Datenleck: Corona-Kontaktliste ungeschützt im Internet abrufbar

Ein Datenleck bei der digitalen Corona-Kontaktliste von Lunchgate hat den Abruf der persönlichen Daten aller Gäste ermöglicht.

Artikel veröffentlicht am ,
Digitale Corona-Kontaktliste verrät, wer mit wem im Restaurant war.
Digitale Corona-Kontaktliste verrät, wer mit wem im Restaurant war. (Bild: Free-Photos/Pixabay)

Ähnlich wie in Deutschland müssen Restaurants in der Schweiz die Kontaktdaten ihrer Gäste Corona-bedingt erfassen. Das geht nicht nur per Stift und Papier, sondern auch digital, beispielsweise mit dem Tischreservierungsdienst Foratable des Zürcher Startups Lunchgate, das diesen kurzerhand um eine Covid-19-Tracing-Funktion ergänzt hat. Doch dort konnte nicht nur der Restaurantbesitzer die Kontaktdaten einsehen, sondern prinzipiell jeder, der eine URL in einen Browser tippen kann. Entdeckt hatten die nicht existenten Sicherheitsvorkehrungen Sven Faßbender, Joël Gunzenreiner und Thorsten Schröder von der Sicherheitsfirma Modzero.

Stellenmarkt
  1. SAP Job als FICO Berater (m/w/x)
    über duerenhoff GmbH, Hannover
  2. Data Scientist (m/w/d)
    Kreissparkasse Ravensburg, Ravensburg
Detailsuche

Ende Juni besuchte Gunzenreiner eine Bar, deren Betreiber QR-Codes bei Foratable generiert hatte. Einen solchen musste er scannen, seinen Namen und seine Telefonnummer in eine Webapplikation eintragen und der Datenschutzerklärung zustimmen. Anschließend wurden die Daten an den Server von Lunchgate gesendet und dem Sicherheitsforscher wurde eine Bestätigungsseite mit seinen Daten und dem besuchten Restaurant angezeigt.

Die URL der Bestätigungsseite endet mit der ID 174395. Lunchgate hatte die ID nicht zufällig generiert, sondern aufaddiert. Auch anderweitige Schutzmaßnahmen gab es nicht. Entsprechend konnte sich Gunzenreiner auch die Daten der Gäste mit den IDs 174396 und 174394 anzeigen lassen - und die aller anderen Gäste, die in den vergangenen Wochen den Tracing-Dienst von Lunchgate verwendet hatten. Name, Telefonnummer, Besuchszeit und teilweise die komplette Adresse der Gäste waren für alle einsehbar im Internet. Ein Datenleck.

Das Restaurant beziehungsweise die Bar konnten sie mit diesem Trick jedoch nicht auslesen: Angezeigt wurden nur die Daten der Besucher. Später gelang es den Sicherheitsforschern jedoch, auch die Daten der Gäste eines Restaurants einzusehen, inklusive des besuchten Tisches. Details hierzu wurden bisher nicht veröffentlicht.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
Weitere IT-Trainings

"Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen", schreiben die Sicherheitsforscher in einem Blogeintrag. Wer mit wem ein Restaurant oder eine Kneipe besucht hatte, gar am gleichen Tisch saß.

Die Daten dürften auch für Kriminelle interessant sein: Sie "wissen genau, wann eine Person wo war, sie haben die Telefonnummer und die Namen der Personen - mehr braucht es nicht, um potenziellen Opfern per Anruf unkluge Handlungen plausibel erscheinen zu lassen. Denn genau so funktioniert Social Engineering. Enkeltrick reloaded", schreiben die Sicherheitsforscher.

Nach 14 Tagen wird gelöscht - außer aus dem Backup

Laut der Covid-19-Verordnung des Schweizerischen Bundesrates dürfen die erfassten Kontaktdaten zu keinem anderen Zweck verwendet werden und müssen nach 14 Tagen gelöscht werden. Doch die Sicherheitsforscher konnten am 2. Juli 2020 die Daten eines Restaurantbesuches vom 12. Juni 2020 einsehen.

Bei dem 21 Tage alten Eintrag handle es sich um eine Reservierung für der 25. Juni, erklärt Yves Latour von Lunchgate auf Nachfrage von Golem.de. Denn auch die Reservierungen, die über die Plattform abgewickelt werden, würden in der Corona-Tracing-Datenbank gespeichert. Über die von Modzero entdeckte Schwachstelle sei auch der Zugriff auf die Reservierungsdaten möglich gewesen.

Zudem werden die Daten weitere 10 Tage in einem Backup der gesamten Datenbank vorgehalten. Das widerspricht der grün hinterlegten Ankündigung beim Registrieren per QR-Code, dass die Daten "in 14 Tagen wieder gelöscht" würden. Auf die Daten könnten die Gäste zwar nicht mehr zugreifen, aber die Systemadministratoren hätten prinzipiell weiterhin Zugriff und auch die Polizei könnte die Daten anfragen, erklärt Latour. In Hamburg hatte die Polizei beispielsweise kürzlich die Kontaktliste eines Restaurants angefordert.

Am 3. Juli habe Modzero Lunchgate auf das Problem hingewiesen. Noch am selben Abend will die Firma laut einer Stellungnahme, die Golem.de vorliegt, das Problem behoben haben. Insgesamt nutzen das Tool 900 Betriebe. Rund 200.000 Gäste seien bisher erfasst worden, die Daten von 120.000 seien bereits wieder entfernt worden, teilt Lunchgate mit. Ein Anzeichen für einen Missbrauch der Schwachstelle gebe es derzeit nicht.

Besser mit Stift und Papier

Derweil geben die Sicherheitsforscher in ihrem Blog Tipps, wie es technisch besser gemacht werden kann. Die einfachste Lösung seien jedoch Stift und Papier, dann können Angreifer so oder so nicht die Daten aller Restaurants abgreifen, schreiben die Sicherheitsforscher.

Doch auch die Papiervariante hat ein Problem: Eine lange Liste, auf der sich jeden Tag alle Gäste eintragen, widerspricht zumindest dem Datenschutzrecht, das die Gäste die Daten gegenseitig einsehen können oder gar abfotografieren könnten. Doch auch hierfür gibt es eine Lösung: ein oder zwei Einträge pro Blatt.

Nachtrag vom 7. Juli 2020, 16:00 Uhr

Wir haben den Artikel um eine Stellungnahme von Lunchgate ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


smonkey 10. Jul 2020

Das habe ich auch nicht geschrieben. Ich habe ohnehin nie von DER Polizei geschrieben...

quineloe 09. Jul 2020

oder müssen wir jetzt Lunchgategate sagen?

Brent_SST 08. Jul 2020

Naja. Nur weil diese Woche das Interesse groß ist, bedeutet das nicht, dass es so...

Oekotex 08. Jul 2020

... oder weil man Zeugen sucht. https://www.golem.de/news/hamburg-polizei-nutzt-corona...



Aktuell auf der Startseite von Golem.de
Core-i-13000
Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
Artikel
  1. Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
    Ukrainekrieg
    Meta stoppt ausgefeilte russische Desinformationskampagne

    Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

  2. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

  3. Ukrainekrieg: Ericsson entlässt seine Beschäftigten in Russland
    Ukrainekrieg
    Ericsson entlässt seine Beschäftigten in Russland

    Der Konzernchef kündigt das Ende des Betriebs in Russland an. Bislang profitierte Ericsson von Ausnahmeregelungen von den Exportsanktionen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /