Lunchgate: Leck bei Gästedaten in der Schweiz
Schweizer Restaurants und deren Gäste werden von einem Datenskandal verunsichert – mit Auswirkungen auf die Bereitschaft zur Digitalisierung in der Gastronomie?
Anders als bei uns werden in der Schweiz und in Deutschland Daten aller Gäste, die ein Lokal betreten, erhoben, um bei einem Coronafall mögliche Ansteckungen zurückverfolgen zu können. Jetzt ist bekannt geworden, dass diese Daten bei ienem führenden Betreiber online für jeden einsehbar sind.
Nutzerdaten aller Corona-Registrierenden, die die Reservierungssoftware Lunchgate in der Schweiz nutzen, liegen offen für jedermann zugänglich im Internet. Man muss Name, Adresse und Telefonnummer angeben und wann man das Lokal betreten hat. Der Gastgeber trägt dann ein, wann man es wieder verlassen hat. Viele fürchten sich aus Datenschutzgründen grundsätzlich vor der Nutzung offizieller Coronaviurs-Tracing-Apps und müssen nun erfahren, dass ihre Daten schon lange öffentlich zugänglich sind. Zumindest ihre Wohnadresse.
Wie es zu diesem Datenleck gekommen ist
Schweizer Restaurants vertrauten dem größten Anbieter Lunchgate und nutzen dessen Reservationssoftware. Kürzlich ist Lunchgate auch auf den fahrenden Zug der Covid-19-Registrierungsanbieter aufgesprungen und versuchte ihr System mit einer eigens gebauten Namens-Registrierungslösung upzudaten. Nun wurde von externen Softwareingenieuren (modzero) erkannt, dass Datensätze, Namen und Telefonnummern von Gästen, die sich einen Platz in einem Restaurant sicherten oder sich im Restaurant registrierten, nun öffentlich im Netz verfügbar sind. Entdeckt hatten die nicht existenten Sicherheitsvorkehrungen Sven Faßbender, Joël Gunzenreiner und Thorsten Schröder von der Sicherheitsfirma Modzero.
Ende Juni besuchte Gunzenreiner eine Bar, deren Betreiber QR-Codes bei Foratable generiert hatte. Einen solchen musste er scannen, seinen Namen und seine Telefonnummer in eine Webapplikation eintragen und der Datenschutzerklärung zustimmen. Anschließend wurden die Daten an den Server von Lunchgate gesendet und dem Sicherheitsforscher wurde eine Bestätigungsseite mit seinen Daten und dem besuchten Restaurant angezeigt.
Die URL der Bestätigungsseite endet mit der ID 174395. Lunchgate hatte die ID nicht zufällig generiert, sondern aufaddiert. Auch anderweitige Schutzmaßnahmen gab es nicht. Entsprechend konnte sich Gunzenreiner auch die Daten der Gäste mit den IDs 174396 und 174394 anzeigen lassen – und die aller anderen Gäste, die in den vergangenen Wochen den Tracing-Dienst von Lunchgate verwendet hatten. Name, Telefonnummer, Besuchszeit und teilweise die komplette Adresse der Gäste waren für alle einsehbar im Internet.
Das Restaurant beziehungsweise die Bar konnten sie mit diesem Trick jedoch nicht auslesen: Angezeigt wurden nur die Daten der Besucher. Später gelang es den Sicherheitsforschern jedoch, auch die Daten der Gäste eines Restaurants einzusehen, inklusive des besuchten Tisches. Details hierzu wurden bisher nicht veröffentlicht.
Unverzeihbarer Fehler
„So ein Fall, wie er da aufgedeckt wurde, darf einfach nicht passieren“, sagt Thomas Holenstein – Gastronomiemarketing-Experte und Betreiber der konkurrierenden Covid-19 Namens-Registrierungslösung Pogastro.com. „Die Gastrobranche hat derzeit wirklich andere Probleme, als nun auch noch Rede und Antwort für die unsicheren Gästedaten zu stehen. Das Gästevertrauen in die Restaurants, die Lunchgate nutzen, ist weg. Ich hoffe stark, dass so ein fahrlässiger Fehler nicht auch das Vertrauen in die Gastronomiedigitalisierung bei den Gastronomen nimmt!“
„Wir sind nun in einer sehr wichtigen Zeit, wo Gastronomen gerade anfangen, sich mit dem Thema Digitalisierung zu beschäftigen. Da kommt so ein Skandal sehr ungelegen und es stimmt mich dementsprechend sauer, dass Lunchgate so mit dem Vertrauen der Restaurants und der Gäste spielt – wenn auch nicht absichtlich! Wir hoffen künftig, dass auch Lunchgate ihre Systeme im Griff hat und so etwas nicht wieder vorkommt!“
Modzero.com
Golem.de
Pogastro.com