Chaos Computer Club deckt Datenleck bei Numa auf
IT-Sicherheitsexperte Matthias Marx vom Chaos Computer Club hat beim weitgehend digitalisierten Apartmentanbieter Numa gravierende Sicherheitslücken entdeckt. Persönliche Daten von rund 500.000 Gästen waren einsehbar. Numa reagierte schnell und schloss das Leck, wie die Zeit berichtete.
iStock/NicoElNino
Numa hat auf den Sicherheitsvorfall schnell reagiert
Anzeige
KLVHS Petersberg: Energieeffizienz in der Praxis
Mit better.energy startete die KLVHS Petersberg ihre smarte Wärmewende, ohne Komfortverlust für mehr Energieeffizienz. Stellvertretender Direktor Sascha Rotschiller berichtet, wie die Kombination aus intelligenter Software und passender Hardware den Unterschied machte. Erfahrungsbericht lesen
Der IT-Sicherheitsberater Matthias Marx und Sprecher des Chaos Computer Clubs (CCC) stieß bei einem Aufenthalt in einem Berliner Numa-Haus auf schwerwiegende Schwachstellen. Der Zugang erfolgt bei Numa ausschließlich digital. Die Gäste müssen sich per Ausweisupload verifizieren. An diesem Punkt wurde Marx misstrauisch. Seit Januar 2025 ist es für deutsche Staatsbürger nicht mehr verpflichtend, in Hotels Ausweisdaten vorzulegen. Marx, hat sogar an der gesetzlichen Neuregelung mitgewirkt.
Offenlegung sensibler Daten
Der Eintritt in das Apartment-Hotels ohne Ausweisupload war nicht möglich und "aus technischen Gründen" scheiterte überdies die Stornierung der Buchung. Mit einem simplen Trick überwand Marx den Ausweisupload und sah sich nach dem Aufenthalt den Link zu seiner PDF-Rechnung genauer an. Mit einem noch simpleren Trick konnte Marx auf Rechnungen anderer Gäste zugreifen. Potenziell hatte der Experte Zugriff auf Name, Adresse, Buchungsdetails, Ausweisnummer und Kontaktdaten von rund 500.000 Gästen schreibt die Zeit.
Numa reagiert schnell und kooperativ
Marx meldete die Lücke an das Unternehmen und die Datenschutzbehörde. Numa schloss das Datenleck umgehend. Unternehmenssprecher Joachim Guentert erklärte, man habe die Log-Dateien gründlich ausgewertet und könne "weitestgehend ausschließen", dass Dritte die Lücke missbräuchlich genutzt haben. Der CCC weist darauf hin, wie wichtig es sei, unnötige Datenerhebungen von vornherein zu vermeiden. Trotz des Vorfalls hält Numa an der bisherigen Praxis fest. Der CCC kritisiert das.