Wie Tech erfahren hat, wurde auf den Check-in-Systemen von mindestens drei Wyndham-Hotels in den Vereinigten Staaten eine Spyware-App für Endverbraucher gefunden.
Die App namens pcTattletale erfasste heimlich und kontinuierlich Screenshots der Hotelbuchungssysteme, die Gästedaten und Kundeninformationen enthielten. Dank einer Sicherheitslücke in der Spyware sind diese Screenshots für jeden im Internet verfügbar, nicht nur für die vorgesehenen Benutzer der Spyware.
Dies ist das jüngste Beispiel für Spyware für Privatanwender, die aufgrund einer Sicherheitslücke in der Spyware selbst vertrauliche Informationen preisgibt. Es ist auch das zweite bekannte Mal dass pcTattletale Screenshots der Geräte offengelegt hat, auf denen die App installiert ist. Mehrere andere Spyware-Apps wiesen in den letzten Jahren Sicherheitslücken oder Fehlkonfigurationen auf, die die privaten und persönlichen Daten unwissender Gerätebesitzer preisgaben, was in einigen Fällen zu Maßnahmen staatlicher Aufsichtsbehörden führte.
Gäste- und Reservierungsdaten werden erfasst und angezeigt
Wer pcTattletale kontrolliert, kann von überall auf der Welt aus das Android- oder Windows-Gerät der Zielperson und deren Daten einsehen. Auf der Website von pcTattletale heißt es, die App „läuft unsichtbar im Hintergrund auf den Arbeitsstationen der Opfer und kann nicht erkannt werden.“
Der Fehler bedeutet jedoch, dass jeder im Internet, der die Funktionsweise der Sicherheitslücke versteht, die von der Spyware erfassten Screenshots direkt von den Servern von pcTattletale herunterladen kann.
Der Sicherheitsforscher Eric Daigle sagte gegenüber Tech, dass er die kompromittierten Hotel-Check-in-Systeme im Rahmen einer Untersuchung zu Spyware für Endverbraucher gefunden habe. Diese Apps werden oft als „Stalkerware“ bezeichnet, da sie dazu verwendet werden können, Personen – einschließlich Ehe- und Lebenspartner – ohne deren Wissen oder Zustimmung zu verfolgen.
Daigle sagte, er habe versucht, pcTattletale auf das Problem aufmerksam zu machen, aber das Unternehmen habe nicht reagiert und der Fehler sei zum Zeitpunkt der Veröffentlichung noch nicht behoben. Daigle gab bekannt In einem kurzen Blog-Beitrag finden Sie nur begrenzte Details zum durchgesickerten Screenshot-Bug von pcTattletaleohne Einzelheiten anzugeben, um böswilligen Akteuren nicht dabei zu helfen, den Fehler auszunutzen.
Daigle sagte, pcTattletale mache in regelmäßigen Abständen, manchmal alle paar Sekunden, neue Screenshots des Geräts, auf dem die App läuft.
Die von Tech eingesehenen Screenshots von zwei Wyndham-Hotels zeigen die Namen und Reservierungsdetails von Gästen auf einem Webportal des Reisetechnologieriesen Sabre. Auf den Screenshots der Webportale sind auch Teilzahlungskartennummern der Gäste abgebildet.
Auf einem anderen Screenshot war der Zugriff auf das Check-in-System eines dritten Wyndham-Hotels zu sehen, das zu diesem Zeitpunkt beim Verwaltungsportal von Booking.com angemeldet war, über das die Reservierungen der Gäste verwaltet werden.
Es ist nicht bekannt, wer die App eingeschleust hat oder wie sie eingeschleust wurde – zum Beispiel, ob Hotelmitarbeiter dazu verleitet wurden, sie zu installieren, oder ob der Hotelbesitzer beabsichtigte, die Spyware zur Überwachung des Verhaltens von Mitarbeitern zu verwenden. pcTattletale vermarktet sich unter anderem als Möglichkeit zur Mitarbeiterüberwachung.
Der Manager eines betroffenen Hotels teilte Tech telefonisch mit, dass er nicht gewusst habe, dass die Spyware Screenshots von seinem Check-in-Computer gemacht habe. Die Manager der anderen beiden Hotels antworteten weder auf die Anrufe noch auf die E-Mails von Tech. Tech nennt die konkreten Hotels nicht, da die Gefahr von Vergeltungsmaßnahmen gegen Hotelmitarbeiter besteht.
