zurück zum Artikel

Der Chaos Computer Club hat eine Cloud-Plattform für Gastronomen untersucht, mit der auch Corona-Daten erhoben werden: Datenleck vorprogrammiert.

Bei einem Restaurantbesuch wurden Mitglieder des Chaos Computer Club (CCC) dazu aufgefordert, sich in eine digitale Kontaktliste zur Bekämpfung der Coronavirus-Epidemie einzutragen. Den Hackern wurde versichert, die Cloud-Software, mit der die Daten erfasst und gespeichert werden, sei sicher. Das prüften die CCC-Angehörigen – und fanden gravierende Schwachstellen in der Software [1] und konnten sich Zugang zu 87.000 Corona-Datensätzen und 5,4 Millionen gespeicherten Reservierungen verschaffen.

Die üblichen Verdächtigen

Die CCC-Hacker machten sich zunutze, dass die Web-App des Cloud-Betreibers gastronovi die Zugriffsrechte der Benutzer im System nicht effektiv prüfte. So schafften sie es laut CCC "im Handumdrehen", vollen Administrator-Zugriff auf die App zu erlangen. Nun konnten sie sämtliche in dem System gespeicherte Daten einsehen und kopieren. Aber nicht nur die CCC-Mitglieder hätten Daten auslesen können, die sie nicht hätten sehen dürfen. Die CCC-Hacker entdeckten auch, dass das API, mit dem einzelne Restaurants mit dem System interagieren, ebenfalls fehlerhaft programmiert war. So hätten Restaurantbetreiber Zugriff auf Daten anderer Gastronomen erlangen können.

Die Passwörter der einzelnen Benutzer der Plattform waren ebenfalls unzureichend gesichert. Sie konnten einfach über das API abgerufen werden. Dabei handelte es sich nicht nur um Passwort-Hashes, sondern in Fällen von älteren Benutzerkonten zum Teil auch um Klartext-Passwörter. Dem CCC gelang es darüber hinaus, für eine große Anzahl der Hashes die dazugehörigen Passwörter zu rekonstruieren.

Persönliche Daten aus einem Jahrzehnt

Insgesamt hatte der CCC Zugriff auf 87.313 Kontakt-Erhebungen im Rahmen der Coronavirus-Epidemie. Betroffen sind 180 verschiedene Restaurants, die das System für diesen Zweck aktiv nutzen. Außerdem hatten die CCC-Mitglieder Zugriff auf Reservierungen, Umsätze und Bestellungen der im System vorhandenen Restaurants. Hier erhielten sie Zugang zu Datensätzen von insgesamt 4,8 Millionen Personen und 5,4 Millionen verschiedenen Reservierungen, die im System gespeichert waren.

Interessanterweise scheinen in dem System Daten gespeichert zu sein, die bis zu zehn Jahre zurückreichen. Es ist anzunehmen, dass dies in vielen Fällen den gängigen Löschfristen in der EU-Datenschutzgrundverordnung (DSGVO) widerspricht. Laut CCC-Stellungnahme zu dem Datenleck versteht sich gastronovi wohl als "Auftragsverarbeiter" und sieht die Verantwortung zur Löschung nicht mehr benötigter Daten bei den Gastronomen, die sich dessen wohl aber oft nicht bewusst sind. Die Gastronomen "vertrauten verständlicherweise auf die Full-Service-Cloud", erläuterte der CCC.

Der CCC fand in der gastronovi-Software noch mehr im Argen. Das API der Web-Applikation war dermaßen offen, dass jeder unangemeldete Benutzer auf der ganzen Welt die Speisekarten aller vorhandenen Restaurants einsehen und Bestellungen auslösen oder stornieren konnte. Und zwar, ohne die eigentlich im System gesetzten Begrenzungen für solche Bestellungen zu beachten – viel Potenzial für schlechte Scherze oder gar automatisierte Angriffe, die das ganze System lahmlegen (Denial of Service, DoS).

Der Anbieter regiert schnell

Laut CCC hat gastronovi schnell auf die Schwachstellen-Mitteilungen der CCC-Hacker reagiert und die Sicherheitslücken beseitigt. Auf Empfehlung des CCC wurde später wohl auch ein professioneller Sicherheitscheck der Software durch Experten durchgeführt. Auf eine Bitte um Stellungnahme durch heise online antwortete der Betreiber bisher nicht.

Bei dem Datenleck handelt es sich nicht um das erste Mal, dass Schwachstellen in Gastro-Systemen entdeckt werden, die zur Erhebung von Coronavirus-Kontaktdaten genutzt werden. Bereits im Juli deckte die Schweizer Sicherheitsfirma Modzero solche Schwachstellen in den Systemen der Firma LunchGate auf [2]. Die Schweizer erhielten Zugriff auf die Daten von 200.000 Gästen von 900 Restaurants.

Der CCC rät mittlerweile davon ab, digitale Listen für die Erhebung von Corona-Daten zu nutzen. "Denken first, digital second", sagt CCC-Sprecher Linus Neumann plakativ. Weiter führt er aus: "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch für Laien leicht zu beurteilen." Besonders die Nutzung etablierter Cloud-Systeme für die Gastronomie sei bedenklich, da diese oft nur hastig für die neue Aufgabe umgerüstet worden seien. "Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hacker:innen warten", bilanziert der CCC.

Sollten Restaurantbesitzer auf die Nutzung digitaler Systeme bestehen, empfehlen die CCC-Hacker lieber ein anderes Restaurant zu besuchen. Aber auch beim Eintragen in Papier-Listen ist laut CCC Vorsicht geboten. Club-Sprecher Frank Rieger empfiehlt [3], sich grundsätzlich mit fiktiven Daten, aber einer funktionierenden, namentlich nicht zuordenbar E-Mail-Adresse einzutragen. (fab [4])

URL dieses Artikels:
https://www.heise.de/-4881198

Links in diesem Artikel:
[1] https://www.ccc.de/de/updates/2020/digitale-corona-listen/
[2] https://www.modzero.com/modlog/archives/2020/07/06/mit_webapps_gegen_covid-19/index.html
[3] https://twitter.com/frank_rieger/status/1289113251461173248
[4] mailto:contact@fab.industries

Copyright © 2020 Heise Medien