In seiner Kapazität als Reisebürger wurde ein Mitglied des Chaos Computer Clubs (CCC) als Gast der Hotelkette Numa unlängst zu einem digitalen Check-In gezwungen. Anfängerfehler. Eigentlich ist nun schon klar, wie die Geschichte endet, aber aus Gründen der Dokumentation wollen wir sie noch kurz zuende erzählen: Nach Übermittlung der Buchungsnummer verlangte das Check-In-System den Upload von Bildern eines amtlichen Identitätsnachweises. Weil das Zimmer schon bezahlt und ein Check-In nicht anders möglich war, fügte sich der Chaot zähneknirschend diesem Zwang.

IDOR like it's 1999

Nach dem Auschecken und einem kurzen Blick auf den per E-Mail übersandten Link zu seiner Rechnung kam dem Gast dann die verrückte Idee, den Parameter invoiceID in besagtem URL zu ändern. Prompt stieß er auf eine Schwachstelle, die es in diesem Jahrtausend einfach nicht mehr geben darf: Durch einfaches Hoch- und Runterzählen der Rechnungsnummern konnte direkt auf Rechnungen anderer Gäste zugegriffen werden. Die invoiceIDs waren nach guter buchalterischer Manier fortlaufend vergeben – und das auch lückenlos: In einer Stichprobe zwischen 100000001 und 100545503 waren alle IDs vergeben. Die Rechnungen enthalten Namen, Adressen, Aufenthaltsorte und -zeiten der Numa-Gäste.

Es kommt noch schlimmer

Die Rechnungen enthalten außerdem die jeweilige Buchungsnummer, die zum digitalen Check-in benötigt wird. Nach dem Check-In findet sich im Quellcode der Webseite ein JSON-Objekt mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte. Wir nahmen das Geschenk jedoch freudig an, denn jedenfalls ermöglicht es auch noch den ungeschützten Zugriff auf die Ausweisdaten der Gäste.

Ein qualifizierter Datenhamster kann durch Hoch- und Runterzählen alle Rechnungen herunterladen und erhält mit der darin enthaltenen Buchungsnummer praktischerweise auch Zugriff auf die Ausweisdaten der Gäste.

Die Ausweisdaten hätten nie verarbeitet werden dürfen

Wer ein Zimmer gebucht, bezahlt, und seinen Check-In-Link erhalten hat, hat seine Identität ausreichend bestätigt. Eine zusätzliche Ausweiskontrolle samt dauerhafter Speicherung ist weder notwendig noch rechtlich haltbar. Dazu kommentiert Matthias Marx, Reisender und Sprecher des CCC: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen.“

Der CCC fordert eine Abschaffung der Hotelmeldepflicht, auch für Personen ohne deutsche Staatsangehörigkeit.

Links:

• OWASP IDOR Cheat Sheet
• Stellungnahme des CCC an das BMJ zur Abschaffung der Hotelmeldepflicht für Deutsche