News

Kontaktlisten etlicher Gastronomiebetriebe im Internet abrufbar

Die digitalen Corona-Kontaktlisten des Unternehmens Lunchgate waren frei im Internet abrufbar. Betroffen sind insgesamt 900 Betriebe, die das Tool nutzen. Mittlerweile ist das Datenleck Lunchgate zufolge behoben.

Modzero entdeckte das Datenleck

Nicht nur in Deutschland, sondern u.a. auch in der Schweiz müssen Gastronomiebetriebe im Rahmen der Pandemiebewältigung die Kontaktdaten ihrer Gäste erfassen. Viele Betriebe setzen hierbei nicht mehr auf eine klassische Papierliste, sondern auf digitale Anwendungen. Das aus Zürich stammende Startup Lunchgate gehört hier mit seinem Reservierungsdienst Foratable zu den Anbietern.

Entdeckt wurde das Datenleck bei diesem Dienst durch Sven Faßbender, Joël Gunzenreiner und Thorsten Schröder, die für die Sicherheitsfirma Modzero arbeiten. Gunzenreiner besuchte Ende Juni eine Bar, die das Lunchgate-Tool zur Kontakterfassung nutzte. Hierbei fiel ihm auf, dass die ID der Bestätigungsseite auffällig wirkte. Tatsächlich stellte sich heraus, dass es sich bei dieser ID nicht um eine zufällig generierte Nummer, sondern um eine fortlaufende handelte. Durch einfache Veränderung der ID um wenige Zahlen konnte so auf die Daten anderer Gäste zugegriffen werden – ohne jeglichen Schutz. Zu den Daten zählen neben dem Namen auch die Telefonnummer, die Besuchszeit und teilweise die komplette Adresse der Besucherinnen und Besucher. Die Modzero-Mitarbeiter konnten überdies herausfinden, dass die Daten – anders als vorgegeben – nicht nach vierzehn Tagen gelöscht wurden. Sie wurden vielmehr weitere zehn Tage lang in einem Backup aufbewahrt.

Missbrauchsmöglichkeiten: Vom Bewegungsprofil bis zu Social Engineering

In einem Blogeintrag verweisen die drei Modzero-Mitarbeiter auf die Angriffsmöglichkeiten, die ein solches Datenleck bietet. So machen sie etwa darauf aufmerksam, dass es – sofern Zugriff auf die gesamte Datenbank hergestellt werden kann – möglich sei, Bewegungsprofile zu erstellen. Darüber hinaus verweisen sie darauf, dass derartige Besuchsdaten Social-Engineering-Angriffsmöglichkeiten böten: Wer weiß, wann eine bestimmte Person mit wem wo war, kann Macht über sie ausüben und das Wissen zu Betrugs- oder Erpressungszwecken nutzen.

Lunchgate nahm bereits Stellung zu den Problemen. Noch am Tag, an welchem Modzero Lunchgate über das Datenleck informierte, teilte Lunchgate mit, das Problem behoben zu haben. Insgesamt seien Daten von 200.000 Gästen erfasst worden. 120.000 dieser Daten seien bereits entfernt. Anzeichen für einen missbräuchlichen Zugriff auf die Daten konnte Lunchgate eigenen Angaben zufolge nicht feststellen.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Schreibe einen Kommentar

Schaltfläche "Zurück zum Anfang"