Wie der Chaos Computer Club auf seiner Website bekannt gegeben hat, haben Hacker des CCC mehrere Schwachstellen in einem Cloud-System des Anbieters Gastronovi entdeckt, das gerade bei gastronomischen Betrieben weit verbreitet ist. Den Mitgliedern des CCC war es möglich, sensible Datensätze aus Corona-Listen und Reservierungen einzusehen, die teilweise ein Jahrzehnt zurücklagen.
Insgesamt konnte auf 87.313 Corona-Kontakte von 180 verschiedenen Restaurants, die das cloudbasierte System nutzen, zugegriffen werden. Neben persönlichen Daten von Besuchern und Besucherinnen speichert das System ebenfalls Kassenumsätze und Bestellungen. Der CCC konnte auf 4,8 Millionen Personendatensätze aus mehr als 5,4 Millionen separaten Reservierungen zugreifen.
Die entdeckten Schwachstellen waren umfangreich. Unter anderem ist ein mangelndes Rechte-Management aufgefallen. Durch eine fehlerhafte Prüfung von Zugriffsrechten war es möglich, dass Personen ohne besondere Rechte auf sensible Daten zugreifen konnten. Als Beispiel nennt der CCC die Möglichkeit, dass ein Restaurant auf die Corona-Daten eines anderen Restaurants zugreifen konnte. Auch die analysierten Passwörter zeigten, dass es scheinbar keinerlei Passwortrichtlinien gebe. Wie sonst sind unsichere Passwörter wie „1234“ zu erklären?
CCC gegen digitale Corona-Listen
Der Chaos Computer Club rät deshalb von digitalen Corona-Listen ab. Der Sprecher des CCC, Linus Neumann, sagte dazu: „Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen.“
Das Problem liege darin, dass viele Cloud-Services ihre bestehenden Systeme lediglich modifiziert hätten, ohne sich mit den nötigen Sicherheits- und Datenschutzanforderungen auseinanderzusetzen. Und das kann böse Folgen haben. „Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten“, so Neumann.
Die Sicherheitslücken wurden umgehend dem Betreiber das Cloud-Systems gemeldet. Der Anbieter bestätigte bereits alle gemeldeten Lücken und kümmert sich nun um die Schließung.
Zum Weiterlesen:
August 28, 2020 at 09:16PM
https://ift.tt/3lpEsMl
CCC deckt Sicherheitslücke in Software zur Nachverfolgung von Restaurantbesuchen auf - t3n Magazin
https://ift.tt/3dWqhta
Software
Bagikan Berita Ini
0 Response to "CCC deckt Sicherheitslücke in Software zur Nachverfolgung von Restaurantbesuchen auf - t3n Magazin"
Post a Comment