Die Offenlegung erfolgte am Montag über eine Pflichtmitteilung an die US-Börsenaufsicht SEC. Darin schildert RCI Hospitality Holdings, dass die Tochtergesellschaft RCI Internet Services am 23. März eine IDOR-Schwachstelle auf einem IIS-Webserver feststellte. Die später abgeschlossene Untersuchung datiert den Beginn des Vorfalls auf den 19. März.

Nach Darstellung des Unternehmens betraf der unbefugte Zugriff die Daten „zahlreicher" unabhängiger Vertragspartner. Konkret nennt RCI Namen, Geburtsdaten, Kontaktinformationen, Sozialversicherungsnummern (SSN) und Führerscheinnummern. „Nach Kenntnis des Unternehmens hat der unbefugte Akteur die Daten nicht öffentlich verbreitet", teilte RCI der SEC mit. „Es wurde weder auf Kundendaten noch auf Finanzsysteme zugegriffen."

RCI Hospitality zählt zu den größten Betreibern von Nachtclubs für Erwachsene in den USA und verfügt über Dutzende Standorte. Zum Portfolio gehören Marken wie Rick’s und Tootsie’s sowie Sportsbars und Tanzclubs. Wie viele Personen tatsächlich betroffen sind, geht aus der Mitteilung nicht hervor.

IDOR-Schwachstellen erlauben einem Angreifer den Zugriff auf Daten allein dadurch, dass er einen Wert in einem Weblink oder einer Anfrage verändert. Sie entstehen, wenn eine Website einen Bezeichner – etwa eine Kontonummer oder einen Dateinamen – zum Abruf eines Datensatzes nutzt, dabei aber nicht prüft, ob der Anfragende die nötigen Berechtigungen besitzt. Ein bei „account=101" angemeldeter Nutzer könnte die URL beispielsweise auf „account=102" ändern und so an fremde private Informationen gelangen.

Bislang hat sich keine bekannte Cybercrime-Gruppe zu dem Vorfall bekannt. RCI sprach von „unbefugtem Zugriff", wobei laut SecurityWeek eine geringe Möglichkeit besteht, dass der Vorfall mit Aktivitäten von Sicherheitsforschern zusammenhängt. IDOR-Schwachstellen wurden zwar wiederholt von böswilligen Akteuren ausgenutzt, um an Daten zu gelangen; zugleich gab es einzelne Fälle, in denen Organisationen einen über IDOR ermöglichten Zugriff durch Sicherheitsforscher als „unbefugten Zugriff" einstuften – meist dann, wenn die Meldung der Schwachstelle umstritten war oder schlecht gehandhabt wurde.

SecurityWeek hat das Unternehmen um eine Stellungnahme gebeten und will den Artikel bei einer Antwort aktualisieren.