Numa numa nay. Daten, die gespeichert werden, gehen verloren. Beispiel Nr 7253724:
Hackerangriff auf Hotels: Ausweisdaten Zehntausender Reisender in Italien gestohlen
https://www.spiegel.de/wirtschaft/italien-hacker-stehlen-ausweisdaten-von-zehntausenden-hotelgaesten-a-99d5ca25-5b07-40f8-ae15-cafcede747fd
@C_RadaR Juni ist online!
Diesmal mit:
@kantorkel über #Numa Hotel Hack
@vollkorn über das @ccc Office
Wir sprechen auch über die @LoungeControl mit @TreeBug
https://www.c-radar.de/2025/06/c-radar-juni-2025-numa-datenleck-ccc-office-gpn-lounge-control/
Tune In!
#Datenleck: 500.000 Rechnungen und Ausweise von Hotelgästen geleakt
"#CCC-Sprecher Matthias Marx hat ein Datenleck bei der #Hotelkette #Numa aufgedeckt. Er konnte auf Rechnungen und #Ausweise fremder Personen zugreifen."
https://www.golem.de/news/datenleck-bei-numa-ausweisdaten-von-hotelgaesten-frei-zugaenglich-im-netz-2506-197067.html
CCC-Sprecher Matthias Marx deckt ein Datenleck bei der Hotelkette #Numa auf, konnte auf zahlreiche Rechnungen und Ausweise zugreifen https://www.golem.de/news/datenleck-bei-numa-ausweisdaten-von-hotelgaesten-frei-zugaenglich-im-netz-2506-197067.html
Kein Verständnis von Datensicherheit und Datenschutz bei #Numa – Wie ein CCC-Sprecher nur übernachten wollte und eine Kundendatensammlung fand https://www.heise.de/news/Uebernachtungsdienstleister-Numa-CCC-findet-gesammelte-Ausweisdaten-10441317.html
Ohne Übermittlung des Ausweisfotos will das Hotel ohne Rezeption #numa niemand einlassen. Die „super sicheren“ Ausweisdaten von Fremden: Zugriff auf mehr als 500.000 Rechnungen und Ausweisdaten anderer Gäste https://marx.wtf/2025/06/11/numa-numa-nay/
fun fact: Hätte Numa wie angekündigt mein Zimmer einfach kostenfrei storniert, als ich meinen Ausweis nicht teilen wollte, wäre ich nie auf anderer Leute Ausweisdaten gestoßen
When “Access Control” to sensitive Data is just a Number in a URL
Not long ago, I covered the Merkur hack from Lilith Wittmann – a glaring example of careless handling of sensitive data. And today, here we are again! Another service, another broken-by-design system. This time: the hotel chain Numa, exposing tens of thousands of identity documents to anyone with a URL and a browser.
What happened
I just came across this report by this post on Mastodon from the CCC. Their (german) post describes what happened. I’ll briefly try to outline it:
[…]
https://www.locked.de/when-access-control-to-sensitive-data-is-just-a-number-in-a-url/
Hotelkette #Numa – Ohne Ausweis gibt es keinen Türcode. Peinliche Sicherheitslücke: Die Ausweisdaten von 500.000 Gästen waren abrufbar. https://www.zeit.de/digital/datenschutz/2025-06/datenschutz-ausweisdaten-leck-hotel-numa?freebie=97697f63
Schwachstellen, die es in diesem Jahrtausend nicht mehr geben darf: Hotelkette #Numa veröffentlicht Ausweisdaten. Die hätten nie verarbeitet werden dürfen https://www.ccc.de/de/updates/2025/ausgecheckt-hotelkette-numa-veroffentlicht-ausweisdaten
If I have 2 processes, using the same shared library, the immutable (TEXT and RODATA) sections are usually loaded only once in the physical memory, and mapped into both process.
However, if each process asks the kernel to pin its memory on a different NUMA node, anyone knows if the kernel duplicates the physical pages on each numa node, if only one process wins, or if this results in bad behaviour (pages going back and forth) ?
Boost reduce the rate of cache misses in your CPUs
К вопросу использования #epoll вместо хорошо знакомых и «традиционных» select & poll. Т.е. асинхронной работы с чем-либо посредством polling’а и мультиплексирования.
Недавно пришлось заниматься реализацией очереди событий для AMQP-CPP. В одном из продуктов решено сделать связь агентских частей с основным «контроллером» через #AMQP, в качестве брокера #RabbitMQ (всё стандартно, обычный кластер и TLS-соединения).
Вот только агенты продукта активно используют асинхронно-реактивное программирование с хорошей «горизонтальной масштабируемостью». Когда достигнуто полноценное sharing nothing, не просто горизонтальная масштабируемость через lock-free или wait-free и закон Амдала. Исключается много всего и сразу, как старый-добрый cache ping-pong, так и печаль с false sharing.
