Ende Februar machte der Chaos Computer Club (CCC) auf gravierende Sicherheitslücken bei den Websites von über 500 Restaurants in ganz Deutschland aufmerksam.
Dabei informierte der CCC aufgrund weiterhin offener Lücken wiederholt den zuständigen IT-Dienstleister Karvi Solutions GmbH. Wie viele Restaurantkunden insgesamt betroffen sind, ist bislang nicht bekannt. Ob alle Schwachstellen inzwischen behoben wurden, ist weiterhin unklar. Nun prüft der Hamburger Datenschutzbeauftragte Thomas Fuchs (HmbBfDI) den Fall.
Gegenüber heise online hatte der Geschäftsführer von Karvi Solution, Vitali Pelz, zuvor versichert, dass alle Lücken geschlossen und Daten der Betroffenen aus dem System gelöscht seien. Er erklärte, ein Mitbewerber habe versucht, den Ruf eines Restaurants durch die Manipulation einer "Order-Receiver-API" zu schädigen. Es seien bereits "alle verfügbaren Sicherheitsmaßnahmen implementiert" worden. Diese Verdächtigungen konnten nicht verifiziert werden. Auf weitere Rückfragen reagierte Pelz nicht.
Laut einem Sprecher des HmbBfDI bestehen jedoch noch offene Fragen. Bei der Behörde seien ebenfalls Beschwerden eingegangen – die Klärung laufe. Auf wen die Verantwortlichkeit fällt, "wird noch zu prüfen sein", teilte der Sprecher auf Anfrage von heise online mit.
Die entdeckten Sicherheitslücken reichten vom ungeschützten Zugriff auf das Backend der Websites über eine frei zugängliche Superadmin-Datenbank bis zu Klartextpasswörtern, die per SQL-Injection einsehbar waren. Zudem nutzten die Restaurants identische Zugangsdaten, und Rechnungs-URLs waren einsehbar. Offen zugängliche Backups enthielten neben dem Quellcode Kundendaten zahlreicher Restaurant-Websites.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo