Sicherheitslücke: „Daten-Gate“ bei Lunchgate

| Technologie Technologie

Auch in der Schweiz müssen Gäste im Restaurant ihre Daten angeben. Experten haben jetzt eine massive Sicherheitslücke in der Corona-Datenbank der Lösung des Anbieters Lunchgate entdeckt. Kontaktdaten von Restaurantbesuchern waren im Netz frei abrufbar, wie «IT Magazine» berichtet.

Die Forscher von Modzero kommentieren in einem Blog-Beitrag: „Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen.“

Hatten sich Gäste bei einem Restaurant oder einer Bar auf diese Art und Weise registriert, bekamen sie am Ende des Vorgangs eine Bestätigungsseite von Lunchgate angezeigt. Diese Seite hatte eine individuelle URL, die in der Adresszeile zu sehen war. Am Ende der URL fand sich eine ID-Nummer. Hierbei unterlief den Entwicklern der Webapp jedoch ein kapitaler Fehler.

Denn diese ID-Nummer wurde einfach fortlaufend vergeben. Man musste in der Adresszeile des Browsers nur eine kleinere ID-Nummer manuell einfügen und bekam nun die Bestätigungsseite mit den Kontaktdaten von früheren Gästen zu sehen. Mindestens der volle Name sowie die Telefonnummer von völligen Fremden waren nun einsehbar. Modzero zeigt in einem Video, wie sich die Sicherheitslücke ausnutzen ließ:
 

Ein bösartiger Akteur hätte diese Abfrage automatisieren und so zahlreiche persönliche Daten etwa für Phishing-Angriffe abgreifen können. Modzero hat Lunchgate vorab über die Sicherheitslücke informiert, diese sei am 3. Juli geschlossen worden, so Lunchgate gegenüber Golem. Laut dem Unternehmen gäbe es keine Hinweise darauf, dass die Lücke von jemand anderem als Modzero entdeckt und ausgenutzt worden wäre.

Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf. Diesen Vorwurf weist Lunchgate zurück. Scheinbar ältere Einträge hätten sich auf Reservierungen bezogen, die in der Zukunft lagen, sodass noch keine 14 Tage seit dem Gaststättenbesuch vergangen gewesen sei. Modzero empfiehlt Restaurantbetreibern, doch lieber Stift und Papier zur Festhaltung der Kontaktdaten zu verwenden.

 

Zurück

Vielleicht auch interessant

Für die deutsche Wirtschaft steht Elon Musk vor allem für eines: große Verunsicherung. Laut einer repräsentativen Befragung unter 602 Unternehmen aller Branchen sind die Vorbehalte deutlich: 63 Prozent halten Musk für gefährlich.

Weiterlesen

Seit 2025 ist Carsten Ripkens zweiter Geschäftsführer der Gastro-MIS GmbH und verantwortet die Bereiche Marketing und Vertrieb. Gemeinsam mit seinem Team treibt er die Weiterentwicklung der digitalen Plattform LINA voran – und setzt dabei auch auf künstliche Intelligenz. Warum LINA AI gerade jetzt ein echter Gamechanger in der Gastronomie ist, wie LINA Gastro-Betriebe konkret entlastet und was in Zukunft noch alles kommt, erklärt er im Interview.

Weiterlesen

Ein eklatanter Sicherheitsmangel auf einer von McDonald's genutzten Bewerbungsplattform hat die persönlichen Daten von Millionen Jobsuchender gefährdet. Nach 30 Minuten hatten zwei Sicherheitsforscher vollen Zugriff auf praktisch jede Bewerbung, die jemals bei McDonald's eingereicht wurde.

Weiterlesen

Die Digitalisierung hat das Gastgewerbe längst erreicht. Doch inmitten all der Kassensysteme, Apps und Smart Devices zeigt sich ein tieferer Wandel. Es geht nicht mehr nur um Tempo oder Kostenersparnis, sondern um ein neues Verhältnis zwischen Mensch, Maschine und Gast. Automatisierte Service-Workflows sind dabei kein Selbstzweck. Sie eröffnen Freiräume. Nicht nur für die Unternehmen, sondern auch für jene, die tagtäglich die Beziehung zum Gast gestalten.

Weiterlesen

Der Blackfoot Beach in Köln verwandelte sich am Donnerstag zum zweiten Mal in einen Treffpunkt der deutschen Hotellerie. Das Hotelrizon-Festival versammelte bei strahlendem Sonnenschein und sommerlichen Temperaturen mehr als 200 Hoteliers, Technologieanbieter und Vordenker, um gemeinsam über die aktuellen Fragen der Branche zu diskutieren.

Weiterlesen
Pressemitteilung

 IDeaS, ein SAS-Unternehmen und weltweit führender Anbieter von Revenue-Management-Software sowie -Dienstleistungen für die Hotellerie, hat eine strategische Partnerschaft mit dem Münchner Beratungsunternehmen berner+becker vereinbart. berner +becker bietet outgesourctes Revenue-Management für Hotels und gehört zu den größten Unternehmen seiner Art in der DACH-Region.

Weiterlesen
Pressemitteilung

Die neue Open API better.integrations von Betterspace vernetzt in Bürogebäuden, Kommunen, Krankenhäusern, Pflegeheimen, Hotels und anderen Nichtwohngebäuden auf einfache Weise digitale Daten. Bislang getrennte Systeme wie Energiemanagement, Raumverwaltung sowie Buchungssysteme lassen sich mit wenigen Schritten zu einer effizienten Einheit zusammenführen.

Weiterlesen

Anstatt sich auf die klassische Google-Stichwortsuche zu verlassen, erhalten potenzielle Gäste zunehmend personalisierte Empfehlungen, die auf maschinellem Lernen, Echtzeitdaten und generativer KI basieren. Für Hoteliers bedeutet dies einen Paradigmenwechsel.

Weiterlesen
Pressemitteilung

Die Hotel-Tech Branche feiert dieses Jahr in der Tiroler Hauptstadt Innsbruck. Matthias Trenkwalder und sein Team beim Revenue Management System RateBoard feiern 2025 das 10-jährige Jubiläum und veröffentlichen zum Geburtstag das innovative Benchmarking-Feature für die Ferienhotellerie.

Weiterlesen
Pressemitteilung

Was, wenn ein System komplexe Probleme in Echtzeit analysieren, fundierte Entscheidungen treffen und echte Entlastung für Teams schaffen könnte? Diese Frage stellt das exklusive Event THE ANSWER. ONLY 42 WILL KNOW. am 12. August 2025 in Leipzig und verspricht nicht weniger als den Blick auf das "Next Big Thing" der Branche.

Weiterlesen