Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Versprechen auf der Firmen-Website, Restaurantbesucher vor Covid-19 zu schützen. Tatsächlich bestand eine potenziell gravierende Schwachstelle für die User. screenshot: foratable.com

Online erfasste Kontaktdaten von Schweizer Restaurant-Gästen waren für Dritte abrufbar

Das Start-up Lunchgate musste bei seinem Online-Reservationssystem «forAtable» mehrere Sicherheitslücken schliessen. Hier sind die Fakten.



Was ist passiert?

Schweizer IT-Sicherheitsexperten haben eine gefährliche Schwachstelle im Online-Reservationssystem «forAtable» entdeckt. Die Webapp dient der Erfassung von Kontaktdaten von Veranstaltungs- und Restaurantgästen, um mögliche Covid-19-Infektionsketten nachverfolgen zu können. Durch die Ausnutzung dieser Schwachstelle sei es möglich gewesen, sämtliche über die Gäste erfassten Daten auszulesen.

Die von der IT-Sicherheitsfirma Modzero aufgedeckte Schwachstelle sei die erste dieser Art, betont das betroffene Unternehmen Lunchgate in einer Stellungnahme.

Gäste können sich bei foratable.com vor dem Besuch des Lokals bequem anmelden und ihre Kontaktdaten hinterlassen, die es laut Gesetz zur Pandemie-Bekämpfung braucht:

Bild

Offenbar wurden Besucher auch danach gefragt, ob sie die SwissCovid-App auf dem Handy nutzen. screenshot: modzero.com

Wie schlimm ist es?

Die Schwachstelle in der Web-Applikation hätte zu gravierenden Datendiebstählen führen können. Hätte.

Da es sich bei den Entdeckern um verantwortungsbewusste Fachleute der Schweizer IT-Sicherheitsfirma Modzero handelt, meldeten sie das Problem der betroffenen Firma und gaben ihr Zeit, die Sicherheitslücke zu schliessen. Am Dienstag nun berichteten die White-Hat-Hacker im Firmen-Blog über ihr Vorgehen und informierten die Medien.

Die IT-Sicherheitsexperten mahnen:

«Die Covid-19-Verordnung des Bundesrates legt fest, dass man die erhobenen Daten zu keinen anderen Zwecken als der Bekämpfung der Covid-19-Epidemie verwenden darf. Tatsächlich sind aber sämtliche Daten ungeschützt im Internet zugänglich: Name, Telefonnummer, Besuchszeit und teilweise die kompletten Adresse.»

Weil die Daten länger als die gesetzlich vorgeschriebenen 14 Tage gespeichert worden seien, hätte dies Kriminellen sogenannte Social-Engineering-Attacken erleichtert, bei denen Opfer dank persönlicher Informationen getäuscht werden.

«Kriminelle wissen genau, wann eine Person wo war, sie haben die Telefonnummer und die Namen der Personen – mehr braucht es nicht, um potentiellen Opfern per Anruf unkluge Handlungen plausibel erscheinen zu lassen.»

Lunchgate dementiert in seiner Stellungnahme gegenüber watson, dass Kundendaten zu lang gespeichert wurden (siehe unten).

Wer ist betroffen?

Gemäss Angaben auf der Firmen-Website zählt Lunchgate über 800 Unternehmen aus der Deutschschweizer Gastronomiebranche zu seinen Kunden.

Lunchgate betreibe seit 2009 das Online-Reservationssystem foratable.com, worüber bisher zehn Millionen Plätze reserviert wurden, berichtete der «Blick» Ende April.

Die betroffene Firma Lunchgate hat watson nun eine ausführliche Stellungnahme zukommen lassen. Darin heisst es:

«Bisher gibt es keine Hinweise, die darauf hindeuten, dass die Schwachstelle von anderer Seite als seitens Modzero bemerkt wurde oder dass Gästedaten durch eine Drittperson runtergeladen wurden.»

Bisher werde der Dienst von rund 900 Betrieben kostenlos genutzt. Rund 200’000 Gästedaten seien erfasst und davon 120’000 Gästedaten bereits wieder gelöscht worden.

Wie funktionierte der Angriff?

Die IT-Sicherheitsexperten von Modzero erklären, es handle sich um eine sogenannte IDOR-Schwachstelle, das Kürzel steht für «Insecure Direct Object Reference». Das sei eine unsichere direkte Zugriffsmöglichkeit auf einen Datensatz – in diesem Fall war es über eine Internetadresse (URL).

Durch einfaches Verändern der Zahlen in der URL war es den Angreifern möglich, fremde Datensätze abzugreifen. So kamen sie an die persönlichen Angaben von Restaurantbesuchern, inklusive Name, Vorname und Handynummer.

Dieses Video dokumentiert den Angriff aufs Online-Reservationssystem:

abspielen

Video: YouTube/modzero

Lunchgate schreibt in seiner Stellungnahme, um die Schwachstellen auszunutzen, sei es erforderlich gewesen, «dass man sich entweder als Gast erfolgreich an einem Tisch registriert hat oder als Restaurant über ein Konto verfügt.»

Die Schwachstellen betrafen:

Hingegen widerspricht das Unternehmen, was die von den IT-Sicherheitsexperten geäusserten «Zweifel am Löschmechanismus» (für die Kundendaten) betrifft. Dies sei keine Schwachstelle, sondern funktioniere, «wie vorgesehen».

