Sicherheitslücke: „Daten-Gate“ bei Lunchgate

| Technologie Technologie

Auch in der Schweiz müssen Gäste im Restaurant ihre Daten angeben. Experten haben jetzt eine massive Sicherheitslücke in der Corona-Datenbank der Lösung des Anbieters Lunchgate entdeckt. Kontaktdaten von Restaurantbesuchern waren im Netz frei abrufbar, wie «IT Magazine» berichtet.

Die Forscher von Modzero kommentieren in einem Blog-Beitrag: „Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen.“

Hatten sich Gäste bei einem Restaurant oder einer Bar auf diese Art und Weise registriert, bekamen sie am Ende des Vorgangs eine Bestätigungsseite von Lunchgate angezeigt. Diese Seite hatte eine individuelle URL, die in der Adresszeile zu sehen war. Am Ende der URL fand sich eine ID-Nummer. Hierbei unterlief den Entwicklern der Webapp jedoch ein kapitaler Fehler.

Denn diese ID-Nummer wurde einfach fortlaufend vergeben. Man musste in der Adresszeile des Browsers nur eine kleinere ID-Nummer manuell einfügen und bekam nun die Bestätigungsseite mit den Kontaktdaten von früheren Gästen zu sehen. Mindestens der volle Name sowie die Telefonnummer von völligen Fremden waren nun einsehbar. Modzero zeigt in einem Video, wie sich die Sicherheitslücke ausnutzen ließ:
 

Ein bösartiger Akteur hätte diese Abfrage automatisieren und so zahlreiche persönliche Daten etwa für Phishing-Angriffe abgreifen können. Modzero hat Lunchgate vorab über die Sicherheitslücke informiert, diese sei am 3. Juli geschlossen worden, so Lunchgate gegenüber Golem. Laut dem Unternehmen gäbe es keine Hinweise darauf, dass die Lücke von jemand anderem als Modzero entdeckt und ausgenutzt worden wäre.

Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf. Diesen Vorwurf weist Lunchgate zurück. Scheinbar ältere Einträge hätten sich auf Reservierungen bezogen, die in der Zukunft lagen, sodass noch keine 14 Tage seit dem Gaststättenbesuch vergangen gewesen sei. Modzero empfiehlt Restaurantbetreibern, doch lieber Stift und Papier zur Festhaltung der Kontaktdaten zu verwenden.

 

Zurück

Vielleicht auch interessant

Im analogen Leben zahlen viele Menschen in Deutschland weiterhin mit Bargeld. Trotzdem nimmt sein Einsatz ab, denn immer mehr Produkte und Dienstleistungen werden im Internet gekauft. Die Bezahlung erfolgt überwiegend auf dem elektronischen Weg. Neben Paypal gehören die Kredit- und Debitkarten zu den beliebtesten Zahlungsmitteln.

Weiterlesen

E-Mails schreiben, Briefe verfassen, Bilder erstellen: ChatGPT und andere Tools haben Künstliche Intelligenz auch für Verbraucherinnen und Verbraucher ohne besondere Vorkenntnisse nutzbar und in der Breite bekannt gemacht.

Weiterlesen

Die Access Group hat die Übernahme von Guestline bekannt gegeben. Guestline ist ein führender Anbieter von Vertriebs- und Verwaltungsplattformen für Hotels und bietet eine Reihe von Cloud-Lösungen, mit denen Hoteliers alle Aspekte ihres Geschäfts an einem Ort verwalten können.

Weiterlesen

Das interne Kommunikationssystem von Booking.com erweise sich laut Hotelverband zunehmend als Sicherheitsrisiko und Achillesferse der Branche. Das System scheine seit Anfang dieses Jahres gleich mehrfach als Einfallstor für Betrügereien genutzt worden zu sein.

Weiterlesen

In allen Hotels der Novum Hospitality optimiert ein Chatbot künftig die Gästekommunikation. Die von DialogShift entwickelte KI unterstützt die Reservierungsabteilungen sowie den Service bei der Beantwortung eingehender Gästeanfragen.

Weiterlesen

Das Wetter ist schön und das Essen ist gut.“ – Grüße aus dem Urlaub gehören für die meisten fest zur Auszeit dazu. Dabei überbringen die deutschen Sommerurlauberinnen und -urlauber diese am häufigsten per Telefon und Messenger.

Weiterlesen

Viele Twitter-Nutzer sind seit der Übernahme des Dienstes durch Elon Musk unzufrieden. Nun wird sich zeigen, ob Mark Zuckerberg mit seiner App Threads eine Alternative etablieren kann. In der EU ist die Twitter-Kopie allerdings vorerst nicht verfügbar.

Weiterlesen
Pressemitteilung

TrustYou setzt mit mit der Veröffentlichung von responseAI neue Maßstäbe im Bewertungsmanagement. Die neue Funktion nutzt künstliche Intelligenz, um automatische Antworten auf Gästebewertungen zu generieren. Durch die neue Technologie soll der Aufwand, der für die Erstellung einzigartiger Antworten erforderlich, um bis zu 70 Prozent reduziert werden.

Weiterlesen

Checkpoint Systems hat seine Zusammenarbeit mit McDonald's Frankreich bekanntgegeben. Ziel des Projekts ist die Installation von RFID-Hardware und -Software, um die Abläufe rund um Mehrwegverpackungen zu optimieren.

Weiterlesen

Booking.com hat einen neuen KI-Reiseplaner angekündigt. Der „AI Trip Planner“ wird am 28. Juni 2023 für eine Auswahl von US-Reisenden eingeführt. Reisende können dem Tool sowohl allgemeine reiserelevante Fragen stellen als auch spezifischere Abfragen durchführen und dann buchen.

Weiterlesen