Wie TechCrunch erfahren hat, wurde auf den Check-in-Systemen von mindestens drei Wyndham-Hotels in den Vereinigten Staaten eine Spyware-App für Endverbraucher gefunden.
Die App namens pcTattletale erfasste heimlich und kontinuierlich Screenshots der Hotelbuchungssysteme, die Gästedaten und Kundeninformationen enthielten. Dank einer Sicherheitslücke in der Spyware sind diese Screenshots für jeden im Internet verfügbar, nicht nur für die vorgesehenen Benutzer der Spyware.
Dies ist das jüngste Beispiel dafür, dass Spyware für Privatanwender sensible Informationen aufgrund einer Sicherheitslücke in der Spyware selbst preisgibt. Es ist zudem das zweite bekannte Mal, dass pcTattletale Screenshots der Geräte veröffentlicht hat, auf denen die App installiert ist. Mehrere andere Spyware-Apps der letzten Jahre wiesen Sicherheitslücken oder Fehlkonfigurationen auf, die private und persönliche Daten ahnungsloser Gerätebesitzer preisgaben, was in einigen Fällen zu Maßnahmen staatlicher Regulierungsbehörden führte.
Gäste- und Reservierungsdaten werden erfasst und angezeigt
Mit pcTattletale kann jeder, der es steuert, das Android- oder Windows-Gerät des Ziels und seine Daten von überall auf der Welt aus der Ferne anzeigen. Auf der Website von pcTattletale heißt es, dass die App „unsichtbar im Hintergrund auf ihren Workstations läuft und nicht erkannt werden kann“.
Der Fehler bedeutet jedoch, dass jeder im Internet, der die Funktionsweise der Sicherheitslücke versteht, die von der Spyware erfassten Screenshots direkt von den Servern von pcTattletale herunterladen kann.
Der Sicherheitsforscher Eric Daigle sagte gegenüber TechCrunch, dass er die kompromittierten Hotel-Check-in-Systeme im Rahmen einer Untersuchung zu Spyware für Endverbraucher gefunden habe. Diese Apps werden oft als „Stalkerware“ bezeichnet, da sie dazu verwendet werden können, Personen – einschließlich Ehe- und Lebenspartner – ohne deren Wissen oder Zustimmung zu verfolgen.
Daigle sagte, er habe versucht, pcTattletale auf das Problem aufmerksam zu machen, aber das Unternehmen habe nicht reagiert und der Fehler sei zum Zeitpunkt der Veröffentlichung noch nicht behoben. Daigle hat in einem kurzen Blog-Beitrag nur begrenzte Details zum durchgesickerten Screenshot-Fehler von pcTattletale offengelegt, ohne Einzelheiten anzugeben, um böswilligen Akteuren nicht dabei zu helfen, den Fehler auszunutzen.
Daigle sagte, pcTattletale mache regelmäßig neue Screenshots des Geräts, auf dem die App läuft, manchmal alle paar Sekunden.
Die von TechCrunch eingesehenen Screenshots von zwei Wyndham-Hotels zeigen die Namen und Reservierungsdetails von Gästen auf einem Webportal des Reisetechnologieriesen Sabre. Auf den Screenshots der Webportale sind auch Teilzahlungskartennummern der Gäste abgebildet.
Ein weiterer Screenshot zeigte den Zugriff auf das Check-in-System eines dritten Wyndham-Hotels, das zu diesem Zeitpunkt im Verwaltungsportal von Booking.com angemeldet war, über das die Reservierung eines Gastes verwaltet wurde.
Es ist nicht bekannt, wer die App eingeschleust hat oder wie sie eingeschleust wurde – zum Beispiel, ob Hotelmitarbeiter dazu verleitet wurden, sie zu installieren, oder ob der Hotelbesitzer beabsichtigte, die Spyware zur Überwachung des Verhaltens von Mitarbeitern zu verwenden. pcTattletale vermarktet sich unter anderem als Möglichkeit zur Mitarbeiterüberwachung.
Der Manager eines betroffenen Hotels teilte TechCrunch telefonisch mit, dass er nicht wusste, dass die Spyware Screenshots von ihrem Check-in-Computer erstellte. Die Manager der anderen beiden Hotels antworteten weder auf die Anrufe noch auf die E-Mails von TechCrunch. TechCrunch nennt die konkreten Hotels nicht, da das Risiko von Vergeltungsmaßnahmen gegen Hotelmitarbeiter besteht.