Отсюда внутри агентов и своё управление потоками с выделениями памяти. Не только в плане heap (динамической памяти, со своими аллокаторами а-ля #jemalloc от #Facebook), но и приколы вокруг узлов #NUMA и даже huge pages (снижающих «давление» на #TLB, меньше промахов).
Первая же проблема выплыла почти сразу — не реально использовать библиотеку AMQP-CPP с уже предоставляющейся поддержкой #libev, #libuv, #libevent. Несовместимы эти очереди сообщений с имеющейся моделью управления потоками и организации задач на агентах.
Почему был взят epollПодход используемый в #epoll выглядит более современно, меньше копирований памяти между user space и kernel space. А при появлении данных в отслеживаемом файловом дескрипторе можно напрямую перейти по указателю на объект класса или структуру данных. Тем самым обходиться без поиска дескриптора по индексным массивам/контейнерам. Сразу же работать с экземплярами объектов оборачивающих нужное #tcp -соединение, того самого, в которое и пришли данные.
И тут обозначилась вторая проблема, что используема AMQP-библиотека не вычитывает данные целиком из потока сокета. Например, забирает данные лишь до тех пор, пока не насытится автомат состояний (finite-state machine), выполняющий парсинг сущностей AMQP-протокола.
Используя #epoll приходится выбирать на какой вариант обработки событий ориентироваться:
И беда с библиотекой в очередной раз показала, что нельзя использовать работу «по фронту» (edge-triggered) не изучив досконально работу подсистемы отвечающей за вычитывание данных из файловых дескрипторов. И появление флага EPOLLET в коде является маркером, о том, чтобы проводить аудит использовавшихся решений.
Про Edge Triggered Vs Level Triggered interrupts можно почитать в https://venkateshabbarapu.blogspot.com/2013/03/edge-triggered-vs-level-triggered.html)
The result is something that can be trivially parallelized with #OpenMP.
As an alternative, it's possible to use the #multiGPU support in #GPUSPH to run code in parallel. This is obviously less efficient, although it may be a good idea to use it in #NUMA setups (one thread per NUMA node, OpenMP for the cores in the same node). This is not implemented yet.
#Plutarch #ParallelLives #Numa 11/
For possibly there is no need of any compulsion or menace in dealing with the multitude, but when they see with their own eyes a conspicuous and shining example of virtue in the life of their ruler, they will of their own accord walk in wisdom's ways, and unite with him in conforming themselves to a blameless and blessed life of friendship and mutual concord, attended by righteousness and temperance.
#Plutarch #ParallelLives #Numa 10/
Not only was the Roman people softened and charmed by the righteousness and mildness of their king, but also the cities round about, as if some cooling breeze or salubrious wind were wafted upon them from Rome, began to experience a change of temper, and all of them were filled with a longing desire to have good government, to be at peace, to till the earth, to rear their children in quiet, and to worship the gods.
#Plutarch #ParallelLives #Numa 9/
He wished to remove the destitution which drives men to wrongdoing, and to turn the people to agriculture, that they might be subdued and softened along with the soil they tilled.
For there is no other occasion which produces so keen and quick a relish for peace as that of a farmer's life, where the warrior's daring that prompts a man to fight for his own is preserved, while the warrior's licence to indulge in rapacity and injustice is extirpated.
#Plutarch #ParallelLives #Numa 8/
His first measure on assuming the government was to disband the body of three hundred men that Romulus always kept about his person, for he would not consent to distrust those who trusted him, nor to reign over those who distrusted him.
#Plutarch #ParallelLives #Numa 7/
Numa therefore decided to yield, and after sacrificing to the gods, set out for Rome.
The senate and people met him on his way, filled with a wondrous love of the man; women welcomed him with fitting cries of joy; sacrifices were offered in the temples, and joy was universal, as if the city were receiving, not a king, but a kingdom.
#Plutarch #ParallelLives #Numa 6/
"This people loved Tatius, though he was a foreign prince, and they pay divine honours to the memory of Romulus."
"And who knows but that the people, even though victorious, is sated with war, and, now that it is glutted with triumphs and spoils, is desirous of a gentle prince, who is a friend of justice, and will lead them in the paths of order and peace?"
#Plutarch #ParallelLives #Numa 5/
"Even though thou neither desirest wealth for thyself, because thou hast enough, nor covetest the fame which comes from power, because thou hast the greater fame which comes from virtue, yet consider that the work of a true king is a service rendered to God."
"Do not flee from this office, which a wise man will regard as a field for noble actions, where the hearts of men are softened and inclined towards piety through the moulding influence of their ruler."
