BWH Hotels, die Muttergesellschaft von Best Western Hotels & Resorts, WorldHotels und SureStay Hotels, hat eine Datenpanne bekannt gegeben, nachdem Hacker Zugang zu Gästereservierungssystemen für mehr als sechs Monate erhalten hatten.
Laut Mitteilungen an betroffene Kunden entdeckte das Unternehmen am 22. April 2026 unbefugte Aktivitäten, die eine Webanwendung zur Speicherung von Hotelreservierungsinformationen verwendeten. Ermittler stellten später fest, dass die Angreifer zwischen dem 14. Oktober 2025 und dem 22. April 2026 Zugang zu dem System hatten.
Die kompromittierten Informationen umfassen Gästenamen, E-Mail-Adressen, Telefonnummern, Wohnadressen, Reservierungsnummern, Aufenthaltsdaten und besondere Anfragen im Zusammenhang mit Hotelbuchungen. BWH Hotels erklärte, dass Zahlungskarten- und Bankinformationen nicht betroffen seien, da Finanzdaten nicht in der betroffenen Anwendung gespeichert wurden.
Das Unternehmen hat nicht bekannt gegeben, wie viele Gäste von der Panne betroffen waren. BWH Hotels betreibt jedoch weltweit mehr als 4.000 Hotels unter verschiedenen Marken, darunter Best Western, WorldHotels und Sure Hotels.
BWH Hotels berichtete, dass Angreifer eine Schwachstelle in einer ihrer Webanwendungen ausgenutzt hätten, um unbefugten Zugriff auf Reservierungsdaten zu erhalten. Nach der Entdeckung des Eindringlings nahm das Unternehmen die betroffene Anwendung offline, entzog den unbefugten Zugriff und leitete mit Hilfe externer Cybersicherheitsexperten eine Untersuchung ein.
In Kundenbenachrichtigungen warnte das Unternehmen die Gäste, vorsichtig vor Phishing-E-Mails, verdächtigen Textnachrichten, gefälschten Buchungsseiten und betrügerischen Anrufen mit Hotelreservierungen zu sein. BWH riet den Kunden ausdrücklich, nicht auf unerwartete Anfragen zu Zahlungen, Zugangsdaten, Verifizierungscodes oder persönlichen Informationen zu reagieren.
Der Verstoß wirft Bedenken auf, da offengelegte Reservierungsinformationen für Betrüger äußerst wertvoll sein können. Cyberkriminelle können legitime Buchungsdaten, Hotelnamen, Reisedaten und Kontaktdaten nutzen, um überzeugende Phishing-Kampagnen zu erstellen, die Reisende mit gefälschten Zahlungsanfragen oder betrügerischen Reservierungsaktualisierungen ins Visier nehmen.
BWH Hotels warnte außerdem, dass Angreifer versuchen könnten, Hotelpersonal oder Kundensupport-Mitarbeiter mit gestohlenen Reservierungsdaten zu imitieren, um Betrügereien legitim erscheinen zu lassen. Das Unternehmen empfahl Kunden, direkt auf offizielle Hotelwebsites zu navigieren, anstatt in E-Mails oder Nachrichten auf Links zu klicken.
Die Gastgewerbebranche ist zu einem häufigen Ziel von Cyberangriffen geworden, da Hotelsysteme große Mengen an persönlichen Informationen speichern, die mit Reservierungen, Reiseplänen, Treuekonten und Zahlungsaktivitäten verknüpft sind. Reservierungssysteme sind besonders attraktiv für Angreifer, da sie oft detaillierte Kundenkontaktdaten enthalten, die später bei Phishing-Operationen missbraucht werden können.