Wyndham-Sprecher Rob Myers sagte gegenüber TechCrunch in einer E-Mail: „Wyndham ist eine Franchise-Organisation, was bedeutet, dass alle unsere Hotels in den USA unabhängig im Besitz sind und betrieben werden.“ Wyndham würde nicht sagen, ob ihm bekannt war, dass pcTattletale auf den Rezeptionscomputern seiner Markenhotels verwendet wurde, oder ob die Verwendung von pcTattletale durch Wyndhams eigene Richtlinien genehmigt wurde.
Booking.com teilte TechCrunch mit, dass seine eigenen Systeme nicht durch die Spyware kompromittiert wurden, dass dieser Fall jedoch ein Beispiel dafür sei, wie Hotelsysteme von Cyberkriminellen angegriffen werden, um Zugriff auf die Konten des Hotels zu erhalten.
„Einige unserer Unterkunftspartner wurden leider von sehr überzeugenden und ausgefeilten Phishing-Taktiken angegriffen, die sie dazu verleiten, auf Links zu klicken oder Anhänge außerhalb unseres Systems herunterzuladen, wodurch Malware auf ihre Rechner geladen werden kann und in einigen Fällen zu unbefugtem Zugriff auf ihre Rechner führt.“ Booking.com-Konto“, sagte Angela Cavis, eine Sprecherin von Booking.com. „Diese Betrüger versuchen dann, sich als Partner (oder sogar als Booking.com) auszugeben – manchmal sehr überzeugend –, um von Kunden Zahlungen außerhalb der Richtlinien in ihrer Buchungsbestätigung zu verlangen.“
BBC News berichtete im vergangenen Dezember, dass sich Cyberkriminelle Zugang zu den Verwaltungsportalen einzelner Hotels verschafft hätten, die Booking.com nutzen. Mit diesem Zugriff verschickten die Kriminellen dann über die App des Unternehmens Nachrichten an Kunden, um sie dazu zu bringen, sie anstelle des Hotels zu bezahlen.
Es ist nicht bekannt, ob pcTattletale oder andere Spyware mit früheren Vorfällen in Verbindung steht, Booking.com erklärte jedoch, dass der Vorfall derzeit untersucht werde.
„Alle Spuren abgedeckt“
Es gibt eine lange Geschichte von Stalkerware-Apps, die sich angeblich für legitime Zwecke vermarkten – die Verfolgung der eigenen Kinder ist in den Vereinigten Staaten legal –, aber auch damit werben oder ganz offen sagen, dass die Apps dazu verwendet werden können, Menschen ohne deren Wissen anzugreifen, häufig Ehepartner und Lebenspartner, was rechtswidrig ist.
pcTattletale wird unter dem Deckmantel einer Kinder- und Mitarbeiterüberwachungssoftware verkauft, das Unternehmen bewirbt seine App jedoch auch für den Einsatz gegen „Ehepartner, die befürchten, dass ihr Partner betrügt“.
Ein Screenshot des Mitgliederportals von pcTattletale, über das Benutzer die Überwachungs-App herunterladen können, damit „Benutzer nicht wissen, dass pcTattletale installiert ist und ausgeführt wird“. Bildnachweis: TechCrunch (Screenshot)
pcTattletale entwickelt Spyware-Apps für Android und Windows und beide Apps erfordern für die Installation physischen Zugriff auf das Gerät eines Ziels. pcTattletale bietet seine Windows-Spyware-App als One-Click-Download an, der in wenigen Sekunden installiert werden kann, wie TechCrunchs eigene Tests und Analysen der Spyware zeigen.
pcTattletale bietet auch einen Service namens „We Do It For You“ an, der nach Angaben des Unternehmens im Namen des Kunden dabei hilft, die Spyware auf dem Computer des Ziels zu installieren.
„Wir haben pcTattletale für Sie auf ihren Windows-Computer installiert. Wählen Sie einfach einen Zeitpunkt aus“, informiert die Website von pcTattletale die Kunden im Mitgliederportal. „Sie erhalten eine E-Mail mit Anweisungen für den Zugriff auf ihren Computer. Wir brauchen dafür etwa 10 Minuten. Es bleiben keine Spuren zurück. Alle Spuren verwischt.“ Dem Kunden wird dann ein Link zugesandt, „damit unser Techniker (sic) auf den Computer zugreifen kann“.
Bryan Fleming, der pcTattletale gegründet und verwaltet, antwortete nicht auf die Bitte von TechCrunch um einen Kommentar.
Um diesen Reporter zu kontaktieren, kontaktieren Sie uns über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop versenden.
