SchwachstellenDatenschutzHackerangriffe

Datenpanne bei RCI Hospitality: IDOR-Lücke legte Kontraktordaten offen

Datenpanne bei RCI Hospitality: IDOR-Lücke legte Kontraktordaten offen
Zusammenfassung

Der amerikanische Nachtclub-Betreiber RCI Hospitality Holdings hat einen Datenschutzvorfall offengelegt, bei dem eine Sicherheitslücke in seinem Web-Server zu einem Datenleck führte. Das Unternehmen, das mit Marken wie Rick's und Tootsie's eine der größten Nachtclub-Ketten in den USA betreibt, entdeckte am 23. März eine sogenannte IDOR-Anfälligkeit (Insecure Direct Object Reference) auf einem IIS-Webserver. Diese Schwachstelle ermöglichte Unbekannten vom 19. bis 23. März den Zugriff auf persönliche Daten zahlreicher unabhängiger Vertragspartner, einschließlich Namen, Geburtsdaten, Kontaktinformationen, Sozialversicherungsnummern und Führerscheindaten. Das Unternehmen gab gegenüber der SEC an, dass Kundendaten und Finanzsysteme nicht betroffen sind und der Vorfall keine wesentlichen Auswirkungen auf den Geschäftsbetrieb habe. Für deutsche Nutzer und Unternehmen ist dieser Fall ein weiteres Beispiel dafür, wie verbreitete Web-Sicherheitslücken zu großflächigen Datenlecks führen können. Die Vorgehensweise des Unternehmens und die Frage, ob möglicherweise auch datenschutzrechtliche Konsequenzen drohen, zeigen die Relevanz grundlegender Sicherheitsmaßnahmen auf – ein Thema, das auch deutsche Hospitality- und Ticketing-Unternehmen unmittelbar betrifft.

Die Datenpanne bei RCI Hospitality wirft ein Licht auf eine Schwachstellenklasse, die Sicherheitsexperten seit Jahren kennen und fürchten: Insecure Direct Object References. Dabei handelt es sich um Sicherheitslücken, die es Angreifern ermöglichen, durch die Manipulation von Parametern in Weblinks oder Anfragen auf fremde Daten zuzugreifen. Ein Nutzer mit Zugriff auf “account=101” könnte die URL einfach zu “account=102” ändern und erhielte damit Zugang zu fremden Informationen – vorausgesetzt, der Server führt keine Berechtigungsprüfung durch.

Beim Fall RCI Hospitality war die Schwachstelle in einem IIS-Webserver von RCI Internet Services vorhanden. Das Unternehmen, das Dutzende Locations in den USA betreibt, bemerkte die unbefugte Zugriffsmöglichkeit erst nach vier Tagen – am 23. März. Eine interne Untersuchung zeigte, dass der Angriff bereits am 19. März begann. Betroffen waren Daten von “zahlreichen” unabhängigen Auftragnehmern, darunter sensible Informationen wie Sozialversicherungsnummern und Führerscheindaten.

Beruhigend ist laut RCI, dass das Unternehmen nach eigenem Kenntnisstand keine Hinweise darauf hat, dass die Daten öffentlich verbreitet wurden. Auch die Kundensysteme blieben verschont. Dennoch offenbart dieser Incident ein grundlegendes Problem: Viele Organisationen implementieren keine ausreichenden Zugriffskontrollmechanismen bei ihren Web-APIs und Webservern.

Bemerkenswert ist, dass unklar bleibt, wer hinter der Schwachstellenausnutzung steckt. RCI spricht von “unbefugtem Zugriff”, ohne eine bekannte Hacker-Gruppe zu nennen. Sicherheitsexperten weisen darauf hin, dass es auch sein könnte, dass Sicherheitsforscher die Lücke entdeckten und exploitierten – was in einzelnen Fällen von Unternehmen als “unbefugte” Zugriffe deklariert wurde, insbesondere wenn Schwachstellendisklosures strittig waren.

Für deutsche Unternehmen ist dieser Fall ein wichtiger Weckruf. IDOR-Lücken lassen sich durch ordentliche Sicherheitsmaßnahmen verhindern: Implementierung von Authentifizierung, korrekte Berechtigungsprüfung vor dem Datenzugriff und regelmäßige Sicherheitstests gehören zum Standard. Gerade in der Hospitality-Branche, die oft mit Legacy-Systemen arbeitet, sollten solche Basis-Sicherheitsmaßnahmen nicht vernachlässigt werden.

Ähnliche Artikel