Security-Debakel in Schweizer Corona-Datenbank von Lunchgate

Security-Debakel in Schweizer Corona-Datenbank von Lunchgate

(Quelle: Modzero)
7. Juli 2020 - In der Corona-Datenbank des Reservations-Tools von Lunchgate klaffte eine massive Lücke. Die Datensätze von Gästen waren offen im Netz verfügbar.
Im Rahmen der Meldepflicht für Gäste in Schweizer Restaurants wurde eine schwerwiegende Sicherheitslücke in der Corona-Datenbank der Schweizer Lösung von Lunchgate gefunden. Seit den Lockerungen der Corona-Massnahmen sind Schweizer Restaurants verpflichtet, die Daten ihrer Gäste aufzunehmen, diese beinhalten in der Regel den Namen und die Telefonnummer des Gastes. Die Daten wurden anfangs wohl vielerorts als Papier abgelegt, bis das Zürcher Start-up Lunchgate ein entsprechendes Zusatzmodul für das bestehende Reservations-Tool entwickelte. In dieser haben die Security-Experten des Schweizer Cyber-Security-Spezialisten Modzero nun eine massive Sicherheitslücke entdeckt.

Für jeden Gast erstellt Lunchgate eine Bestätigungsseite mit Name, Telefonnummer und einer ID in der URL. Der Fehler: Die Datensätze wurden mit einer sich addierenden ID versehen, statt einer zufällig generierten. Damit konnte mit der einfachen Änderung der ID in der Adresszeile ein anderer Datensatz, respektive alle Datensätze eingesehen werden. Während ein Name noch keine eindeutige Zuordnung zulässt, ist dies mit der einzigartigen Telefonnummer jedoch möglich. Die Forscher von Modzero kommentieren im entsprechenden Blogbeitrag: "Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen."
Der Gast wird registriert.
Die Bestätigungsbenachrichtigung bestätigt die Löschung des Eintrages in 14 Tagen.
Mit dem Ändern der ID in der URL konnten fremde Datensätze eingesehen werden.

Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf.

Modzero hat Lunchgate mit dem Fehler konfrontiert, dieser sei mittlerweile behoben. Zu den nicht beziehungsweise zu spät gelöschten Einträgen kommentierte Lunchgate, dass diesbezüglich keine Probleme bestünden. (win)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER