Bei der Hotelkette Numa, die ohne Rezeption ausschließlich mit digitalem Self-Check-In arbeitet, war es monatelang möglich, im Online-Buchungssystem auf über 500.000 Rechnungen samt Ausweisdaten von Gästen zuzugreifen. Ein Mitglied des Chaos-Computer-Club (CCC) – Deutschlands und Europas größte Vereinigung von Hackern, Sicherheitsexperten und Datenschützern – stieß zufällig auf die Schwachstelle, als es nach dem automatisierten Check-In per E-Mail einen Rechnungslink erhielt und den Parameter „invoiceID“ manuell veränderte.
Nach Recherchen des CCC waren die Rechnungsnummern lückenlos und fortlaufend vergeben. Durch einfaches Erhöhen oder Verringern der ID ließ sich auf alle Rechnungen zwischen 100000001 und 100545503 zugreifen. Diese Dokumente enthalten Namen, Adressen sowie Angaben zu Aufenthaltsdaten der Hotelgäste. Im Quellcode der Check-In-Seite stieß der CCC zudem auf ein ungeschütztes JSON-Objekt, in dem neben Name, E-Mail-Adresse und Telefonnummer auch hochgeladene Ausweisdaten aufgeführt waren. Somit konnten Angreifer nicht nur Rechnungen herunterladen, sondern mit jeder enthaltenen Buchungsnummer auch auf die zugehörigen Ausweiskopien zugreifen.
Laut IT-Sicherheitsberater und CCC-Sprecher Matthias Marx ist die Erhebung und Speicherung der Ausweisdaten rechtlich nicht gerechtfertigt, denn zumindest für deutsche Staatsbürger ist das Vorlegen von Ausweisdaten in Hotels seit Januar dieses Jahres nicht mehr verpflichtend. Der CCC erneuert daher seine Forderung, die Hotelmeldepflicht für Reisende abzuschaffen – auch für Menschen ohne deutsche Staatsangehörigkeit.
Wie die Zeit berichtete reagierte Numa sofort und schloss das Datenleck schnell, äußerte sich bislang jedoch öffentlich nicht weiter zu diesem Vorfall.