Datenschutz: Corona-Kontaktliste offen im Netz

(1 Bewertung, 5.00 von 5)

Wie in Deutschland müssen auch in der Schweiz Gaststätten die Kontaktdaten ihrer Gäste erfassen. Ein Restaurant nutzt dafür den Tischreservierungsdienst Foratable des Startups Lunchgate, der auch über eine Covid19-Tracing-Funktion verfügt. Die Sicherheitsexperten der Firma Modzero fanden jetzt heraus: Jeder konnte die über die App gesammelten Kontaktdaten im Netz einsehen. Wie entdeckte Modzero das Datenleck? Und welche Daten lagen offen im Web?

Anzeige

So kam das Datenleck heraus

Ein Sicherheitsforscher von Modzero besuchte Ende Juni eine Gaststätte. Diese nutzte QR-Codes von Foratable, um die Kontaktdaten ihrer Gäste zu erfassen. Die eingegebenen Daten gingen an den Server von Lunchgate. Der Sicherheitsexperte erhielt dann eine Bestätigungsseite mit seinen Daten und dem besuchten Restaurant.

Die URL der Seite endete mit einer einfachen Zahlen-ID. Diese hatte Lunchgate jedoch nicht zufällig generiert, sondern aufaddiert. Der Sicherheitsforscher konnte sich daher jede Bestätigungsseite der letzten 2 Wochen anzeigen lassen. Dafür musste er lediglich die Endziffer der ID in der URL ändern.

Welche Daten waren offen im Netz einsehbar?

Auf den Bestätigungsseiten waren Name, Telefonnummer, Besuchszeit und zum Teil die Anschrift der Gäste zu sehen. Welches Restaurant die Gäste besucht hatten, war jedoch nicht einsehbar. Lade man sich die gesamte verfügbare Datenbank von Lunchgate herunter und korreliere die Daten, ließen sich Bewegungsprofile vieler Gäste erstellen, so die Einschätzung des Sicherheitsexperten. Dabei sei es möglich herauszufinden, wer wann mit wem in welcher Gaststätte war oder gar am gleichen Tisch saß.

Sicherheitsexperten finden ältere Reservierung

Die Covid-19-Verordnung der Schweiz gibt vor: Unternehmen müssen die Kontaktdaten nach 14 Tagen löschen. Die Sicherheitsforscher von Modzero fanden beim Datenleck von Lunchgate jedoch auch Daten, die bereits 21 Tage alt waren. Lunchgate gab an, dass es sich bei dem Eintrag um eine Reservierung handelte.

Fazit

Modzero wies Lunchgate am 3. Juli auf das Datenleck hin. Noch am selben Tag ließ der Anbieter wissen, dass er das Problem behoben habe. Es gebe keine Anzeichen, dass Dritte die Schwachstelle missbrauchen konnten.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Gesichtserkennung: App identifiziert Personen Die App „Clearview“ bietet eine Datenbank aus 3 Milliarden Bildern von Personen. Laden User ein Bild von einer Person hoch, gleicht die App das Bild mit ihrer D...
Weiterlesen...
Reiseführer-Verlag MairDumont: Onlineshops gehackt Ob Anbieter von Sicherheitssoftware, Comic-Editor, E-Commerce-Plattform oder Spieleentwickler – keine Sparte der Online-Welt ist derzeit vor einem Hackerangriff...
Weiterlesen...
Sicherheitslücke bei Safari: Anti-Tracking ermöglicht Tracking Der Apple-Browser Safari verspricht Usern durch seine Anti-Tracking-Funktion einen verbesserten Datenschutz. Dies gilt vor allem für das websiteübergreifende Tr...
Weiterlesen...
Bundesverfassungsgericht: E-Mail Anbieter müssen IP-Adressen speichern E-Mail Anbieter, die sich den Datenschutz ihrer Kunden auf die Fahnen geschrieben haben, können unter Umständen zur Speicherung und Herausgabe der IP-Adressen v...
Weiterlesen...
DSGVO: Bundesdatenschützer erneuert WhatsApp-Verbot für Bundesbehörden Die Herausforderungen der Corona-Krise dürfen nicht dazu führen, dass offizielle Stellen den Datenschutz vernachlässigen. Mit diesem Hinweis hat BfDI Ulrich Kel...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingDatenschutzRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support