Sicherheitslücke: „Daten-Gate“ bei Lunchgate

| Technologie Technologie

Auch in der Schweiz müssen Gäste im Restaurant ihre Daten angeben. Experten haben jetzt eine massive Sicherheitslücke in der Corona-Datenbank der Lösung des Anbieters Lunchgate entdeckt. Kontaktdaten von Restaurantbesuchern waren im Netz frei abrufbar, wie «IT Magazine» berichtet.

Die Forscher von Modzero kommentieren in einem Blog-Beitrag: „Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen.“

Hatten sich Gäste bei einem Restaurant oder einer Bar auf diese Art und Weise registriert, bekamen sie am Ende des Vorgangs eine Bestätigungsseite von Lunchgate angezeigt. Diese Seite hatte eine individuelle URL, die in der Adresszeile zu sehen war. Am Ende der URL fand sich eine ID-Nummer. Hierbei unterlief den Entwicklern der Webapp jedoch ein kapitaler Fehler.

Denn diese ID-Nummer wurde einfach fortlaufend vergeben. Man musste in der Adresszeile des Browsers nur eine kleinere ID-Nummer manuell einfügen und bekam nun die Bestätigungsseite mit den Kontaktdaten von früheren Gästen zu sehen. Mindestens der volle Name sowie die Telefonnummer von völligen Fremden waren nun einsehbar. Modzero zeigt in einem Video, wie sich die Sicherheitslücke ausnutzen ließ:
 

Ein bösartiger Akteur hätte diese Abfrage automatisieren und so zahlreiche persönliche Daten etwa für Phishing-Angriffe abgreifen können. Modzero hat Lunchgate vorab über die Sicherheitslücke informiert, diese sei am 3. Juli geschlossen worden, so Lunchgate gegenüber Golem. Laut dem Unternehmen gäbe es keine Hinweise darauf, dass die Lücke von jemand anderem als Modzero entdeckt und ausgenutzt worden wäre.

Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf. Diesen Vorwurf weist Lunchgate zurück. Scheinbar ältere Einträge hätten sich auf Reservierungen bezogen, die in der Zukunft lagen, sodass noch keine 14 Tage seit dem Gaststättenbesuch vergangen gewesen sei. Modzero empfiehlt Restaurantbetreibern, doch lieber Stift und Papier zur Festhaltung der Kontaktdaten zu verwenden.

 

Zurück

Vielleicht auch interessant

Der finnische Lieferdienst Wolt öffnet in Wien seine Plattform und erweitert sein Angebot um die neue Dienstleistung Wolt Drive. Damit stellt das Unternehmen seine Logistik ab sofort auch anderen Unternehmen zur Verfügung.

Weiterlesen

Nutzer können dem Chatbot Gemini den Zugriff auf andere Dienste des Internetkonzerns erlauben - etwa auf das Gmail-Postfach. Was das bringen soll? Google erklärt das anhand der Planung einer Reise.

Weiterlesen

Gestern erhielten einige Empfänger eine E-Mail von einer HSMA-Mailadresse mit ungewöhnlichem Inhalt. Der Verband bat anschließend darum, die Mail zu ignorieren und NICHT auf den enthaltenen Link zu klicken. Bei dieser Mail handele es sich um Spam.

Weiterlesen

foodservice Digital Restaurant Day - Gastro 4.0, smarte Lösungen, clevere Moves. Beim foodservice Digital Restaurant Day treffen sich Fach- und Führungskräfte aus der Gastronomie, die sich u.a mit Digitalisierung, Technologien, IT oder Online Marketing befassen. 

Weiterlesen

Guestline, die führende Technologieplattform für das Gastgewerbe, ist für ihr Produkt „GuestPay“ bei den Merchant Payment Ecosystem Awards als „innovativste Zahlungslösung“ ausgezeichnet worden.

Weiterlesen

Sicherheitsforscher haben eine Phishing-Kampagne entdeckt, die sich offenbar gezielt an deutsche Metro-Kunden richtet. Demnach verbreiten die Angreifer gefälschte Rechnungsdokumente über Phishing-E-Mails an deutsche Unternehmen aus verschiedenen Branchen. Statt einer echten Rechnung erhalten die Empfänger jedoch eine Schadsoftware.

Weiterlesen
Pressemitteilung

Eine der technologisch fortschrittlichsten Hotelmarken der Welt sagt, wie ihre jüngste Innovation dazu beigetragen hat, die Zahl der Gäste, die einer vollständig digitalen Guest Journey folgen, von 8 auf 80 Prozent zu erhöhen - eine Steigerung von 900 Prozent.

Weiterlesen

Heute kostet ein Produkt weniger, morgen mehr und übermorgen vielleicht wieder weniger. Manchmal schwanken die Preise auch stündlich oder minütlich: Was einem bei Käufen und Buchungen im Internet überall begegnet, hat seinen Ursprung bei den Airlines.

Weiterlesen

Dutzende Kassenanbieter preisen inzwischen ihre Systeme und buhlen um die Kunden. Aber wer ist der beste Anbieter? Welche Kasse hält, was versprochen wurde? Wer hat den besten Kundenservice? Jetzt 30 Anbieter bei Tageskarte bewerten, Sterne abgeben, kommentieren und neue Erkenntnisse gewinnen…

Weiterlesen

Investoren setzen weiterhin auf die Restaurant-App „Neotaste“. In seiner bisher größten Finanzierungsrunde konnte das Startup aus Osnabrück weitere 15,1 Millionen Euro einsammeln. Restaurants können bei Neotaste besondere Angebote offerieren. Vermittlungsgebühren entstehen nicht. Gäste zahlen für die Nutzung der App.

Weiterlesen