Lunchgate versichert:

«Daten, die in der Schweiz erfasst werden, sind für Gastronomen 14 Tage lang zugänglich, mit dem einzigen Zweck, diese im Bedarfsfall den kantonalen Gesundheitsdiensten zu übergeben. Danach werden die Daten aus der Datenbank gelöscht, existieren noch weitere 10 Tage im Backup der gesamten Datenbank und wären nur von Systemadministratoren zugänglich. Danach werden auch die Backups gelöscht.»

Die Erfassung der Gästedaten sei vor allem unter dem Gesichtspunkt des Datenschutzes immer wieder kontrovers in den Medien behandelt worden, so Lunchgate.

Man habe damit rechnen müssen, dass «diverse Hacker und Sicherheitsspezialisten den Service auf die Probe stellen würden», und habe «einen entsprechenden Eskalationsprozess definiert», um eine potentielle Schwachstelle in einem solchen Fall schnellstmöglich beheben zu können.

Konkret habe man im direkten Kontakt mit Modzero sofort reagiert und «sowohl kritische wie auch potentielle Schwachstellen besprochen, analysiert und behoben».

Was nun?

Die Nutzerinnen und Nutzer des Online-Reservationssystems «forAtable» müssen nichts unternehmen. Gemäss Darstellung des Anbieters sind keine Datendiebstähle bekannt. Lunchgate hat die am 3. Juli von den Sicherheitsexperten gemeldeten Schwachstelle bereits behoben (siehe oben).

Die IT-Sicherheitsexperten von Modzero rufen in ihrem Blog-Beitrag bei allen Gastronomiebetreibern in Erinnerung, dass es wichtig sei, die anfallenden Kundendaten regelmässig zu löschen. Abgesehen davon könnten Lokalbetreiber auch wieder zu Papier und Stift greifen, um die Besucherinnen und Besucher datenschutzkonform zu erfassen.

«Vorausgesetzt, jeder Tisch bekommt seinen eigenen Zettel, und keine zu ergänzende Liste. Diese Zettel werden am Ende eines Tages in ein grosses Couvert gesteckt. Auf das Couvert wird das Datum geschrieben, an dem es vernichtet werden soll, also in 14 Tagen. Anschliessend wandert es in die Kiste mit allen anderen Couverts. Und noch bevor ein Mitarbeiter des Restaurants morgens das Kühlaggregat der Zapfanlage in Betrieb nimmt, wirft er alle Couverts mit dem aktuellen Datum in den Schredder.»

Abschliessend mahnen die IT-Sicherheitsexperten:

«Ein systematisches Problem müssen die Firmen und Anbieter solcher Lösungen allerdings selber in den Griff bekommen: Behandelt eure Benutzer*innen nicht wie Beta-Tester. Veröffentlicht doch bitte eure Produkte erst dann, wenn alle notwendigen Funktionen, Datenschutz- und Sicherheitsrichtlinien implementiert sind.»

Quellen

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Die bösartigsten Computer-Attacken aller Zeiten

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

28 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
TanookiStormtrooper
07.07.2020 16:52registriert August 2015
Darum wäre es mir ja lieber, wenn sie die Daten auf Papier schreiben in einem Ordner abheften und den dann nach 2 Wochen durch den Schredder lassen. Digitale Daten komplett zu löschen ist eigentlich aufwändiger... 🤷‍♂️
10610
Melden
Zum Kommentar
MartinZH
07.07.2020 16:58registriert May 2019
Schon peinlich, wenn es ein Unternehmen (wie das Reservationssystem foratable.com) nicht hinbekommt, innerhalb von 3 Monaten Lockdown in aller Ruhe eine sichere Lösung zu programmieren. 👎🙈😂
1039
Melden
Zum Kommentar
techiesg
07.07.2020 17:18registriert March 2018
Wir haben auch ein solches Tool entworfen und SEHR lange herumgetüftelt bis wir eine für uns zufriedenstellende Lösung gefunden haben. Bei unserem Tool sind die Einträge so verschlüsselt, dass sie sich nur im Notfall entschlüsseln lassen und auch dann nur als Datenbank-Export — nicht auf einer Webseite anzeigbar.
Aber so etwas kann man dann halt nicht gratis anbieten - leider...
826
Melden
Zum Kommentar
28

Schweizer Sektenführer Sasek von Anonymous brutal vorgeführt

Netzaktivisten haben die Schweizer OCG-Sekte gehackt. Veröffentlichte Dokumente zeigen, welche Spenden die Sekte von ihren Mitgliedern erhält. Sektenführer Ivo Sasek macht derweil mit Panikvideos gegen Corona-Schutzmassnahmen mobil.

Wie lukrativ ist es Sektenführer zu sein? Dank des Hacker-Kollektivs Anonymous kennen wir nun die ungefähre Antwort. Die Netzaktivisten haben in den letzten Wochen und Monaten mehrere Server der Schweizer Sekte Organische Christus-Generation (OCG) von Sektenführer Ivo Sasek gehackt und tausende E-Mails, Dokumente und insgesamt rund 300 GB an Dateien erbeutet, ausgewertet und Teile davon veröffentlicht. Darunter Tabellen, die fein säuberlich die Spenden der Sektenmitglieder aufführen. Wir …

Artikel lesen
Link zum Artikel