Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Versprechen auf der Firmen-Website, Restaurantbesucher vor Covid-19 zu schützen. Tatsächlich bestand eine potenziell gravierende Schwachstelle für die User. screenshot: foratable.com

Online erfasste Kontaktdaten von Schweizer Restaurant-Gästen waren für Dritte abrufbar

Das Start-up Lunchgate musste bei seinem Online-Reservationssystem «forAtable» mehrere Sicherheitslücken schliessen. Hier sind die Fakten.



Was ist passiert?

Schweizer IT-Sicherheitsexperten haben eine gefährliche Schwachstelle im Online-Reservationssystem «forAtable» entdeckt. Die Webapp dient der Erfassung von Kontaktdaten von Veranstaltungs- und Restaurantgästen, um mögliche Covid-19-Infektionsketten nachverfolgen zu können. Durch die Ausnutzung dieser Schwachstelle sei es möglich gewesen, sämtliche über die Gäste erfassten Daten auszulesen.

Die von der IT-Sicherheitsfirma Modzero aufgedeckte Schwachstelle sei die erste dieser Art, betont das betroffene Unternehmen Lunchgate in einer Stellungnahme.

Gäste können sich bei foratable.com vor dem Besuch des Lokals bequem anmelden und ihre Kontaktdaten hinterlassen, die es laut Gesetz zur Pandemie-Bekämpfung braucht:

Bild

Offenbar wurden Besucher auch danach gefragt, ob sie die SwissCovid-App auf dem Handy nutzen. screenshot: modzero.com

Wie schlimm ist es?

Die Schwachstelle in der Web-Applikation hätte zu gravierenden Datendiebstählen führen können. Hätte.

Da es sich bei den Entdeckern um verantwortungsbewusste Fachleute der Schweizer IT-Sicherheitsfirma Modzero handelt, meldeten sie das Problem der betroffenen Firma und gaben ihr Zeit, die Sicherheitslücke zu schliessen. Am Dienstag nun berichteten die White-Hat-Hacker im Firmen-Blog über ihr Vorgehen und informierten die Medien.

Die IT-Sicherheitsexperten mahnen:

«Die Covid-19-Verordnung des Bundesrates legt fest, dass man die erhobenen Daten zu keinen anderen Zwecken als der Bekämpfung der Covid-19-Epidemie verwenden darf. Tatsächlich sind aber sämtliche Daten ungeschützt im Internet zugänglich: Name, Telefonnummer, Besuchszeit und teilweise die kompletten Adresse.»

Weil die Daten länger als die gesetzlich vorgeschriebenen 14 Tage gespeichert worden seien, hätte dies Kriminellen sogenannte Social-Engineering-Attacken erleichtert, bei denen Opfer dank persönlicher Informationen getäuscht werden.

«Kriminelle wissen genau, wann eine Person wo war, sie haben die Telefonnummer und die Namen der Personen – mehr braucht es nicht, um potentiellen Opfern per Anruf unkluge Handlungen plausibel erscheinen zu lassen.»

Lunchgate dementiert in seiner Stellungnahme gegenüber watson, dass Kundendaten zu lang gespeichert wurden (siehe unten).

Wer ist betroffen?

Gemäss Angaben auf der Firmen-Website zählt Lunchgate über 800 Unternehmen aus der Deutschschweizer Gastronomiebranche zu seinen Kunden.

Lunchgate betreibe seit 2009 das Online-Reservationssystem foratable.com, worüber bisher zehn Millionen Plätze reserviert wurden, berichtete der «Blick» Ende April.

Die betroffene Firma Lunchgate hat watson nun eine ausführliche Stellungnahme zukommen lassen. Darin heisst es:

«Bisher gibt es keine Hinweise, die darauf hindeuten, dass die Schwachstelle von anderer Seite als seitens Modzero bemerkt wurde oder dass Gästedaten durch eine Drittperson runtergeladen wurden.»

Bisher werde der Dienst von rund 900 Betrieben kostenlos genutzt. Rund 200’000 Gästedaten seien erfasst und davon 120’000 Gästedaten bereits wieder gelöscht worden.

Wie funktionierte der Angriff?

Die IT-Sicherheitsexperten von Modzero erklären, es handle sich um eine sogenannte IDOR-Schwachstelle, das Kürzel steht für «Insecure Direct Object Reference». Das sei eine unsichere direkte Zugriffsmöglichkeit auf einen Datensatz – in diesem Fall war es über eine Internetadresse (URL).

