Digital
Schweiz

«forAtable»: Online-Kontaktdaten von Restaurant-Gästen waren einsehbar

Versprechen auf der Firmen-Website, Restaurantbesucher vor Covid-19 zu schützen. Tatsächlich bestand eine potenziell gravierende Schwachstelle für die User.
Versprechen auf der Firmen-Website, Restaurantbesucher vor Covid-19 zu schützen. Tatsächlich bestand eine potenziell gravierende Schwachstelle für die User.screenshot: foratable.com

Online erfasste Kontaktdaten von Schweizer Restaurant-Gästen waren für Dritte abrufbar

Das Start-up Lunchgate musste bei seinem Online-Reservationssystem «forAtable» mehrere Sicherheitslücken schliessen. Hier sind die Fakten.
07.07.2020, 15:3907.07.2020, 16:24
Mehr «Digital»

Was ist passiert?

Schweizer IT-Sicherheitsexperten haben eine gefährliche Schwachstelle im Online-Reservationssystem «forAtable» entdeckt. Die Webapp dient der Erfassung von Kontaktdaten von Veranstaltungs- und Restaurantgästen, um mögliche Covid-19-Infektionsketten nachverfolgen zu können. Durch die Ausnutzung dieser Schwachstelle sei es möglich gewesen, sämtliche über die Gäste erfassten Daten auszulesen.

Die von der IT-Sicherheitsfirma Modzero aufgedeckte Schwachstelle sei die erste dieser Art, betont das betroffene Unternehmen Lunchgate in einer Stellungnahme.

Gäste können sich bei foratable.com vor dem Besuch des Lokals bequem anmelden und ihre Kontaktdaten hinterlassen, die es laut Gesetz zur Pandemie-Bekämpfung braucht:

Offenbar wurden Besucher auch danach gefragt, ob sie die SwissCovid-App auf dem Handy nutzen.
Offenbar wurden Besucher auch danach gefragt, ob sie die SwissCovid-App auf dem Handy nutzen.screenshot: modzero.com

Wie schlimm ist es?

Die Schwachstelle in der Web-Applikation hätte zu gravierenden Datendiebstählen führen können. Hätte.

Da es sich bei den Entdeckern um verantwortungsbewusste Fachleute der Schweizer IT-Sicherheitsfirma Modzero handelt, meldeten sie das Problem der betroffenen Firma und gaben ihr Zeit, die Sicherheitslücke zu schliessen. Am Dienstag nun berichteten die White-Hat-Hacker im Firmen-Blog über ihr Vorgehen und informierten die Medien.

Die IT-Sicherheitsexperten mahnen:

«Die Covid-19-Verordnung des Bundesrates legt fest, dass man die erhobenen Daten zu keinen anderen Zwecken als der Bekämpfung der Covid-19-Epidemie verwenden darf. Tatsächlich sind aber sämtliche Daten ungeschützt im Internet zugänglich: Name, Telefonnummer, Besuchszeit und teilweise die kompletten Adresse.»

Weil die Daten länger als die gesetzlich vorgeschriebenen 14 Tage gespeichert worden seien, hätte dies Kriminellen sogenannte Social-Engineering-Attacken erleichtert, bei denen Opfer dank persönlicher Informationen getäuscht werden.

«Kriminelle wissen genau, wann eine Person wo war, sie haben die Telefonnummer und die Namen der Personen – mehr braucht es nicht, um potentiellen Opfern per Anruf unkluge Handlungen plausibel erscheinen zu lassen.»

Lunchgate dementiert in seiner Stellungnahme gegenüber watson, dass Kundendaten zu lang gespeichert wurden (siehe unten).

Wer ist betroffen?

Gemäss Angaben auf der Firmen-Website zählt Lunchgate über 800 Unternehmen aus der Deutschschweizer Gastronomiebranche zu seinen Kunden.

