit einem Benutzer ausgenutzt werden.
- S:C (Scope: Changed): Die Auswirkung der Schwachstelle erstreckt sich über die ursprüngliche Sicherheitsgrenze hinaus, die das betroffene Komponente schützen soll.
- C:H (Confidentiality: High): Die Vertraulichkeit ist hoch betroffen, was bedeutet, dass die Schwachstelle den unautorisierten Zugriff auf Daten ermöglichen kann, die als vertraulich gelten.
- I:N (Integrity: None): Die Integrität ist nicht betroffen, was bedeutet, dass die Schwachstelle nicht die Genauigkeit oder Vollständigkeit der Daten beeinträchtigt.
- A:N (Availability: None): Die Verfügbarkeit ist nicht betroffen, was bedeutet, dass die Schwachstelle nicht dazu führt, dass Ressourcen unzugänglich werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: