Chaos Computer Club deckt Datenleck bei Numa auf
IT-Sicherheitsexperte Matthias Marx vom Chaos Computer Club hat beim weitgehend digitalisierten Apartmentanbieter Numa gravierende Sicherheitslücken entdeckt. Persönliche Daten von rund 500.000 Gästen waren einsehbar. Numa reagierte schnell und schloss das Leck, wie die Zeit berichtete.
iStock/NicoElNino
Numa hat auf den Sicherheitsvorfall schnell reagiert
Anzeige
Unsere KI, dein Tone of Voice: Chat, E-Mail und Telefon
Mit der Hotel-KI von DialogShift automatisierst du deine Gästekommunikation und sparst Zeit für die wichtigen Dinge: deine Gäste. Eine KI für all deine Kanäle: Chat, Website, Social Media, E-Mail und Telefon. Mehr erfahren
Der IT-Sicherheitsberater Matthias Marx und Sprecher des Chaos Computer Clubs (CCC) stieß bei einem Aufenthalt in einem Berliner Numa-Haus auf schwerwiegende Schwachstellen. Der Zugang erfolgt bei Numa ausschließlich digital. Die Gäste müssen sich per Ausweisupload verifizieren. An diesem Punkt wurde Marx misstrauisch. Seit Januar 2025 ist es für deutsche Staatsbürger nicht mehr verpflichtend, in Hotels Ausweisdaten vorzulegen. Marx, hat sogar an der gesetzlichen Neuregelung mitgewirkt.
Offenlegung sensibler Daten
Der Eintritt in das Apartment-Hotels ohne Ausweisupload war nicht möglich und "aus technischen Gründen" scheiterte überdies die Stornierung der Buchung. Mit einem simplen Trick überwand Marx den Ausweisupload und sah sich nach dem Aufenthalt den Link zu seiner PDF-Rechnung genauer an. Mit einem noch simpleren Trick konnte Marx auf Rechnungen anderer Gäste zugreifen. Potenziell hatte der Experte Zugriff auf Name, Adresse, Buchungsdetails, Ausweisnummer und Kontaktdaten von rund 500.000 Gästen schreibt die Zeit.
Numa reagiert schnell und kooperativ
Marx meldete die Lücke an das Unternehmen und die Datenschutzbehörde. Numa schloss das Datenleck umgehend. Unternehmenssprecher Joachim Guentert erklärte, man habe die Log-Dateien gründlich ausgewertet und könne "weitestgehend ausschließen", dass Dritte die Lücke missbräuchlich genutzt haben. Der CCC weist darauf hin, wie wichtig es sei, unnötige Datenerhebungen von vornherein zu vermeiden. Trotz des Vorfalls hält Numa an der bisherigen Praxis fest. Der CCC kritisiert das.