Sicherheitslücke: „Daten-Gate“ bei Lunchgate

| Technologie Technologie

Auch in der Schweiz müssen Gäste im Restaurant ihre Daten angeben. Experten haben jetzt eine massive Sicherheitslücke in der Corona-Datenbank der Lösung des Anbieters Lunchgate entdeckt. Kontaktdaten von Restaurantbesuchern waren im Netz frei abrufbar, wie «IT Magazine» berichtet.

Die Forscher von Modzero kommentieren in einem Blog-Beitrag: „Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen.“

Hatten sich Gäste bei einem Restaurant oder einer Bar auf diese Art und Weise registriert, bekamen sie am Ende des Vorgangs eine Bestätigungsseite von Lunchgate angezeigt. Diese Seite hatte eine individuelle URL, die in der Adresszeile zu sehen war. Am Ende der URL fand sich eine ID-Nummer. Hierbei unterlief den Entwicklern der Webapp jedoch ein kapitaler Fehler.

Denn diese ID-Nummer wurde einfach fortlaufend vergeben. Man musste in der Adresszeile des Browsers nur eine kleinere ID-Nummer manuell einfügen und bekam nun die Bestätigungsseite mit den Kontaktdaten von früheren Gästen zu sehen. Mindestens der volle Name sowie die Telefonnummer von völligen Fremden waren nun einsehbar. Modzero zeigt in einem Video, wie sich die Sicherheitslücke ausnutzen ließ:
 

Ein bösartiger Akteur hätte diese Abfrage automatisieren und so zahlreiche persönliche Daten etwa für Phishing-Angriffe abgreifen können. Modzero hat Lunchgate vorab über die Sicherheitslücke informiert, diese sei am 3. Juli geschlossen worden, so Lunchgate gegenüber Golem. Laut dem Unternehmen gäbe es keine Hinweise darauf, dass die Lücke von jemand anderem als Modzero entdeckt und ausgenutzt worden wäre.

Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf. Diesen Vorwurf weist Lunchgate zurück. Scheinbar ältere Einträge hätten sich auf Reservierungen bezogen, die in der Zukunft lagen, sodass noch keine 14 Tage seit dem Gaststättenbesuch vergangen gewesen sei. Modzero empfiehlt Restaurantbetreibern, doch lieber Stift und Papier zur Festhaltung der Kontaktdaten zu verwenden.

 

Zurück

Vielleicht auch interessant

Manna Air Delivery hat eine neue Partnerschaft mit Uber angekündigt und will sein Drohnenliefernetz in den USA und Europa ausbauen. Bereits heute arbeitet das Unternehmen mit Plattformen wie Deliveroo, Just Eat und DoorDash zusammen.

Weiterlesen
Anzeige

Fragmentierte IT-Systeme kosten Hotels in der DACH-Region jährlich bis zu 51 Arbeitstage pro Mitarbeiter:in und bis zu 21 Prozent ihrer Betriebskosten. Der Prozess dorthin ist unbewusst und schleichend. Es gibt jedoch sechs Warnsignale, die zeigen, ob ein Haus an veralteten Lösungen festhält und: Quick Wins für einen schlanken Veränderungsprozess.

Weiterlesen

Mews und SiteMinder haben eine integrierte Vertriebslösung für Hotels vorgestellt. Gleichzeitig präsentierte Mews weitere neue Anwendungen für Preisgestaltung, Gästekommunikation, Automatisierung und Finanzprozesse innerhalb einer gemeinsamen Plattform.

Weiterlesen

Mews und Uber planen die Integration von Fahrtenbuchungen in Hotelsoftware. Hotels sollen Uber-Fahrten künftig direkt über die Plattform von Mews verwalten und abrechnen können.

Weiterlesen

Starbucks hat die Nutzung eines Programms auf KI-Basis zur automatisierten Erfassung von Warenbeständen in den USA wieder eingestellt. Berichten zufolge wies die Anwendung erhebliche Mängel auf.

Weiterlesen

Google erweitert seine KI-Suche um neue Buchungs-, Zahlungs- und Informationsfunktionen. Branchenberichte sehen mögliche Folgen für Sichtbarkeit, Vertrieb und Reichweite von Hotels und Reiseanbietern.

Weiterlesen

Eine neue Smart-Host-Studie unter 87 Hotels aus der DACH-Region zeigt deutliche Unterschiede zwischen strategischen Zielen und operativer Umsetzung bei Gästebindung, Zusatzumsätzen und Direktbuchungen.

Weiterlesen

Eine repräsentative Umfrage im Auftrag von a&o zeigt, dass viele europäische Reisende Künstliche Intelligenz als Unterstützung bei der Buchung befürworten. Vollständig automatisierte Buchungsprozesse werden hingegen mehrheitlich abgelehnt.

Weiterlesen

Google erweitert sein Universal Commerce Protocol um Hotelbuchungen via KI. Während OTAs tief eingebunden bleiben und große Ketten direkte Schnittstellen nutzen wollen, wächst der Druck auf eigenständige Hotels: Ihre Sichtbarkeit hängt künftig wohl davon ab, wie präzise KI-Agenten die eigenen Datenstrukturen auslesen können.

Weiterlesen

Haften Chatbot-Betreiber für unwahre KI-Aussagen? Ja, sagt das OLG Hamm in einem aktuellen Urteil zu einer Klinik. Auch das LG Hamburg hatte im Zusammenhang mit Chatbot Grok schon so entschieden.

Weiterlesen