zurück zum Artikel

CCC hackt digitale Corona-Liste mit 87.000 EintrÀgen

Fabian A. Scherschel

Beim Restaurantbesuch muss man sich dieser Tage hĂ€ufig in digitale Corona-Listen eintragen. Die Sicherheit solcher Systeme ist oft fragwĂŒrdig.

(Bild: iko / Shutterstock.com)

Der Chaos Computer Club hat eine Cloud-Plattform fĂŒr Gastronomen untersucht, mit der auch Corona-Daten erhoben werden: Datenleck vorprogrammiert.

Bei einem Restaurantbesuch wurden Mitglieder des Chaos Computer Club (CCC) dazu aufgefordert, sich in eine digitale Kontaktliste zur BekĂ€mpfung der Coronavirus-Epidemie einzutragen. Den Hackern wurde versichert, die Cloud-Software, mit der die Daten erfasst und gespeichert werden, sei sicher. Das prĂŒften die CCC-Angehörigen – und fanden gravierende Schwachstellen in der Software [1] und konnten sich Zugang zu 87.000 Corona-DatensĂ€tzen und 5,4 Millionen gespeicherten Reservierungen verschaffen.

Die ĂŒblichen VerdĂ€chtigen

Die CCC-Hacker machten sich zunutze, dass die Web-App des Cloud-Betreibers gastronovi die Zugriffsrechte der Benutzer im System nicht effektiv prĂŒfte. So schafften sie es laut CCC "im Handumdrehen", vollen Administrator-Zugriff auf die App zu erlangen. Nun konnten sie sĂ€mtliche in dem System gespeicherte Daten einsehen und kopieren. Aber nicht nur die CCC-Mitglieder hĂ€tten Daten auslesen können, die sie nicht hĂ€tten sehen dĂŒrfen. Die CCC-Hacker entdeckten auch, dass das API, mit dem einzelne Restaurants mit dem System interagieren, ebenfalls fehlerhaft programmiert war. So hĂ€tten Restaurantbetreiber Zugriff auf Daten anderer Gastronomen erlangen können.

Melden Sie sich zum KI-Update an Melden Sie sich zum KI-Update an [2]

Die Passwörter der einzelnen Benutzer der Plattform waren ebenfalls unzureichend gesichert. Sie konnten einfach ĂŒber das API abgerufen werden. Dabei handelte es sich nicht nur um Passwort-Hashes, sondern in FĂ€llen von Ă€lteren Benutzerkonten zum Teil auch um Klartext-Passwörter. Dem CCC gelang es darĂŒber hinaus, fĂŒr eine große Anzahl der Hashes die dazugehörigen Passwörter zu rekonstruieren.

Persönliche Daten aus einem Jahrzehnt

Insgesamt hatte der CCC Zugriff auf 87.313 Kontakt-Erhebungen im Rahmen der Coronavirus-Epidemie. Betroffen sind 180 verschiedene Restaurants, die das System fĂŒr diesen Zweck aktiv nutzen. Außerdem hatten die CCC-Mitglieder Zugriff auf Reservierungen, UmsĂ€tze und Bestellungen der im System vorhandenen Restaurants. Hier erhielten sie Zugang zu DatensĂ€tzen von insgesamt 4,8 Millionen Personen und 5,4 Millionen verschiedenen Reservierungen, die im System gespeichert waren.

Interessanterweise scheinen in dem System Daten gespeichert zu sein, die bis zu zehn Jahre zurĂŒckreichen. Es ist anzunehmen, dass dies in vielen FĂ€llen den gĂ€ngigen Löschfristen in der EU-Datenschutzgrundverordnung (DSGVO) widerspricht. Laut CCC-Stellungnahme zu dem Datenleck versteht sich gastronovi wohl als "Auftragsverarbeiter" und sieht die Verantwortung zur Löschung nicht mehr benötigter Daten bei den Gastronomen, die sich dessen wohl aber oft nicht bewusst sind. Die Gastronomen "vertrauten verstĂ€ndlicherweise auf die Full-Service-Cloud", erlĂ€uterte der CCC.

Der CCC fand in der gastronovi-Software noch mehr im Argen. Das API der Web-Applikation war dermaßen offen, dass jeder unangemeldete Benutzer auf der ganzen Welt die Speisekarten aller vorhandenen Restaurants einsehen und Bestellungen auslösen oder stornieren konnte. Und zwar, ohne die eigentlich im System gesetzten Begrenzungen fĂŒr solche Bestellungen zu beachten – viel Potenzial fĂŒr schlechte Scherze oder gar automatisierte Angriffe, die das ganze System lahmlegen (Denial of Service, DoS).

Der Anbieter regiert schnell

Laut CCC hat gastronovi schnell auf die Schwachstellen-Mitteilungen der CCC-Hacker reagiert und die SicherheitslĂŒcken beseitigt. Auf Empfehlung des CCC wurde spĂ€ter wohl auch ein professioneller Sicherheitscheck der Software durch Experten durchgefĂŒhrt. Auf eine Bitte um Stellungnahme durch heise online antwortete der Betreiber bisher nicht.

Bei dem Datenleck handelt es sich nicht um das erste Mal, dass Schwachstellen in Gastro-Systemen entdeckt werden, die zur Erhebung von Coronavirus-Kontaktdaten genutzt werden. Bereits im Juli deckte die Schweizer Sicherheitsfirma Modzero solche Schwachstellen in den Systemen der Firma LunchGate auf [3]. Die Schweizer erhielten Zugriff auf die Daten von 200.000 GĂ€sten von 900 Restaurants.

Der CCC rĂ€t mittlerweile davon ab, digitale Listen fĂŒr die Erhebung von Corona-Daten zu nutzen. "Denken first, digital second", sagt CCC-Sprecher Linus Neumann plakativ. Weiter fĂŒhrt er aus: "Viele digitale Corona-Listen wurden mit der heißen Nadel gestrickt und machen schwer zu haltende Datenschutzversprechen. Die Sicherheit eines Papiersystems ist hingegen auch fĂŒr Laien leicht zu beurteilen." Besonders die Nutzung etablierter Cloud-Systeme fĂŒr die Gastronomie sei bedenklich, da diese oft nur hastig fĂŒr die neue Aufgabe umgerĂŒstet worden seien. "Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nĂ€chsten Jahre auf interessierte Hacker:innen warten", bilanziert der CCC.

Sollten Restaurantbesitzer auf die Nutzung digitaler Systeme bestehen, empfehlen die CCC-Hacker lieber ein anderes Restaurant zu besuchen. Aber auch beim Eintragen in Papier-Listen ist laut CCC Vorsicht geboten. Club-Sprecher Frank Rieger empfiehlt [4], sich grundsÀtzlich mit fiktiven Daten, aber einer funktionierenden, namentlich nicht zuordenbar E-Mail-Adresse einzutragen. (fab [5])

URL dieses Artikels:
https://www.heise.de/-4881198

Links in diesem Artikel:
[1] https://www.ccc.de/de/updates/2020/digitale-corona-listen/
[2] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[3] https://www.modzero.com/modlog/archives/2020/07/06/mit_webapps_gegen_covid-19/index.html
[4] https://twitter.com/frank_rieger/status/1289113251461173248
[5] mailto:contact@fab.industries

Copyright © 2020 Heise Medien