Lunchgate betreibe seit 2009 das Online-Reservationssystem foratable.com, worüber bisher zehn Millionen Plätze reserviert wurden, berichtete der «Blick» Ende April.

Die betroffene Firma Lunchgate hat watson nun eine ausführliche Stellungnahme zukommen lassen. Darin heisst es:

«Bisher gibt es keine Hinweise, die darauf hindeuten, dass die Schwachstelle von anderer Seite als seitens Modzero bemerkt wurde oder dass Gästedaten durch eine Drittperson runtergeladen wurden.»

Bisher werde der Dienst von rund 900 Betrieben kostenlos genutzt. Rund 200’000 Gästedaten seien erfasst und davon 120’000 Gästedaten bereits wieder gelöscht worden.

Wie funktionierte der Angriff?

Die IT-Sicherheitsexperten von Modzero erklären, es handle sich um eine sogenannte IDOR-Schwachstelle, das Kürzel steht für «Insecure Direct Object Reference». Das sei eine unsichere direkte Zugriffsmöglichkeit auf einen Datensatz – in diesem Fall war es über eine Internetadresse (URL).

Durch einfaches Verändern der Zahlen in der URL war es den Angreifern möglich, fremde Datensätze abzugreifen. So kamen sie an die persönlichen Angaben von Restaurantbesuchern, inklusive Name, Vorname und Handynummer.

Dieses Video dokumentiert den Angriff aufs Online-Reservationssystem:

Lunchgate schreibt in seiner Stellungnahme, um die Schwachstellen auszunutzen, sei es erforderlich gewesen, «dass man sich entweder als Gast erfolgreich an einem Tisch registriert hat oder als Restaurant über ein Konto verfügt.»

Die Schwachstellen betrafen:

  • «Zugriffsmöglichkeit auf fremde Gästedaten, nachdem man sich als Gast registriert hat (kritische Schwachstelle, die behoben worden ist)»
  • «Zugriffsmöglichkeit auf fremde Gästedaten, nachdem man sich als Restaurant registriert hat (kritische Schwachstelle, die behoben worden ist)»

Hingegen widerspricht das Unternehmen, was die von den IT-Sicherheitsexperten geäusserten «Zweifel am Löschmechanismus» (für die Kundendaten) betrifft. Dies sei keine Schwachstelle, sondern funktioniere, «wie vorgesehen».

Lunchgate versichert:

«Daten, die in der Schweiz erfasst werden, sind für Gastronomen 14 Tage lang zugänglich, mit dem einzigen Zweck, diese im Bedarfsfall den kantonalen Gesundheitsdiensten zu übergeben. Danach werden die Daten aus der Datenbank gelöscht, existieren noch weitere 10 Tage im Backup der gesamten Datenbank und wären nur von Systemadministratoren zugänglich. Danach werden auch die Backups gelöscht.»

Die Erfassung der Gästedaten sei vor allem unter dem Gesichtspunkt des Datenschutzes immer wieder kontrovers in den Medien behandelt worden, so Lunchgate.

Man habe damit rechnen müssen, dass «diverse Hacker und Sicherheitsspezialisten den Service auf die Probe stellen würden», und habe «einen entsprechenden Eskalationsprozess definiert», um eine potentielle Schwachstelle in einem solchen Fall schnellstmöglich beheben zu können.

Konkret habe man im direkten Kontakt mit Modzero sofort reagiert und «sowohl kritische wie auch potentielle Schwachstellen besprochen, analysiert und behoben».

Was nun?

Die Nutzerinnen und Nutzer des Online-Reservationssystems «forAtable» müssen nichts unternehmen. Gemäss Darstellung des Anbieters sind keine Datendiebstähle bekannt. Lunchgate hat die am 3. Juli von den Sicherheitsexperten gemeldeten Schwachstelle bereits behoben (siehe oben).