Durch einfaches Verändern der Zahlen in der URL war es den Angreifern möglich, fremde Datensätze abzugreifen. So kamen sie an die persönlichen Angaben von Restaurantbesuchern, inklusive Name, Vorname und Handynummer.

Dieses Video dokumentiert den Angriff aufs Online-Reservationssystem:

abspielen

Video: YouTube/modzero

Lunchgate schreibt in seiner Stellungnahme, um die Schwachstellen auszunutzen, sei es erforderlich gewesen, «dass man sich entweder als Gast erfolgreich an einem Tisch registriert hat oder als Restaurant über ein Konto verfügt.»

Die Schwachstellen betrafen:

Hingegen widerspricht das Unternehmen, was die von den IT-Sicherheitsexperten geäusserten «Zweifel am Löschmechanismus» (für die Kundendaten) betrifft. Dies sei keine Schwachstelle, sondern funktioniere, «wie vorgesehen».

Lunchgate versichert:

«Daten, die in der Schweiz erfasst werden, sind für Gastronomen 14 Tage lang zugänglich, mit dem einzigen Zweck, diese im Bedarfsfall den kantonalen Gesundheitsdiensten zu übergeben. Danach werden die Daten aus der Datenbank gelöscht, existieren noch weitere 10 Tage im Backup der gesamten Datenbank und wären nur von Systemadministratoren zugänglich. Danach werden auch die Backups gelöscht.»

Die Erfassung der Gästedaten sei vor allem unter dem Gesichtspunkt des Datenschutzes immer wieder kontrovers in den Medien behandelt worden, so Lunchgate.

Man habe damit rechnen müssen, dass «diverse Hacker und Sicherheitsspezialisten den Service auf die Probe stellen würden», und habe «einen entsprechenden Eskalationsprozess definiert», um eine potentielle Schwachstelle in einem solchen Fall schnellstmöglich beheben zu können.

Konkret habe man im direkten Kontakt mit Modzero sofort reagiert und «sowohl kritische wie auch potentielle Schwachstellen besprochen, analysiert und behoben».

Was nun?

Die Nutzerinnen und Nutzer des Online-Reservationssystems «forAtable» müssen nichts unternehmen. Gemäss Darstellung des Anbieters sind keine Datendiebstähle bekannt. Lunchgate hat die am 3. Juli von den Sicherheitsexperten gemeldeten Schwachstelle bereits behoben (siehe oben).

Die IT-Sicherheitsexperten von Modzero rufen in ihrem Blog-Beitrag bei allen Gastronomiebetreibern in Erinnerung, dass es wichtig sei, die anfallenden Kundendaten regelmässig zu löschen. Abgesehen davon könnten Lokalbetreiber auch wieder zu Papier und Stift greifen, um die Besucherinnen und Besucher datenschutzkonform zu erfassen.

«Vorausgesetzt, jeder Tisch bekommt seinen eigenen Zettel, und keine zu ergänzende Liste. Diese Zettel werden am Ende eines Tages in ein grosses Couvert gesteckt. Auf das Couvert wird das Datum geschrieben, an dem es vernichtet werden soll, also in 14 Tagen. Anschliessend wandert es in die Kiste mit allen anderen Couverts. Und noch bevor ein Mitarbeiter des Restaurants morgens das Kühlaggregat der Zapfanlage in Betrieb nimmt, wirft er alle Couverts mit dem aktuellen Datum in den Schredder.»

Abschliessend mahnen die IT-Sicherheitsexperten:

«Ein systematisches Problem müssen die Firmen und Anbieter solcher Lösungen allerdings selber in den Griff bekommen: Behandelt eure Benutzer*innen nicht wie Beta-Tester. Veröffentlicht doch bitte eure Produkte erst dann, wenn alle notwendigen Funktionen, Datenschutz- und Sicherheitsrichtlinien implementiert sind.»

