Datenleck: Corona-Kontaktliste ungeschützt im Internet abrufbar

Ein Datenleck bei der digitalen Corona-Kontaktliste von Lunchgate hat den Abruf der persönlichen Daten aller Gäste ermöglicht.

Artikel veröffentlicht am ,
Digitale Corona-Kontaktliste verrät, wer mit wem im Restaurant war.
Digitale Corona-Kontaktliste verrät, wer mit wem im Restaurant war. (Bild: Free-Photos/Pixabay)

Ähnlich wie in Deutschland müssen Restaurants in der Schweiz die Kontaktdaten ihrer Gäste Corona-bedingt erfassen. Das geht nicht nur per Stift und Papier, sondern auch digital, beispielsweise mit dem Tischreservierungsdienst Foratable des Zürcher Startups Lunchgate, das diesen kurzerhand um eine Covid-19-Tracing-Funktion ergänzt hat. Doch dort konnte nicht nur der Restaurantbesitzer die Kontaktdaten einsehen, sondern prinzipiell jeder, der eine URL in einen Browser tippen kann. Entdeckt hatten die nicht existenten Sicherheitsvorkehrungen Sven Faßbender, Joël Gunzenreiner und Thorsten Schröder von der Sicherheitsfirma Modzero.

Stellenmarkt
  1. IT Security Engineer (m/w/d)
    Optica Abrechnungszentrum Dr. Güldener GmbH, Stuttgart
  2. IT-Systemadministrator (m/w/d)
    Oberlandesgericht Naumburg Dienststelle Magdeburg, Dessau-Roßlau, Halle (Saale), Magdeburg, Naumburg (Saale), Stendal
Detailsuche

Ende Juni besuchte Gunzenreiner eine Bar, deren Betreiber QR-Codes bei Foratable generiert hatte. Einen solchen musste er scannen, seinen Namen und seine Telefonnummer in eine Webapplikation eintragen und der Datenschutzerklärung zustimmen. Anschließend wurden die Daten an den Server von Lunchgate gesendet und dem Sicherheitsforscher wurde eine Bestätigungsseite mit seinen Daten und dem besuchten Restaurant angezeigt.

Die URL der Bestätigungsseite endet mit der ID 174395. Lunchgate hatte die ID nicht zufällig generiert, sondern aufaddiert. Auch anderweitige Schutzmaßnahmen gab es nicht. Entsprechend konnte sich Gunzenreiner auch die Daten der Gäste mit den IDs 174396 und 174394 anzeigen lassen - und die aller anderen Gäste, die in den vergangenen Wochen den Tracing-Dienst von Lunchgate verwendet hatten. Name, Telefonnummer, Besuchszeit und teilweise die komplette Adresse der Gäste waren für alle einsehbar im Internet. Ein Datenleck.

Das Restaurant beziehungsweise die Bar konnten sie mit diesem Trick jedoch nicht auslesen: Angezeigt wurden nur die Daten der Besucher. Später gelang es den Sicherheitsforschern jedoch, auch die Daten der Gäste eines Restaurants einzusehen, inklusive des besuchten Tisches. Details hierzu wurden bisher nicht veröffentlicht.

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

"Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen", schreiben die Sicherheitsforscher in einem Blogeintrag. Wer mit wem ein Restaurant oder eine Kneipe besucht hatte, gar am gleichen Tisch saß.

Die Daten dürften auch für Kriminelle interessant sein: Sie "wissen genau, wann eine Person wo war, sie haben die Telefonnummer und die Namen der Personen - mehr braucht es nicht, um potenziellen Opfern per Anruf unkluge Handlungen plausibel erscheinen zu lassen. Denn genau so funktioniert Social Engineering. Enkeltrick reloaded", schreiben die Sicherheitsforscher.

Nach 14 Tagen wird gelöscht - außer aus dem Backup

Laut der Covid-19-Verordnung des Schweizerischen Bundesrates dürfen die erfassten Kontaktdaten zu keinem anderen Zweck verwendet werden und müssen nach 14 Tagen gelöscht werden. Doch die Sicherheitsforscher konnten am 2. Juli 2020 die Daten eines Restaurantbesuches vom 12. Juni 2020 einsehen.

Bei dem 21 Tage alten Eintrag handle es sich um eine Reservierung für der 25. Juni, erklärt Yves Latour von Lunchgate auf Nachfrage von Golem.de. Denn auch die Reservierungen, die über die Plattform abgewickelt werden, würden in der Corona-Tracing-Datenbank gespeichert. Über die von Modzero entdeckte Schwachstelle sei auch der Zugriff auf die Reservierungsdaten möglich gewesen.

Zudem werden die Daten weitere 10 Tage in einem Backup der gesamten Datenbank vorgehalten. Das widerspricht der grün hinterlegten Ankündigung beim Registrieren per QR-Code, dass die Daten "in 14 Tagen wieder gelöscht" würden. Auf die Daten könnten die Gäste zwar nicht mehr zugreifen, aber die Systemadministratoren hätten prinzipiell weiterhin Zugriff und auch die Polizei könnte die Daten anfragen, erklärt Latour. In Hamburg hatte die Polizei beispielsweise kürzlich die Kontaktliste eines Restaurants angefordert.

Am 3. Juli habe Modzero Lunchgate auf das Problem hingewiesen. Noch am selben Abend will die Firma laut einer Stellungnahme, die Golem.de vorliegt, das Problem behoben haben. Insgesamt nutzen das Tool 900 Betriebe. Rund 200.000 Gäste seien bisher erfasst worden, die Daten von 120.000 seien bereits wieder entfernt worden, teilt Lunchgate mit. Ein Anzeichen für einen Missbrauch der Schwachstelle gebe es derzeit nicht.

Besser mit Stift und Papier

Derweil geben die Sicherheitsforscher in ihrem Blog Tipps, wie es technisch besser gemacht werden kann. Die einfachste Lösung seien jedoch Stift und Papier, dann können Angreifer so oder so nicht die Daten aller Restaurants abgreifen, schreiben die Sicherheitsforscher.

Doch auch die Papiervariante hat ein Problem: Eine lange Liste, auf der sich jeden Tag alle Gäste eintragen, widerspricht zumindest dem Datenschutzrecht, das die Gäste die Daten gegenseitig einsehen können oder gar abfotografieren könnten. Doch auch hierfür gibt es eine Lösung: ein oder zwei Einträge pro Blatt.

Nachtrag vom 7. Juli 2020, 16:00 Uhr

Wir haben den Artikel um eine Stellungnahme von Lunchgate ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


smonkey 10. Jul 2020

Das habe ich auch nicht geschrieben. Ich habe ohnehin nie von DER Polizei geschrieben...

quineloe 09. Jul 2020

oder müssen wir jetzt Lunchgategate sagen?

Brent_SST 08. Jul 2020

Naja. Nur weil diese Woche das Interesse groß ist, bedeutet das nicht, dass es so...

Oekotex 08. Jul 2020

... oder weil man Zeugen sucht. https://www.golem.de/news/hamburg-polizei-nutzt-corona...

Auspuffanlage 08. Jul 2020

Das was Micha geschrieben hat oder das worauf Micha sich bezieht?



Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /