DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Versprechen auf der Firmen-Website, Restaurantbesucher vor Covid-19 zu schützen. Tatsächlich bestand eine potenziell gravierende Schwachstelle für die User. screenshot: foratable.com

Online erfasste Kontaktdaten von Schweizer Restaurant-Gästen waren für Dritte abrufbar

Das Start-up Lunchgate musste bei seinem Online-Reservationssystem «forAtable» mehrere Sicherheitslücken schliessen. Hier sind die Fakten.



Was ist passiert?

Schweizer IT-Sicherheitsexperten haben eine gefährliche Schwachstelle im Online-Reservationssystem «forAtable» entdeckt. Die Webapp dient der Erfassung von Kontaktdaten von Veranstaltungs- und Restaurantgästen, um mögliche Covid-19-Infektionsketten nachverfolgen zu können. Durch die Ausnutzung dieser Schwachstelle sei es möglich gewesen, sämtliche über die Gäste erfassten Daten auszulesen.

Die von der IT-Sicherheitsfirma Modzero aufgedeckte Schwachstelle sei die erste dieser Art, betont das betroffene Unternehmen Lunchgate in einer Stellungnahme.

Gäste können sich bei foratable.com vor dem Besuch des Lokals bequem anmelden und ihre Kontaktdaten hinterlassen, die es laut Gesetz zur Pandemie-Bekämpfung braucht:

Bild

Offenbar wurden Besucher auch danach gefragt, ob sie die SwissCovid-App auf dem Handy nutzen. screenshot: modzero.com

Wie schlimm ist es?

Die Schwachstelle in der Web-Applikation hätte zu gravierenden Datendiebstählen führen können. Hätte.

Da es sich bei den Entdeckern um verantwortungsbewusste Fachleute der Schweizer IT-Sicherheitsfirma Modzero handelt, meldeten sie das Problem der betroffenen Firma und gaben ihr Zeit, die Sicherheitslücke zu schliessen. Am Dienstag nun berichteten die White-Hat-Hacker im Firmen-Blog über ihr Vorgehen und informierten die Medien.

Die IT-Sicherheitsexperten mahnen:

«Die Covid-19-Verordnung des Bundesrates legt fest, dass man die erhobenen Daten zu keinen anderen Zwecken als der Bekämpfung der Covid-19-Epidemie verwenden darf. Tatsächlich sind aber sämtliche Daten ungeschützt im Internet zugänglich: Name, Telefonnummer, Besuchszeit und teilweise die kompletten Adresse.»

Weil die Daten länger als die gesetzlich vorgeschriebenen 14 Tage gespeichert worden seien, hätte dies Kriminellen sogenannte Social-Engineering-Attacken erleichtert, bei denen Opfer dank persönlicher Informationen getäuscht werden.

«Kriminelle wissen genau, wann eine Person wo war, sie haben die Telefonnummer und die Namen der Personen – mehr braucht es nicht, um potentiellen Opfern per Anruf unkluge Handlungen plausibel erscheinen zu lassen.»

Lunchgate dementiert in seiner Stellungnahme gegenüber watson, dass Kundendaten zu lang gespeichert wurden (siehe unten).

Wer ist betroffen?

Gemäss Angaben auf der Firmen-Website zählt Lunchgate über 800 Unternehmen aus der Deutschschweizer Gastronomiebranche zu seinen Kunden.

Lunchgate betreibe seit 2009 das Online-Reservationssystem foratable.com, worüber bisher zehn Millionen Plätze reserviert wurden, berichtete der «Blick» Ende April.

Die betroffene Firma Lunchgate hat watson nun eine ausführliche Stellungnahme zukommen lassen. Darin heisst es:

«Bisher gibt es keine Hinweise, die darauf hindeuten, dass die Schwachstelle von anderer Seite als seitens Modzero bemerkt wurde oder dass Gästedaten durch eine Drittperson runtergeladen wurden.»

Bisher werde der Dienst von rund 900 Betrieben kostenlos genutzt. Rund 200’000 Gästedaten seien erfasst und davon 120’000 Gästedaten bereits wieder gelöscht worden.

Wie funktionierte der Angriff?

