Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verwirrspiel um Hack bei Best Western…

10 Datensätze oder 8 Millionen?

  1. Thema

Neues Thema Ansicht wechseln


  1. 10 Datensätze oder 8 Millionen?

    Autor: Der Kaiser 26.08.08 - 20:41

    Die Wahrheit liegt bestimmt irgendwo in der Mitte. Scherz bei Seite, 10 Datensätze hört sich arg wenig an. Wenn der Cracker die Datensätze mit einem Skript ausgelesen hat waren es bestimmt mehr.

  2. Re: 10 Datensätze oder 8 Millionen?

    Autor: Ford Prefect 26.08.08 - 23:40

    Die Version der Hotelkette ist gar nicht so unplausibel.

    Szenario: Ein Inder schreibt einen Trojaner, der u.a. auf dem Hotelrechner landet. Als er eben jenes mitbekommt, schaut er sich den an. Er findet die Reservierungssoftware und macht Screenshots. Diese zeigen aber tatsächlich nur die "aktuellen" Datensätze (also die z.Z. abgewickelten Übernachtungen).

    Dann verkauft er die Story inklusive seiner Beweismittel an einen Journalisten. Dazu muss er sie natürlich entspr. aufpumpen und behaupten, die gezeigten Screenhots zeigen nur einen willkürlichen Ausschnitt der globalen Datenbank der Hotelkette.



    Ist nur eine Version der Geschichte. Andere Version: Die Hotelkette hat den Hack gar nicht nachvollziehen können. Der gefundene Trojaner dagegen hat damit eigentlich gar nichts zu tun.

  3. Re: 10 Datensätze oder 8 Millionen?

    Autor: Der Prinz 27.08.08 - 03:19

    Ford Prefect schrieb:
    -------------------------------------------------------
    > Die Version der Hotelkette ist gar nicht so
    > unplausibel.
    >
    > Szenario: Ein Inder schreibt einen Trojaner, der
    > u.a. auf dem Hotelrechner landet. Als er eben
    > jenes mitbekommt, schaut er sich den an. Er findet
    > die Reservierungssoftware und macht Screenshots.
    > Diese zeigen aber tatsächlich nur die "aktuellen"
    > Datensätze (also die z.Z. abgewickelten
    > Übernachtungen).
    >
    > Dann verkauft er die Story inklusive seiner
    > Beweismittel an einen Journalisten. Dazu muss er
    > sie natürlich entspr. aufpumpen und behaupten, die
    > gezeigten Screenhots zeigen nur einen
    > willkürlichen Ausschnitt der globalen Datenbank
    > der Hotelkette.
    >
    > Ist nur eine Version der Geschichte. Andere
    > Version: Die Hotelkette hat den Hack gar nicht
    > nachvollziehen können. Der gefundene Trojaner
    > dagegen hat damit eigentlich gar nichts zu tun.

    Zwar ist das Argument mit dem screenshot und dem Aufpumpen nicht schlecht. Allerdings hätte ein Unternehmen wie Best Western sicher
    sofort die Information zur Hand, ob es in der vergangenen Zeit Verbindungen mit ungewöhnlich hohen DLs ( 8 * 10^6 * x Bytes)
    oder zeitlich relevante Verbindungen ( geringe Bandbreite und lange Dauer) zu den entsprechenden Servern gab. Falls nicht, würde ich DAS
    sofort publik machen. Das wäre mal ein echtes Argument.

    Dieses Argument nicht zu nutzen, heiß für mich automatisch, es nicht nutzen zu können....

    Folgerungen kann sich jeder aus den zehn Fingern saugen....

  4. screenshots?!

    Autor: asasas12345 27.08.08 - 07:18

    das soll wohl n witz sein oder sind "trojaner" inzwischen echt so primitiv?

  5. Re: screenshots?!

    Autor: au-backe 27.08.08 - 08:35

    asasas12345 schrieb:
    -------------------------------------------------------
    > das soll wohl n witz sein oder sind "trojaner"
    > inzwischen echt so primitiv?


    nee aber die hacker und die leute die sich an einem wort aufgeilen

  6. Re: 10 Datensätze oder 8 Millionen?

    Autor: byti 27.08.08 - 09:39

    Leider ist es so, das die IT-ler oft mit dem ganzen Zeug hoffnungslos überlastet sind. Im virtelstundentakt neue versionen, Technischer Fortschritt und extrem Komplexe Materie. Da sind solche Lücken an der Tagesordnung. Wenn der Hacker gut war, hat er seine Spuren verwischt. Dann haben die das garnicht gemerkt. Die Menge hätte schon auffallen müssen.. aber wenn aus irgendwelchen optimierungsversuchen heraus die log-files abgeschaltet wurden... :)

  7. Re: 10 Datensätze oder 8 Millionen?

    Autor: Der Kaiser 27.08.08 - 10:43

    Beides klingt für mich gleich plausibel, obwohl ich aber ernsthaft bezweifel das es sowas wie stümperhafte Hacker gibt (die schlechten Hacker sind leicht zu fassen!).

