Datenschutz: Corona-Kontaktliste offen im Netz

(2 Bewertungen, 3.00 von 5)

Wie in Deutschland müssen auch in der Schweiz Gaststätten die Kontaktdaten ihrer Gäste erfassen. Ein Restaurant nutzt dafür den Tischreservierungsdienst Foratable des Startups Lunchgate, der auch über eine Covid19-Tracing-Funktion verfügt. Die Sicherheitsexperten der Firma Modzero fanden jetzt heraus: Jeder konnte die über die App gesammelten Kontaktdaten im Netz einsehen. Wie entdeckte Modzero das Datenleck? Und welche Daten lagen offen im Web?

Anzeige

So kam das Datenleck heraus

Ein Sicherheitsforscher von Modzero besuchte Ende Juni eine Gaststätte. Diese nutzte QR-Codes von Foratable, um die Kontaktdaten ihrer Gäste zu erfassen. Die eingegebenen Daten gingen an den Server von Lunchgate. Der Sicherheitsexperte erhielt dann eine Bestätigungsseite mit seinen Daten und dem besuchten Restaurant.

Die URL der Seite endete mit einer einfachen Zahlen-ID. Diese hatte Lunchgate jedoch nicht zufällig generiert, sondern aufaddiert. Der Sicherheitsforscher konnte sich daher jede Bestätigungsseite der letzten 2 Wochen anzeigen lassen. Dafür musste er lediglich die Endziffer der ID in der URL ändern.

Welche Daten waren offen im Netz einsehbar?

Auf den Bestätigungsseiten waren Name, Telefonnummer, Besuchszeit und zum Teil die Anschrift der Gäste zu sehen. Welches Restaurant die Gäste besucht hatten, war jedoch nicht einsehbar. Lade man sich die gesamte verfügbare Datenbank von Lunchgate herunter und korreliere die Daten, ließen sich Bewegungsprofile vieler Gäste erstellen, so die Einschätzung des Sicherheitsexperten. Dabei sei es möglich herauszufinden, wer wann mit wem in welcher Gaststätte war oder gar am gleichen Tisch saß.

Sicherheitsexperten finden ältere Reservierung

Die Covid-19-Verordnung der Schweiz gibt vor: Unternehmen müssen die Kontaktdaten nach 14 Tagen löschen. Die Sicherheitsforscher von Modzero fanden beim Datenleck von Lunchgate jedoch auch Daten, die bereits 21 Tage alt waren. Lunchgate gab an, dass es sich bei dem Eintrag um eine Reservierung handelte.

Fazit

Modzero wies Lunchgate am 3. Juli auf das Datenleck hin. Noch am selben Tag ließ der Anbieter wissen, dass er das Problem behoben habe. Es gebe keine Anzeichen, dass Dritte die Schwachstelle missbrauchen konnten.

Anzeige

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Cookie-Banner: Landgericht hält voreingestelltes „OK“ für unzulässig Webseitenbetreiber dürfen nur dann Tracking-Cookies einsetzen, wenn Nutzer ausdrücklich zustimmen. Das Anklicken eines Bestätigungsbuttons neben einer voreinges...
Weiterlesen...
EuGH: Nationale Behörden dürfen bei DSGVO-Verstößen gegen Facebook vorgehen Sie verarbeiten Informationen von Nutzern in ganz Europa. Ihren hiesigen Hauptsitz aber haben Datenriesen wie Facebook oder Google in Irland. Laut DSGVO ist des...
Weiterlesen...
Gesichtserkennung: App identifiziert Personen Die App „Clearview“ bietet eine Datenbank aus 3 Milliarden Bildern von Personen. Laden User ein Bild von einer Person hoch, gleicht die App das Bild mit ihrer D...
Weiterlesen...
Digitalisierung: Ist Überwachung am Arbeitsplatz in Ordnung? Die Digitalisierung verändert die Art, wie wir arbeiten. Sie könnte dabei auch dafür sorgen, dass Unternehmen ihre Mitarbeiter mehr überwachen. Sind Arbeitnehme...
Weiterlesen...
DSGVO-Verstoß: Dating-App Grindr soll 9,63 Millionen Euro zahlen Mit jedem Öffnen der Anwendung sollen Grindr-Nutzer unfreiwillig sensible Daten an Werbetreibende weitergegeben haben. Das hat eine Untersuchung der norwegische...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support