Der Chaos Computer Club (CCC) hat sich eine Cloud-Lösung für Gastronomen, u.a. auch zur digitalen Führung von Kontaktlisten (Corona-Listen der Gaststättenbesucher), angesehen, Schwachstellen gefunden und das Ganze gleich mal gehackt.
Anzeige
Gaststätten und Restaurants müssen in Zeiten des Coronavirus die Kontaktdaten der Besucher für eine ggf. später notwendige Nachverfolgung erfassen und für 14 Tage speichern. In der Regel erfolgt dies über per Kugelschreiber auszufüllende Zettel. Inzwischen setzen gastronomische Betriebe aber auch auf eine digitale Erfassung der Kontakte mit Speicherung der Kontaktlisten in der Cloud (Cloud-Lösung). Ich hatte hier diverse Pressemitteilungen zu solchen Lösungen, habe mich aber gegen eine Veröffentlichung hier im Blog entschieden.
Cloud-Lösung mit Schwachstellen
Ich bin über einen Tweet auf den Sachverhalt, der in diesem CCC-Beitrag offen gelegt wird, aufmerksam geworden. Zum Sachverhalt an sich, ist die Geschichte schnell erzählt. Ein Betrieb aus dem Gastgewerbe wollte besonders modern sein und hat alles digitalisiert. Mitglieder des Chaos Emergency Response Teams (C.E.R.T.) des CCC wurden bei einem Restaurantbesuch in diesem Betrieb gebeten, sich in eine "Corona-Liste" einzutragen. Diese war natürlich, ganz modern, als digitale "Corona-Liste" per Cloud-Lösung realisiert.
Der Anbieter wirbt damit, einzigartig zu sein, alles zu automatisieren und das sicher in der Cloud zu speichern. Eine Herausforderung an den CCC, diese Versprechungen in Bezug auf Datenschutz und Datensicherheit abzuklopfen. Das CERT-Team fand dann auch schnell Schwachstellen, über die sich sehr fix auf den in der Cloud gespeicherten Datenbestand zugreifen ließ.
Durch eine fehlerhafte Prüfung der Zugriffsrechte, so der CCC, konnten die Hacker im Handumdrehen administrativer Vollzugriff auf sämtliche im System gespeicherten Daten erlangen. Andere Fehler in der API ermöglichten Nutzerinnen auch ohne besondere Rechte den Zugriff auf schützenswerte Daten, die nicht für Ihre Augen bestimmt waren. So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen.
Anzeige
Weiterhin waren auch unzureichend geschützte Passwörter mittels einfachem API-Request abrufbar. Dabei fielen den Leuten des CCC nicht nur Hashes, sondern auch Passwörter im Klartext in die Finger. Mit dabei auch so triviale Passwörter wie "1234", was auf das Fehlen einer angemessenen Passwortrichtlinie hindeutet.
Riesiger Datenschutz, DSGVO mangelhaft
Da die Cloud-Lösung von Gastronovi nicht nur die "Corona-Liste" abbildete, sondern alle Vorgänge in den gastronomischen Betrieben digitalisierte, lag ein umfassender Datenschatz offen. Die Hacker schreiben, dass verschiedene Schwachstellen den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten, ermöglichten.
Im betroffenen System wurden jedoch nicht nur Corona-Listen, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Der Cloud-Service wirbt damit, monatlich über 96 Mio. Euro Umsatz von 7,7 Mio. Kundinnen sowie 600.000 Reservierungen über das System abzuwickeln*. Persönliche Daten von Besucherinnen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst.
Insgesamt war der Zugriff auf 4,8 Mio. Personendatensätze aus über 5,4 Mio. Reservierungen möglich, wie der Cloud-Service bestätigt. Im System waren personenbezogene Daten gespeichert, die teilweise ein ganzes Jahrzehnt zurückreichen. Und dort spiegelte sich wiederum der alte Konflikt: Der Cloud-Service versteht sich als "Auftragsverarbeiter", d.h. die Verantwortung zur Löschung liegt bei den Benutzer. Die Gastronominnen schienen sich dessen oft nicht bewusst zu sein und vertrauten verständlicherweise auf die Full-Service-Cloud.
Alles in allem ein Fundsplitter, der zeigt, wie es wirklich da draußen in Handel, Dienstleistungen und Industrie in Sachen Datenschutz und Sicherheit zugeht. Die Schwachstellen wurden an den Cloud-Anbieter gemeldet. Details lassen sich beimCCC nachlesen. Gastronovi hat ebenfalls eine Stellungnahme veröffentlicht.
Anzeige
Das ist ein echter Skandal und zeigt den "Datenschutz" in diesem Lan und generell. Nichts wird geschützt.
Das ZDF hat das heute in einem Kurzbeitrag gebracht. Da haben diese eine Gast angerufen und gesagt was er konsumiert hat.
Heise. de berichtet hier auch heute:
https://www.heise.de/news/CCC-hackt-digitale-Corona-Liste-mit-87-000-Eintraegen-4881198.html?seite=all
Das Ganze ist aber nach heise.de schon seit 07.07.2020 offen gelegt und das Ganze kann man hier nachlesen:
https://www.modzero.com/modlog/archives/2020/07/06/mit_webapps_gegen_covid-19/index.html
Der Softwareanbieter gastrovi hat wohl heute auch eine Pressemitteilung herausgegeben. Das ist aber sehr fraglich. Eigentlich müssten die 50TEUR Bußgeld zahlen.
Man muss sich wirklich fragen, wohin das noch führen soll.
Motto – "Hast du ein Smartphone, so wissen wir alles über Dich!"
(Motto – "Hast du ein Smartphone, so wissen wir alles über Dich!")
das ist jetzt aber keine Überraschung?! bzw. eig. sogar ein fast schon rel. alter Hut. Appelbaums Jacob wies darauf bereits um Feb. 2012 hinreichend deutlich hin:
"Benutzt am besten gar keine Mobiltelefone" (Seite 2)
https://www.zeit.de/digital/datenschutz/2012-02/jacob-appelbaum-interview
War das nicht das geniale Start-up, das in der Zeitung so gefeiert wurde?
Alles, was nach Digitalisierung und Cloud riecht, wird ja derzeit bejubelt wie die Erfindung der Glühbirne. Aber immer wieder zeigt sich, dass die trendigen Konzepte nur oberflächlich zusammengeschludert und Bedenken konsequent ausgeblendet wurden.
Dass man sein Handwerk solide beherrschen muss, mag nach Mittelalter klingen. Gilt aber im Digitalzeitalter mehr denn je.
Falls es nicht ganz richtig rüberkommt – Das Ganze ist offen seit mehreren Jahren (wohl bis 2015 zurück).
Es hat damit nichts mit der Erfassung im Restaurantbereich seit COVID-19-Auflagen zu tun. Es betrifft generell ALLE Reservierungen in Gaststätte, die dieses System einsetzen.
Hätten wir den 1. April könnte ich noch lachen:
"So konnte zum Beispiel Restaurant A auf die Corona-Daten von Restaurant B zugreifen".
Welche Anforderungen an die Sicherheit wurde hier zugrunde gelegt und bestanden keine Kontrollinstanzen, Pentest`s oder PCI Audits? Hoffentlich gab es keine Schnittstelle mit ähnlichen Fehlern für die Zahlung per EC- oder Kreditkarte.