Quelle: Modzero
Security-Debakel in Schweizer Corona-Datenbank von Lunchgate
In der Corona-Datenbank des Reservations-Tools von Lunchgate klaffte eine massive Lücke. Die Datensätze von Gästen waren offen im Netz verfügbar.
7. Juli 2020
Im Rahmen der Meldepflicht für Gäste in Schweizer Restaurants wurde eine schwerwiegende Sicherheitslücke in der Corona-Datenbank der Schweizer Lösung von Lunchgate gefunden. Seit den Lockerungen der Corona-Massnahmen sind Schweizer Restaurants verpflichtet, die Daten ihrer Gäste aufzunehmen, diese beinhalten in der Regel den Namen und die Telefonnummer des Gastes. Die Daten wurden anfangs wohl vielerorts als Papier abgelegt, bis das Zürcher Start-up Lunchgate ein entsprechendes Zusatzmodul für das bestehende Reservations-Tool entwickelte. In dieser haben die Security-Experten des Schweizer Cyber-Security-Spezialisten Modzero nun eine massive Sicherheitslücke entdeckt.
Für jeden Gast erstellt Lunchgate eine Bestätigungsseite mit Name, Telefonnummer und einer ID in der URL. Der Fehler: Die Datensätze wurden mit einer sich addierenden ID versehen, statt einer zufällig generierten. Damit konnte mit der einfachen Änderung der ID in der Adresszeile ein anderer Datensatz, respektive alle Datensätze eingesehen werden. Während ein Name noch keine eindeutige Zuordnung zulässt, ist dies mit der einzigartigen Telefonnummer jedoch möglich. Die Forscher von Modzero kommentieren im entsprechenden Blogbeitrag: "Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen."
Für jeden Gast erstellt Lunchgate eine Bestätigungsseite mit Name, Telefonnummer und einer ID in der URL. Der Fehler: Die Datensätze wurden mit einer sich addierenden ID versehen, statt einer zufällig generierten. Damit konnte mit der einfachen Änderung der ID in der Adresszeile ein anderer Datensatz, respektive alle Datensätze eingesehen werden. Während ein Name noch keine eindeutige Zuordnung zulässt, ist dies mit der einzigartigen Telefonnummer jedoch möglich. Die Forscher von Modzero kommentieren im entsprechenden Blogbeitrag: "Lädt man sich die komplette Covid-19-Contact-Tracing-Datenbank herunter und korreliert sämtliche Datensätze, lassen sich über einen längeren Zeitraum möglicherweise Bewegungsprofile ganzer Gruppen erstellen."
Der Gast wird registriert. (Quelle: Modzero)
Die Bestätigungsbenachrichtigung bestätigt die Löschung des Eintrages in 14 Tagen. (Quelle: Modzero)
(Quelle: Modzero)
Mit dem Ändern der ID in der URL konnten fremde Datensätze eingesehen werden. (Quelle: Modzero)
(Quelle: Modzero)
Darüber hinaus konnten die Experten Datensätze einsehen, die bereits 21 Tage alt waren, obwohl gesetztlich festgehalten ist, dass die Speicherung nur 14 Tage bestehen bleiben darf.
Modzero hat Lunchgate mit dem Fehler konfrontiert, dieser sei mittlerweile behoben. Zu den nicht beziehungsweise zu spät gelöschten Einträgen kommentierte Lunchgate, dass diesbezüglich keine Probleme bestünden. (win)
Modzero hat Lunchgate mit dem Fehler konfrontiert, dieser sei mittlerweile behoben. Zu den nicht beziehungsweise zu spät gelöschten Einträgen kommentierte Lunchgate, dass diesbezüglich keine Probleme bestünden. (win)
Weitere Artikel zum Thema
Corona-Warn-App rückt näher
10. Juni 2020 - Nach dem Ständerat hat auch der Nationalrat grünes Licht für die Corona-Warn-App gegeben. Man darf davon ausgehen, dass die App um den 20. Juni erscheint.Nomasis lanciert Corona-App
2. Juni 2020 - Nomasis hat die Einführung einer mobilen Anwendung für Unternehmen angekündigt, die Mitarbeitenden helfen soll, gemäss den Vorgaben der Regierung zur Covid-19-Pandemie wieder sicher an ihren Arbeitsplatz zurückzukehren.Schweizer Corona Tracing App verspätet sich
7. Mai 2020 - Eigentlich hätten die Entwickler der Corona App schon bald loslegen wollen, nun wird die Tracing App vom Bund ausgebremst und es gibt vorerst nur eine Testversion.Artikel kommentieren
