Eingelangt am 12.12.2024
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

ANFRAGE

 

des Abgeordneten Peter Wurm

an den Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz

betreffend Booking.com: Ein Tippfehler – und die Buchung gehört jemandem anderen

Folgende Meldung wurde am 8. Dezember 2024 auf derstandard.at veröffentlicht:[1]

 

Booking.com: Ein Tippfehler – und die Buchung gehört jemandem anderen

Ohne Prüfung werden Buchungen direkt in das Konto von Dritten eingetragen, das lässt sich auch nicht mehr rückgängig machen. Bei Booking.com sieht man keinen Handlungsbedarf

Wenn unerwartet Mails von der Reisebuchungsplattform Booking.com im eigenen Maileingang landen, liegt bei den meisten wohl rasch die Vermutung nahe, dass es sich um einen Phishing-Angriff handelt – also dass man auf dem einen oder anderen Weg um das eigene Geld betrogen werden soll. Doch ein aktueller Bericht von Arstechnica zeigt nun ein ganz anderes Problem auf, nämlich dass Buchungen von Dritten unvermutet im eigenen Konto landen können.

Nur ein Beispiel

Passiert ist das Ganze einem User namens Alfie, es ist aber davon auszugehen, dass er kaum der Erste war, der mit diesem Phänomen konfrontiert wurde. In dessen Inbox tauchte nämlich irgendwann unvermutet eine Buchung für eine anstehende Reise auf. Eine, die er aber nie getätigt hatte.

Wer sich bei der Buchung vertippt, kann damit nicht nur sich selbst, sondern auch anderen ordentlich Stress verursachen.

Da sowohl der Absender als auch die restlichen Angaben korrekt aussahen, tat er das, was man in solchen Situationen tatsächlich am besten tut: Er ging direkt auf die Webseite von Booking.com, um dort nachzuprüfen, was da eigentlich los ist – und um eine ausgeklügelte Phishing-Attacke auszuschließen. Seine Überraschung dürfte nicht gering gewesen sein, als auch dort die von ihm nie in Auftrag gegebene Buchung zu finden war.

Einfach nur ein Fehler oder doch mehr?

Nach mehreren Tagen fruchtloser Kommunikation mit dem Support von Booking.com wandte sich Alfie schließlich an Arstechnica. Erst als man dort bei der Pressestelle nachbohrte, kam (etwas) Schwung in die Angelegenheit, und wenige Wochen nach der ersten Kontaktaufnahme stand schlussendlich fest, wie es dazu kommen konnte: Ein anderer Nutzer der Reiseplattform hatte sich schlicht bei der Angabe einer Mailadresse vertippt.

Eine prinzipiell nachvollziehbare Erklärung, die aber jede Menge anderer Fragen aufwirft. Etwa warum man bei Booking.com offenbar die Richtigkeit der Mailadressen nicht prüft, bevor eine Buchung einem bestehenden Konto hinzugefügt wird. Genau das ist nämlich der Fall: Booking.com schaut einfach nur, ob es zur Mailadresse ein Konto gibt, und ist das der Fall, landet die Buchung dort.

Bei Booking.com bestätigt man dieses Verhalten zwar, sieht darin aber kein Problem – zumindest nicht das eigene. Es sei absichtlich leicht möglich, andere Mailadressen bei einer Buchung hinzuzufügen, damit mehrere Personen eine Buchung gemeinsam verwalten können. Das Ganze ist aus Sicht der Plattform also ein Feature – und kein Fehler.

Bei jenen, die eine solche Buchung erhalten, dürfte das hingegen einiges an Stress auslösen, ist der Grund doch für sie zunächst undurchschaubar. Ihnen bleibt eigentlich nur, die Buchung manuell aus ihrem Konto zu löschen und es sonst dabei zu belassen. Solange man es dabei belässt, sollte das auch keine negativen Konsequenzen haben.

Die Zuordnung

Ziemlich unerfreulich ist das aber auch für die Buchenden, denen ein solcher Fehler unterläuft. Ein Tippfehler bei der Angabe einer zweiten Mailadresse kann dazu führen, dass jemand anderer Zugriff auf die Buchung hat – und zwar dauerhaft. Ist diese einmal einem Konto zugeordnet, hat man nämlich keine Möglichkeit mehr, das rückgängig zu machen. Auch Booking.com hat nach eigenen Angaben hier keine Möglichkeit mehr zum Eingriff.

In weiterer Folge gelang es Alfie übrigens, allerlei private Details über die eigentlich buchende Person herauszubekommen und sie schließlich zu identifizieren. Der Support von Booking.com scheint entsprechende Daten bereitwillig herausgegeben zu haben, immerhin war es laut dem Buchungssystem ja auch seine Buchung.

Unbefriedigender Ausgang

Was bleibt, ist eine Situation, in der das Argument des menschlichen Fehlers als Auslöser nicht von der Hand zu weisen ist – die aber trotzdem ziemlich unbefriedigend bleibt. Immerhin ist es nicht sonderlich schwer, sich vorzustellen, wie dieses System ausgenutzt werden kann, um jemanden zu trollen oder dies gar als Ansatzpunkt für eine weitere Attacke zu nutzen. Vom Stress, den solch unerwartete Buchungen bei den Nutzern wohl auslösen, einmal ganz abgesehen.

 

 

 

 

In diesem Zusammenhang richtet der unterfertigte Abgeordnete Peter Wurm an den Bundesminister für Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz nachstehende

ANFRAGE

1)    Wie viele Beschwerden sind dem BMSGPK bzw dem Verein für Konsumenteninformation (VKI) im Zusammenhang mit den in den Medien bekanntgewordenen Fehlbuchungen über booking.com bekanntgeworden?

 

2)    Welche Maßnahmen werden Sie als zuständiger Konsumentenschutzminister einleiten, um Fehlbuchungen mangels Überprüfung der E-Mail-Adressen entgegenzuwirken?

 

3)    Gab es in den letzten 5 Jahren bei anderen Buchungsplattformen ähnliche Fehlbuchungen über unbestätigte E-Mail-Adressen? Falls ja, bei welchen Anbietern und auf welche Art und Weise wurden diese korrigiert?