De Duitse hotelketen Numa heeft via een IDOR-lek de persoonlijke gegevens van een half miljoen gasten gelekt, zo ontdekte een beveiligingsonderzoeker van de Chaos Computer Club (CCC). Alleen het aanpassen van een getal in een url was voldoende. Het probleem is inmiddels door de hotelketen verholpen. Die heeft ook alle betrokkenen geïnformeerd en het datalek bij de privacytoezichthouder gemeld, laat Zeit Online weten.

IDOR staat voor Insecure Direct Object Reference (IDOR) en doet zich bijvoorbeeld voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Zo kan een gebruiker door het aanpassen van bepaalde data toegang tot de gegevens van andere gebruikers krijgen. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Het probleem is daarnaast al decennia bekend.

In het geval van Numa stuurde de hotelketen gasten een e-mail met daarin een link naar hun factuur. Alleen het aanpassen van een getal in deze url was voldoende om de facturen van andere gasten te bekijken, met daarop hun namen, adresgegevens, locatie en verblijfsdatum. Daarnaast bleek de broncode van de pagina met de factuur ook de e-mailadressen en telefoonnummer van gasten te bevatten, alsmede alle data van hun eerder gekopieerde identiteitskaart, waaronder geboortedatum en identiteitsnummer.

"Het beste datalek is er één die niet kan plaatsvinden omdat de data nooit is verzameld. De identiteitsdata had nooit verwerkt moeten worden", aldus onderzoeker Matthias Marx. Hotels in Duitsland zijn verplicht om gegevens van hun gasten te registreren. Sinds juni is deze verplichting in het geval van Duitse gasten komen te vervallen. De CCC wil dat de registratieplicht ook voor niet-Duitsers wordt geschrapt.