  8. Re: 10 Datensätze oder 8 Millionen?

    Autor: CEO Best Western Central Europe 27.08.08 - 18:03

    Der Hacker hat sich nicht Zugang zur zentralen Datenbank sondern zu der Applikation eines einzelnen Hotels verschafft,mit der jedes Best Western Hotel nur seine eigenen Preise, Verfügbarkeiten und Reservierungen, die über die Best Western Distributionskanäle gemacht werden, bearbeitet. Deshalb waren nur 10 aktuelle, d.h. zu diesem Zeitpunkt vom Hotel noch nicht abgearbeitete Datensätze zu sehen. Es sollte plausibel sein, dass Best Western mit 4200 Hotels auf der ganzen Welt den zigtausenden Mitarbeitern nicht Zugang zu den Daten aller anderen Hotels gewährt. Abgesehen von Privacy Policies und Security würde auch kein Hotelier akzeptieren, dass jeder Kollege seine Daten einsehen kann - dazu gibt es auch überhaupt keinen Grund. Natürlich hat Best Western sofort die Logs dieser Applikation überprüft und keinerlei Hinweise auf irgendeine außergewöhnliche Aktivität (die das Abgreifen von 8 Millionen Datensätzen ja wohl verursachen müsste)gefunden.
    Der Kaiser schrieb:
    -------------------------------------------------------
    > Die Wahrheit liegt bestimmt irgendwo in der Mitte.
    > Scherz bei Seite, 10 Datensätze hört sich arg
    > wenig an. Wenn der Cracker die Datensätze mit
    > einem Skript ausgelesen hat waren es bestimmt
    > mehr.
    >


  9. Re: 10 Datensätze oder 8 Millionen?

    Autor: UCNet 28.08.08 - 11:02

    Glaubt ihr im Ernst, dass ein Unternehmen, das über solche Daten verfügt, nicht in der Lage ist diese Unternehmensweit auszuwerten? Stichwort "Datawarehouse".

    Und solche Daten werden dann aus allen 4200 Hotels gezogen. Vermutlich jeden Tag. Um an alle Datensätze zu gelangen reicht es natürlich nicht, nur in die Systeme eines Hotels zu gelangen, da die ja nur jeweils ihre Daten an das Datawarehouse schicken.

    Was natürlich passiert sein könnte, ist dass ein Mitarbeiter eines Hotels/Verwaltung den Zugang zu diesem Datawarehouse hatte und das Der Hacker so Zugriff auf wunderbar aufbereitete Daten gehabt hat. Vermutlich auch noch Unternehmensergebnisse etc.

    Allerdings hat ein solches System auch Sicherheitsvorkehrungen und wahrscheinlich haben nur Hotelmanager ein entsprechendes Passwort.

    Aber genug im Konjunktiv gesprochen. Vorsicht ist die Mutter ...
    Kreditkarte sperren und gut.

    Gruß
    UCNet


    CEO Best Western Central Europe schrieb:
    -------------------------------------------------------
    > Der Hacker hat sich nicht Zugang zur zentralen
    > Datenbank sondern zu der Applikation eines
    > einzelnen Hotels verschafft,mit der jedes Best
    > Western Hotel nur seine eigenen Preise,
    > Verfügbarkeiten und Reservierungen, die über die
    > Best Western Distributionskanäle gemacht werden,
    > bearbeitet. Deshalb waren nur 10 aktuelle, d.h. zu
    > diesem Zeitpunkt vom Hotel noch nicht
    > abgearbeitete Datensätze zu sehen. Es sollte
    > plausibel sein, dass Best Western mit 4200 Hotels
    > auf der ganzen Welt den zigtausenden Mitarbeitern
    > nicht Zugang zu den Daten aller anderen Hotels
    > gewährt. Abgesehen von Privacy Policies und
    > Security würde auch kein Hotelier akzeptieren,
    > dass jeder Kollege seine Daten einsehen kann -
    > dazu gibt es auch überhaupt keinen Grund.
    > Natürlich hat Best Western sofort die Logs dieser
    > Applikation überprüft und keinerlei Hinweise auf
    > irgendeine außergewöhnliche Aktivität (die das
    > Abgreifen von 8 Millionen Datensätzen ja wohl
    > verursachen müsste)gefunden.
    > Der Kaiser schrieb:
    > --------------------------------------------------
    > -----
    > > Die Wahrheit liegt bestimmt irgendwo in der
    > Mitte.
    > Scherz bei Seite, 10 Datensätze hört
    > sich arg
    > wenig an. Wenn der Cracker die
    > Datensätze mit
    > einem Skript ausgelesen hat
    > waren es bestimmt
    > mehr.
    >
    >


  10. Re: 10 Datensätze oder 8 Millionen?

    Autor: Der Kaiser 28.08.08 - 16:59

    > Leider ist es so, das die IT-ler oft mit dem ganzen Zeug hoffnungslos überlastet sind.
    Dafür gibt es einen Automatismen, wie automatische Updates, IDS..

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Raum Nürnberg
  2. Hessisches Ministerium des Innern und für Sport, Wiesbaden
  3. BWI GmbH, Meckenheim
  4. Ledermann GmbH & Co. KG, Horb am Neckar

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Call of Duty: Modern Warfare für 52,99€, Pillars of Eternity II für 16,99€, Devil May...
  2. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  3. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...
  4. (u. a. Kingston A400 2-TB-SSD für 159,90€, AMD Upgrade-Bundle mit Radeon RX 590 + Ryzen 7...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27