Die IT-Sicherheitsexperten von Modzero rufen in ihrem Blog-Beitrag bei allen Gastronomiebetreibern in Erinnerung, dass es wichtig sei, die anfallenden Kundendaten regelmässig zu löschen. Abgesehen davon könnten Lokalbetreiber auch wieder zu Papier und Stift greifen, um die Besucherinnen und Besucher datenschutzkonform zu erfassen.

«Vorausgesetzt, jeder Tisch bekommt seinen eigenen Zettel, und keine zu ergänzende Liste. Diese Zettel werden am Ende eines Tages in ein grosses Couvert gesteckt. Auf das Couvert wird das Datum geschrieben, an dem es vernichtet werden soll, also in 14 Tagen. Anschliessend wandert es in die Kiste mit allen anderen Couverts. Und noch bevor ein Mitarbeiter des Restaurants morgens das Kühlaggregat der Zapfanlage in Betrieb nimmt, wirft er alle Couverts mit dem aktuellen Datum in den Schredder.»

Abschliessend mahnen die IT-Sicherheitsexperten:

«Ein systematisches Problem müssen die Firmen und Anbieter solcher Lösungen allerdings selber in den Griff bekommen: Behandelt eure Benutzer*innen nicht wie Beta-Tester. Veröffentlicht doch bitte eure Produkte erst dann, wenn alle notwendigen Funktionen, Datenschutz- und Sicherheitsrichtlinien implementiert sind.»

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Zuviel am Handy? Dr. Watson weiss, woran du leidest
Video: watson
Das könnte dich auch noch interessieren:
24 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
TanookiStormtrooper
07.07.2020 16:52registriert August 2015
Darum wäre es mir ja lieber, wenn sie die Daten auf Papier schreiben in einem Ordner abheften und den dann nach 2 Wochen durch den Schredder lassen. Digitale Daten komplett zu löschen ist eigentlich aufwändiger... 🤷‍♂️
10610
Melden
Zum Kommentar
avatar
techiesg
07.07.2020 17:18registriert März 2018
Wir haben auch ein solches Tool entworfen und SEHR lange herumgetüftelt bis wir eine für uns zufriedenstellende Lösung gefunden haben. Bei unserem Tool sind die Einträge so verschlüsselt, dass sie sich nur im Notfall entschlüsseln lassen und auch dann nur als Datenbank-Export — nicht auf einer Webseite anzeigbar.
Aber so etwas kann man dann halt nicht gratis anbieten - leider...
826
Melden
Zum Kommentar
avatar
PHM
07.07.2020 18:11registriert Oktober 2014
Super triviale Schwachstelle, das ist sicher auch schon anderen als nur modzero aufgefallen. Eigentlich bedenklich, dass das heutzutage noch mit einer direct object reference in der URL gehandhabt wurde.

Früher waren solche IDOR sogar teilweise von Google referenziert. Beispielsweise bei Axis Video Servern... da konnte man einfach den fixen Teil der URL googeln und hat dann abertausende Livekameras gefunden, von denen extrem viele kein Passwort hatten. Aber inzwischen müsste man ja dazugelernt haben... gerade wenn man Personendaten erfasst.
391
Melden
Zum Kommentar
24
Höhere Lohnbeiträge für Finanzierung der 13. AHV-Rente – SP ist erfreut, FDP und SVP toben
Der Bundesrat will die 13. AHV-Rente ab 2026 auszahlen. Für die Finanzierung schlägt er eine Variante nur mit höheren Lohnbeiträgen und eine zweite Variante mit mehr Lohnbeiträgen und höherer Mehrwertsteuer vor. Zudem will er den Anteil des Bundes an die AHV senken.

Die von Gewerkschaften lancierte Volksinitiative für eine 13. AHV-Rente nahmen Volk und Stände am 3. März an, mit deutlichem Mehr. Die Erhöhung wird nach Angaben des Bundesrates vom Mittwoch im Jahr der Einführung 4,2 Milliarden Franken kosten. Fünf Jahre später dürften es dann rund 5 Milliarden Franken sein.

Zur Story