Bei der Hotelgruppe Lopesan sollen rund 27.000 Kunden-Datensätze in fremde Hände geraten sein. Betroffen sind demnach wohl Gästedaten aus den Hotels des Unternehmens im Süden von Gran Canaria. Dort betreibt die Gruppe mehrere Häuser.
Für die Hotelbranche auf den Kanarischen Inseln ist ein solcher Vorfall kein Einzelfall: Datenpannen in der Reise- und Hotelbranche häufen sich europaweit, und gerade größere Hotelkonzerne mit zentralen Buchungssystemen gelten als attraktive Ziele für Cyberangriffe. Die betroffenen Datensätze enthielten laut den vorliegenden Informationen Angaben zu Hotelgästen, die in Lopesan-Häusern übernachtet hatten.
Es soll sich um knapp 27.000 Datensätze handeln, die mit konkreten Buchungsvorgängen verknüpft waren. Welche Arten von persönlichen Daten im Einzelnen offengelegt wurden, wie etwa Name, Adresse, Zahlungsinformationen oder Reisedaten, ist bisher nicht bekannt. Ebenso unklar ist, ob das Unternehmen die zuständigen spanischen Datenschutzbehörden bereits informiert hat.
Datenpanne bei Lopesan auf Gran Canaria?
Eine Gruppe von Cyberkriminellen mit dem Namen „Trezor“ hat sich zu dem groß angelegten Cyberangriff auf die Computersysteme der Hotelgruppe bekannt. Die betroffenen Hotels sollen demnach im Süden Gran Canarias liegen, einem der meistbesuchten Tourismusgebiete des Archipels. Verschiedene Cybersecurity-Experten berichten über den Vorfall:
Cyber Alert ‼️
Spain –
Trezor threat actor claimed to have breached Lopesan Hotel. The leaked dataset allegedly contains 27,629 guest records including names, email addresses, ages, travel dates, country codes, language preferences, room numbers,… pic.twitter.com/OWO9foyx0f
— Hackmanac (@H4ckmanac) May 12, 2026
Lopesan zählt zu den größten Hotelgruppen der Kanaren-Insel und richtet sich unter anderem an Gäste aus dem deutschsprachigen Raum. Wer in den vergangenen Jahren in einem Lopesan-Haus auf Gran Canaria gebucht oder übernachtet hat, könnte zu den betroffenen Personen gehören.
Reisende, die ihre Daten bei einer Buchung über Lopesan angegeben haben, sollten ihre Kontoauszüge und E-Mail-Konten auf verdächtige Aktivitäten prüfen. Nach einem Datenleck sind Phishing-Versuche eine häufige Folge. Dabei versuchen Kriminelle, gestohlene Daten für täuschend echte Nachrichten zu nutzen, um dann beispielsweise an Geld zu gelangen oder einen Kontenzugriff zu erreichen.
Was bei einem Datenleck in der EU vorgeschrieben ist
Nach der europäischen Datenschutzgrundverordnung sind Unternehmen verpflichtet, Datenpannen dieser Größenordnung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. In Spanien ist dafür die Agencia Española de Protección de Datos zuständig.
Betroffene Personen haben das Recht, vom Unternehmen Auskunft darüber zu verlangen, welche ihrer Daten verarbeitet und möglicherweise offengelegt wurden. Das Unternehmen hat sich bisher nicht öffentlich zu dem Vorfall geäußert.
99,6% zufriedene Leser!
Noch keine Kommentare zu diesem Artikel.