Die IT-Sicherheitsexperten von Modzero erklären, es handle sich um eine sogenannte IDOR-Schwachstelle, das Kürzel steht für «Insecure Direct Object Reference». Das sei eine unsichere direkte Zugriffsmöglichkeit auf einen Datensatz – in diesem Fall war es über eine Internetadresse (URL).

Durch einfaches Verändern der Zahlen in der URL war es den Angreifern möglich, fremde Datensätze abzugreifen. So kamen sie an die persönlichen Angaben von Restaurantbesuchern, inklusive Name, Vorname und Handynummer.

Dieses Video dokumentiert den Angriff aufs Online-Reservationssystem:

abspielen

Video: YouTube/modzero

Lunchgate schreibt in seiner Stellungnahme, um die Schwachstellen auszunutzen, sei es erforderlich gewesen, «dass man sich entweder als Gast erfolgreich an einem Tisch registriert hat oder als Restaurant über ein Konto verfügt.»

Die Schwachstellen betrafen:

Hingegen widerspricht das Unternehmen, was die von den IT-Sicherheitsexperten geäusserten «Zweifel am Löschmechanismus» (für die Kundendaten) betrifft. Dies sei keine Schwachstelle, sondern funktioniere, «wie vorgesehen».

Lunchgate versichert:

«Daten, die in der Schweiz erfasst werden, sind für Gastronomen 14 Tage lang zugänglich, mit dem einzigen Zweck, diese im Bedarfsfall den kantonalen Gesundheitsdiensten zu übergeben. Danach werden die Daten aus der Datenbank gelöscht, existieren noch weitere 10 Tage im Backup der gesamten Datenbank und wären nur von Systemadministratoren zugänglich. Danach werden auch die Backups gelöscht.»

Die Erfassung der Gästedaten sei vor allem unter dem Gesichtspunkt des Datenschutzes immer wieder kontrovers in den Medien behandelt worden, so Lunchgate.

Man habe damit rechnen müssen, dass «diverse Hacker und Sicherheitsspezialisten den Service auf die Probe stellen würden», und habe «einen entsprechenden Eskalationsprozess definiert», um eine potentielle Schwachstelle in einem solchen Fall schnellstmöglich beheben zu können.

Konkret habe man im direkten Kontakt mit Modzero sofort reagiert und «sowohl kritische wie auch potentielle Schwachstellen besprochen, analysiert und behoben».

Was nun?

Die Nutzerinnen und Nutzer des Online-Reservationssystems «forAtable» müssen nichts unternehmen. Gemäss Darstellung des Anbieters sind keine Datendiebstähle bekannt. Lunchgate hat die am 3. Juli von den Sicherheitsexperten gemeldeten Schwachstelle bereits behoben (siehe oben).

Die IT-Sicherheitsexperten von Modzero rufen in ihrem Blog-Beitrag bei allen Gastronomiebetreibern in Erinnerung, dass es wichtig sei, die anfallenden Kundendaten regelmässig zu löschen. Abgesehen davon könnten Lokalbetreiber auch wieder zu Papier und Stift greifen, um die Besucherinnen und Besucher datenschutzkonform zu erfassen.

«Vorausgesetzt, jeder Tisch bekommt seinen eigenen Zettel, und keine zu ergänzende Liste. Diese Zettel werden am Ende eines Tages in ein grosses Couvert gesteckt. Auf das Couvert wird das Datum geschrieben, an dem es vernichtet werden soll, also in 14 Tagen. Anschliessend wandert es in die Kiste mit allen anderen Couverts. Und noch bevor ein Mitarbeiter des Restaurants morgens das Kühlaggregat der Zapfanlage in Betrieb nimmt, wirft er alle Couverts mit dem aktuellen Datum in den Schredder.»

Abschliessend mahnen die IT-Sicherheitsexperten:

«Ein systematisches Problem müssen die Firmen und Anbieter solcher Lösungen allerdings selber in den Griff bekommen: Behandelt eure Benutzer*innen nicht wie Beta-Tester. Veröffentlicht doch bitte eure Produkte erst dann, wenn alle notwendigen Funktionen, Datenschutz- und Sicherheitsrichtlinien implementiert sind.»

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

Zu viel am Handy? Dr. Watson weiss, woran du leidest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel