CCC hackt digitale Corona-Liste mit 87.000 Einträgen

Der Chaos Computer Club hat eine Cloud-Plattform fĂĽr Gastronomen untersucht, mit der auch Corona-Daten erhoben werden: Datenleck vorprogrammiert.

In Pocket speichern vorlesen Druckansicht 372 Kommentare lesen
"Denken first, digital second": CCC hackt Corona-Liste mit 87.000 Einträgen

Beim Restaurantbesuch muss man sich dieser Tage häufig in digitale Corona-Listen eintragen. Die Sicherheit solcher Systeme ist oft fragwürdig.

(Bild: iko / Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Bei einem Restaurantbesuch wurden Mitglieder des Chaos Computer Club (CCC) dazu aufgefordert, sich in eine digitale Kontaktliste zur Bekämpfung der Coronavirus-Epidemie einzutragen. Den Hackern wurde versichert, die Cloud-Software, mit der die Daten erfasst und gespeichert werden, sei sicher. Das prüften die CCC-Angehörigen – und fanden gravierende Schwachstellen in der Software und konnten sich Zugang zu 87.000 Corona-Datensätzen und 5,4 Millionen gespeicherten Reservierungen verschaffen.

Die CCC-Hacker machten sich zunutze, dass die Web-App des Cloud-Betreibers gastronovi die Zugriffsrechte der Benutzer im System nicht effektiv prüfte. So schafften sie es laut CCC "im Handumdrehen", vollen Administrator-Zugriff auf die App zu erlangen. Nun konnten sie sämtliche in dem System gespeicherte Daten einsehen und kopieren. Aber nicht nur die CCC-Mitglieder hätten Daten auslesen können, die sie nicht hätten sehen dürfen. Die CCC-Hacker entdeckten auch, dass das API, mit dem einzelne Restaurants mit dem System interagieren, ebenfalls fehlerhaft programmiert war. So hätten Restaurantbetreiber Zugriff auf Daten anderer Gastronomen erlangen können.

Die Passwörter der einzelnen Benutzer der Plattform waren ebenfalls unzureichend gesichert. Sie konnten einfach über das API abgerufen werden. Dabei handelte es sich nicht nur um Passwort-Hashes, sondern in Fällen von älteren Benutzerkonten zum Teil auch um Klartext-Passwörter. Dem CCC gelang es darüber hinaus, für eine große Anzahl der Hashes die dazugehörigen Passwörter zu rekonstruieren.