Während eines Besuchs in einem Restaurant wurden Mitglieder des Chaos Computer Club (CCC) gebeten, sich auf einer digitalen Kontaktliste anzumelden, um den Ausbruch des Coronavirus zu bekämpfen. Den Hackern wurde versichert, dass die zum Sammeln und Speichern der Daten verwendete Cloud-Software sicher sei. Dies bestätigte die CCC-Mitglieder – und fand ernsthafte Schwächen in der Software und konnten auf 87.000 Koronadatensätze und 5,4 Millionen aufgezeichnete Reservierungen zugreifen.

CCC-Hacker nutzten die Tatsache, dass die Webanwendung des Cloud-Betreibers gastronovi die Zugriffsrechte der Systembenutzer nicht effektiv überprüfte. Laut CCC gelang es ihnen, “in kürzester Zeit” vollen Administratorzugriff auf die Anwendung zu erhalten. Jetzt konnten sie alle im System gespeicherten Daten sehen und kopieren. Die CCC-Mitglieder konnten jedoch nicht nur Daten lesen, die sie nicht hätten sehen sollen. Die CCC-Hacker stellten außerdem fest, dass die API, mit der Restaurants mit dem System interagieren, ebenfalls schlecht programmiert war. Auf diese Weise können Gastronomen auf die Daten anderer Gastronomen zugreifen.

Die Passwörter für einzelne Plattformbenutzer waren ebenfalls schlecht gesichert. Sie waren über die API leicht zugänglich. Dies waren nicht nur Kennwort-Hashes, sondern bei älteren Benutzerkonten manchmal auch Nur-Text-Kennwörter. Dem CCC gelang es auch, zugehörige Passwörter für eine große Anzahl von Hashes zu rekonstruieren.

Zur Homepage

READ  Jeder, der Strategiespiele liebt, könnte eine tolle Woche haben