Wyndham-Sprecher Rob Myers sagte Tech in einer E-Mail: „Wyndham ist ein Franchiseunternehmen, das heißt, alle unsere Hotels in den USA sind unabhängig im Besitz und werden unabhängig betrieben.“ Wyndham wollte nicht sagen, ob es wusste, dass pcTattletale auf den Rezeptionscomputern seiner Markenhotels verwendet wurde, oder ob die Verwendung von pcTattletale durch Wyndhams eigene Richtlinien genehmigt wurde.
Booking.com teilte Tech mit, dass seine eigenen Systeme nicht durch die Spyware kompromittiert wurden, dass dieser Fall jedoch ein Beispiel dafür zu sein schien, wie Hotelsysteme von Cyberkriminellen angegriffen werden, um Zugriff auf die Konten des Hotels zu erhalten.
„Einige unserer Unterkunftspartner wurden leider von sehr überzeugenden und ausgefeilten Phishing-Taktiken angegriffen, die sie dazu verleiten, auf Links zu klicken oder Anhänge außerhalb unseres Systems herunterzuladen, wodurch Malware auf ihre Rechner geladen werden kann und in einigen Fällen zu unbefugtem Zugriff auf ihre Rechner führt.“ Booking.com-Konto“, sagte Angela Cavis, eine Sprecherin von Booking.com. „Diese Betrüger versuchen dann, sich als Partner (oder sogar Booking.com) auszugeben – manchmal sehr überzeugend –, um von Kunden Zahlungen außerhalb der Richtlinien in ihrer Buchungsbestätigung zu verlangen.“
BBC News berichtete letzten Dezember dass sich Cyberkriminelle Zugriff auf die Verwaltungsportale einzelner Hotels verschafft hatten, die Booking.com nutzen. Mit diesem Zugriff verschickten die Kriminellen dann über die App des Unternehmens Nachrichten an Kunden, um sie dazu zu bringen, sie anstelle des Hotels zu bezahlen.
Es ist nicht bekannt, ob pcTattletale oder andere Spyware mit früheren Vorfällen in Verbindung steht, und Booking.com gab an, dies zu untersuchen.
„Alle Spuren abgedeckt“
Es gibt eine lange Geschichte von Stalkerware-Apps, die sich angeblich für legitime Zwecke vermarkten – die Verfolgung der eigenen Kinder ist in den Vereinigten Staaten legal –, aber auch damit werben oder ganz offen sagen, dass die Apps dazu verwendet werden können, Menschen ohne deren Wissen anzugreifen, häufig Ehepartner und Lebenspartner, was rechtswidrig ist.
pcTattletale wird als Überwachungssoftware für Kinder und Mitarbeiter verkauft, das Unternehmen bewirbt seine App jedoch auch zur Verwendung gegen „Ehepartner, die befürchten, dass ihr Partner sie betrügt“.
pcTattletale entwickelt Spyware-Apps für Android und Windows und beide Apps erfordern für die Installation physischen Zugriff auf das Gerät eines Ziels. pcTattletale stellt seine Windows-Spyware-App als One-Click-Download bereit, der in wenigen Sekunden installiert werden kann, wie TechCrunchs eigene Tests und Analysen der Spyware zeigen.
pcTattletale bietet außerdem einen Dienst namens „We Do It For You“ an, der dem Unternehmen zufolge dabei hilft, die Spyware im Namen des Kunden auf dem Computer der Zielperson zu installieren.
„Wir haben pcTattletale für Sie auf ihren Windows-Computer installiert. Wählen Sie einfach einen Zeitpunkt aus“, informiert die Website von pcTattletale die Kunden im Mitgliederportal. „Sie erhalten eine E-Mail mit Anweisungen für den Zugriff auf ihren Computer. Wir brauchen dafür etwa 10 Minuten. Es bleiben keine Spuren zurück. Alle Spuren verwischt.“ Dem Kunden wird dann ein Link „für unseren Techniker“ zugesandt [sic] um auf den Computer zuzugreifen.“
Bryan Fleming, der pcTattletale gegründet und verwaltet, antwortete nicht auf die Bitte von Tech um einen Kommentar.
Um diesen Reporter zu kontaktieren, kontaktieren Sie uns über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail. Sie können Dateien und Dokumente auch über SecureDrop versenden.