Sicherheitslücke: „Daten-Gate“ bei Lunchgate

| Technologie Technologie

Auch in der Schweiz müssen Gäste im Restaurant ihre Daten angeben. Experten haben jetzt eine massive Sicherheitslücke in der Corona-Datenbank der Lösung des Anbieters Lunchgate entdeckt. Kontaktdaten von Restaurantbesuchern waren im Netz frei abrufbar, wie «IT Magazine» berichtet.

Die Forscher von Modzero kommentieren in einem Blog-Beitrag: „Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen.“

Hatten sich Gäste bei einem Restaurant oder einer Bar auf diese Art und Weise registriert, bekamen sie am Ende des Vorgangs eine Bestätigungsseite von Lunchgate angezeigt. Diese Seite hatte eine individuelle URL, die in der Adresszeile zu sehen war. Am Ende der URL fand sich eine ID-Nummer. Hierbei unterlief den Entwicklern der Webapp jedoch ein kapitaler Fehler.

Denn diese ID-Nummer wurde einfach fortlaufend vergeben. Man musste in der Adresszeile des Browsers nur eine kleinere ID-Nummer manuell einfügen und bekam nun die Bestätigungsseite mit den Kontaktdaten von früheren Gästen zu sehen. Mindestens der volle Name sowie die Telefonnummer von völligen Fremden waren nun einsehbar. Modzero zeigt in einem Video, wie sich die Sicherheitslücke ausnutzen ließ:
 

Ein bösartiger Akteur hätte diese Abfrage automatisieren und so zahlreiche persönliche Daten etwa für Phishing-Angriffe abgreifen können. Modzero hat Lunchgate vorab über die Sicherheitslücke informiert, diese sei am 3. Juli geschlossen worden, so Lunchgate gegenüber Golem. Laut dem Unternehmen gäbe es keine Hinweise darauf, dass die Lücke von jemand anderem als Modzero entdeckt und ausgenutzt worden wäre.

Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf. Diesen Vorwurf weist Lunchgate zurück. Scheinbar ältere Einträge hätten sich auf Reservierungen bezogen, die in der Zukunft lagen, sodass noch keine 14 Tage seit dem Gaststättenbesuch vergangen gewesen sei. Modzero empfiehlt Restaurantbetreibern, doch lieber Stift und Papier zur Festhaltung der Kontaktdaten zu verwenden.

 

Zurück

Vielleicht auch interessant

Daten werden für Wirtschaft und Gesellschaft immer wichtiger. Doch in der großen Mehrheit der deutschen Unternehmen bleiben diese weiterhin ungenutzt. Nur sechs Prozent gehen davon aus, dass sie das Potenzial der ihnen zur Verfügung stehenden Daten vollständig ausschöpfen.

Weiterlesen

Meta aktualisiert die Nutzungsrichtlinien seiner beiden Social-Media-Plattformen. Künftig sollen Inhalte als Trainingsmaterial für KI verwendet werden dürfen. Wie man dagegen Einspruch einlegt.

Weiterlesen

Apple ließ sich Zeit mit fortgeschrittenen KI-Funktionen, während ChatGPT Schlagzeilen machte. Doch nun spielt der iPhone-Konzern seine einzigartige Präsenz im Leben der Nutzer als Trumpf aus.

Weiterlesen
Pressemitteilung

Innerhalb von nur drei Monaten läuft das System von Hotelbird in über 90 Hotels der Motel One Budget-Design-Hotelkette. Gäste können jetzt über die Motel One Webseite & App einchecken und bezahlen. Die spezielle Integration von Hotelbird in die vorhandenen Motel One Kanäle über die Open API setzt neue Maßstäbe in der digitalen Guest Journey.

Weiterlesen

Online Birds, der Full-Service-Anbieter für Hotel-Online-Marketing, setzt nun verstärkt auf den österreichischen Markt. Neben den etablierten Standorten München, Berlin und Lissabon wurde Innsbruck als weiterer Firmensitz gewählt.

Weiterlesen

In der heutigen digitalen Welt hat sich die Art und Weise, wie Menschen finanzielle Transaktionen durchführen, stark verändert. Eine der treibenden Kräfte hinter dieser Revolution ist PayPal. Dieser Online-Zahlungsdienst hat es geschafft, sich als eine der vertrauenswürdigsten und am weitesten verbreiteten Zahlungsmethoden zu etablieren.

Weiterlesen

DialogShift, Entwickler von KI-basierten Kommunikationslösungen für die Hotellerie, freut sich, die Einführung der neuen Email AI bekanntzugeben. Diese Erweiterung der bereits erfolgreichen GPT-basierten Chatbots unterstützt Hotelmitarbeitende bei der Email-Kommunikation und steigert somit die Produktivität. Die KI verfügt über hotelspezifisches Wissen und schreibt in Sekundenschnelle Emails in der Tonalität des Hotels und in mehr als 100 Sprachen.

Weiterlesen

Innerhalb des EU-Auslandes fallen keine Roaming-Gebühren an, wenn man mit seinem Handy ein anderes Netz nutzt. Doch je nachdem, wo man sich gerade befindet, kann es dennoch Kostenfallen geben.

Weiterlesen

Der DEHOGA Bayern warnt Mitglieder und Partner vor einer Sicherheitslücke. Scheinbar ist ein Mail-Konto gehackt worden, von dem nun E-Mails versendet wurden, die einen schädlichen Link enthalten.

Weiterlesen

Cyberangriffe bedrohen praktisch alle Unternehmen. Viele Unternehmen überlegen daher, sich gegen das Risiko abzusichern. Was eine solche Versicherung bieten kann und worauf es vor dem Abschluss zu achten gilt, beleuchtet ein neuer Bitkom-Leitfaden.

Weiterlesen