Quellen

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Die bösartigsten Computer-Attacken aller Zeiten

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

28
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
28Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Antinatalist ⚠ Lockdown-Fan-Club 08.07.2020 06:08
    Highlight Highlight Wenn man auf die Rufnummer von Kevin Meier anruft, ist man mit einem Dienstleister des horizontalen Gewerbes verbunden. Ein Kevin Meier ist dort unbekannt.
  • ulmo 07.07.2020 21:55
    Highlight Highlight Wow ist das peinlich. Immerhin müssen wir uns keinen neuen Namen für das Fiasko ausdenken: Nennen wir es doch einfach "Lunchgate"

    Wer kommt eigentlich heute noch auf die Idee seinem Startup den Suffix "-gate" zu geben 😂: https://de.wikipedia.org/wiki/-gate
  • Damn_it_Norbit 07.07.2020 20:39
    Highlight Highlight Kürzlich hat das Barpersonal in einer Bar in Baden die Kontaktformulare durchgeblättert um den Namen eines weiblichen Gastes in Erfahrung zu bringen. Seither habe ich ernsthafte Zweifel am Schutz der (vor allem weiblichen) Gäste...
    • who cares? 08.07.2020 07:49
      Highlight Highlight Kaum gibt es die Möglichkeiten, kommen die Creeps und Stalker aus ihren Höhlen gekrochen. Leider.
  • Tschowanni 07.07.2020 18:20
    Highlight Highlight Solche Schlagzeilen sind schöne Aussichten in Anbetracht der Tatsache, dass wir unsere Finanztransaktionen und Bezahlung zukünftig ausschliesslich elektronisch durchführen sollen.
  • PHM 07.07.2020 18:11
    Highlight Highlight Super triviale Schwachstelle, das ist sicher auch schon anderen als nur modzero aufgefallen. Eigentlich bedenklich, dass das heutzutage noch mit einer direct object reference in der URL gehandhabt wurde.

    Früher waren solche IDOR sogar teilweise von Google referenziert. Beispielsweise bei Axis Video Servern... da konnte man einfach den fixen Teil der URL googeln und hat dann abertausende Livekameras gefunden, von denen extrem viele kein Passwort hatten. Aber inzwischen müsste man ja dazugelernt haben... gerade wenn man Personendaten erfasst.
  • techiesg 07.07.2020 17:18
    Highlight Highlight Wir haben auch ein solches Tool entworfen und SEHR lange herumgetüftelt bis wir eine für uns zufriedenstellende Lösung gefunden haben. Bei unserem Tool sind die Einträge so verschlüsselt, dass sie sich nur im Notfall entschlüsseln lassen und auch dann nur als Datenbank-Export — nicht auf einer Webseite anzeigbar.
    Aber so etwas kann man dann halt nicht gratis anbieten - leider...
    • -thomi- 08.07.2020 06:53
      Highlight Highlight ...und wie Sie richtig sagen, braucht sowas halt Zeit. Die Sicherheitslücke bei foratable war wohl schon länger da. Vieles wird der Time to Market geopfert.
  • MartinZH 07.07.2020 16:58
    Highlight Highlight Schon peinlich, wenn es ein Unternehmen (wie das Reservationssystem foratable.com) nicht hinbekommt, innerhalb von 3 Monaten Lockdown in aller Ruhe eine sichere Lösung zu programmieren. 👎🙈😂
    • Irene Adler 07.07.2020 19:16
      Highlight Highlight Lockdown dauerte nur 7 Wochen lang, und sie hatten eigentlich nur 1 Woche Zeit, weil am Angang niemand wusste, mit welchen Massnahmen die Restaurants dann wieder öffnen können.

      Aber ja, es ist peinlich, dass die es nicht schaffen.
    • MartinZH 08.07.2020 16:38
      Highlight Highlight @Irene Adler: Sie haben natürlich recht! Es waren lediglich zwei Monate. Habe nicht nachgerechnet. War nur so mein Gefühl, dass sich ein mögliches Geschäftsmodell vor rund drei Monaten abzeichnete, als erste Ideen für Lockerungs-Schritte (mit Konzept und seuchenpolizeiliches Monitoring) herumgeboten worden sind.

      @Everyday Robot: Absolut! In Anbetracht, dass es dieses Unternehmen (sowie ein ähnliches Geschäftsmodell) schon länger gibt, ist es natürlich noch peinlicher... 😉

      War früher vielleicht "cool", wenn man sehen konnte, wer gleichzeitig im Club, Restaurant oder sonstiger Lokalität war.
  • TanookiStormtrooper 07.07.2020 16:52
    Highlight Highlight Darum wäre es mir ja lieber, wenn sie die Daten auf Papier schreiben in einem Ordner abheften und den dann nach 2 Wochen durch den Schredder lassen. Digitale Daten komplett zu löschen ist eigentlich aufwändiger... 🤷‍♂️
    • Zat 07.07.2020 17:59
      Highlight Highlight Ja, aber die Kantonsärzte verlangen die Daten in elektronischer Form, wenn was ist. Zumindest in ZH und von den Clubs. Und zwar deshalb, weil sie nicht erst noch 300 handschriftliche (Fehlerquelle Lesbarkeit) Telefon-Nummern abtippen können, wenn sie soviele Leute innert kürzester Zeit informieren sollten.
      Gilt aber glaubs wie gesagt nur für die Clubs, so hab ichs an der Medienkonf verstanden.
    • DemonCore 07.07.2020 18:52
      Highlight Highlight Ist es nicht. Zufällig mehrfach überschreiben, gibt es sogar als Standardfunktion in gewissen Datensystemen.
  • Maya Eldorado 07.07.2020 16:19
    Highlight Highlight So, so. Alles ist ja so sicher im Internet.
    Ich lasse mein Natel, seit es ein smartphone ist sehr oft zuhause, wenn ich weg gehe. Braucht ja nicht jeder zu wissen wohin ih gehe und was ich mache, ohne dass ich das explizit mitteilen will.
    GPS hab ich bald nach dem Kauf des smartphones deinstalliert. Das würd ich nie, nie mehr installieren. Das ist mir zu suspekt. Ich komme auch so klar, etwas zu suchen.
    Und klar wird versprochen, dass von der covid-app niemand darauf zugreift. Das glaube ich.
    Aber bei Google und Co bin ich alles andere als gläubig.
    • Maya Eldorado 07.07.2020 16:34
      Highlight Highlight Mit den Blitzern hab ich gerechnet.
    • TanookiStormtrooper 07.07.2020 16:49
      Highlight Highlight GPS deinstalliert? 🤣
      Da musst du schon dein Smartphone öffnen und den Chip rausnehmen. Wenn du willst, dass Google/Apple nicht wissen wo du bist, dann solltest du komplett auf das Smartphone und Internet verzichten und am besten in einem Zelt im Wald hausen. 🤷‍♂️
    • Pollo Loco 07.07.2020 16:53
      Highlight Highlight @Maya Eldorado
      Ich verstehe deine Aufregung resp. Paranoia nicht, wenn man deinen Namen googlet kommt man auf ein Facebook Account mit dem selbem Iconbild wie du ihn hier hast. Zusätzlich ist dein richtiger Name ersichtlich (ich bin kein Stalker, ging alles innerhalb von 2min!) Schön und gut macht man sich Gedanken zum Datenschutz, aber dann auch konsequent und ohne genörgel, wenn mal was durchsickert.
    Weitere Antworten anzeigen
  • äti 07.07.2020 16:08
    Highlight Highlight Wenn ich in die Beiz gehe, weiss das sowieso jedermann der will. Sogar was ich konsumiere.
  • Nora Flückiger 07.07.2020 15:48
    Highlight Highlight Wer hätte es gedacht? War ja nur eine Frage der Zeit, bis sowas öffentlich wird!
  • Erklärbart. 07.07.2020 15:45
    Highlight Highlight Danke dass ihr darüber berichtet und gute Arbeit von Modzero.

    Corona Skeptikern wird dasn natürlich in die Hände spielen und die werden sich weiterhin weigern die APP zu installieren. Ich höre sie schon: Nicht mal Restaurants kann man mehr buchen und da soll eine Überwachungsapp sicher sein?????

    Chillt es - so lange es Firmen wie Modzero gibt ist alles gut. Und ja, ihr Skeptiker gebt mit anderen Apps weit mehr Preis als mit/bei der Covid App.
    • -thomi- 08.07.2020 07:17
      Highlight Highlight All die glühenden App-Fanatiker hier sollten auch mal chillen! Das Argument, dass andere Apps weit mehr preisgeben, ist auch ziemlich absurd. Bei täglich um die 100 neuen Fällen ist die Wahrscheinlichkeit, dass die App irgendwie anschlägt und damit irgendeinen Nutzen bringt, relativ klein. Insbesondere dann, wenn man sich weiterhin an all die anderen Massnahmen hält. App und Maskenpflicht waren erst da, als wir die Fallzahlen ganz einfach runtergekriegt haben. Die App macht uns nicht sicherer. Abstand, Hände waschen und zu Hause bleiben schon.

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur …

Artikel lesen
Link zum Artikel