CCC hackt Corona-Restaurantdaten
Mitglieder des Chaos Emergency Response Teams des CCC sollten beim Essengehen ihre Corona-Daten in eine elektronische Datenbank eingeben. Die Hacker bewiesen sehr schnell: Die 5,4 Mio. Buchungsdaten sind leichte Beute.
Besucherdaten mit allen Details auspioniert
E s war gut gemeint: Ein Restaurantbetreiber wollte das lästige Verfahren der Corona-Datenerhebung mithilfe eines Cloud-Dienstes des Anbieters Gastronovi möglichst komfortabel gestalten; er betonte auch explizit die Datensicherheit.
Mehrere Schwachstellen entdeckt
Die CCC-Hacker bewiesen ihm das Gegenteil und hatten in relativ kurzer Zeit mehrere Möglichkeiten gefunden, auf Daten des Cloud-Dienstes zuzugreifen. Zum einen erlangten sie durch eine fehlerhafte Prüfung der Zugriffsrechte vollen Admin-Zugriff auf sämtliche Systeme mit allen gespeicherten Daten. Ebenso erlaubt es ein Fehler in der API des Dienstes, auf die Corona-Daten eines anderen Restaurants zuzugreifen – ganz ohne besondere Rechte. Es wäre über die API auch jedem Hobby-Hacker möglich gewesen, die Menükarten aller Restaurants in dem System auszulesen und auf Kosten Dritter Bestellungen vorzunehmen oder zu stornieren, und das sogar weltweit. Was aber schwerer wiegt, als die Möglichkeit hier Schabernack zu treiben, waren die Daten im System: Die Hacker konnten auf 87.000 Corona-Datensätze zugreifen und hatten Einblick in 5,4 Mio. Reservierungen und 4,8 Mio. Personendatensätze, die bei Bestellungen erfasst und gespeichert werden. Erstaunlicherweise reichen die Daten teilweise bis zu zehn Jahre zurück – offensichtlich, weil niemand sich die Mühe macht, die erfassten Daten nach einer gewissen Zeit auch wieder zu löschen.
Bei älteren Datensätzen konnten sogar Passwörter im Klartext über die API abgerufen werden; bei neuen Accounts werden dafür moderne Hashes genutzt. Allerdings fehlt offensichtlich eine Passwort-Richtlinie. Per Stichprobe konnten für mehrere triviale Passwörter wie 1234 Hashes gebildet und in der Hash-Datenbank gefunden werden. Da viele die gleichen Passwörter bei mehreren Diensten nutzen, ist das Problem gravierend, wenn die Hash-Daten in falsche Hände geraten. Der Dienstanbieter Gastronovi hat auf die Hinweise des CCC sehr zügig reagiert und inzwischen alle Schwachstellen behoben.
Wie man sich schützt
Generell sollte man sich für verschiedene Zwecke eine eigene, kostenlose E-MailAdresse oder -Weiterleitung einrichten. So muss man seine private E-Mail-Adresse und -Domain nicht an andere weitergeben.
Und natürlich kann man sich weigern, seine Daten in eine elektronische Datenbank einzugeben, bei der man nicht weiß, wo die Daten landen, wer darauf Zugriff hat und wie lange sie gespeichert werden.
Für Restaurant-Betreiber hat der CCC auf bit.ly/2ZzPVva eine Empfehlung veröffentlicht, wie man bei der Erfassung der papiergebundenen Daten vorgehen kann. Sie basieren auf den eigenen Erfahrungen in den CCC-Hackspaces.
Die hastig eingeführte P icht, seine Daten im Restaurant zur Nachverfolgung bei Corona-Infektionen zu hinterlassen, ist grundsätzlich sinnvoll. Aber leider hat der Gesetzgeber auch nach Monaten noch keine klaren Vorgaben erlassen, wer darauf zugreifen darf und wie damit umzugehen ist. Die Verunsicherung durch polizeiliche Zugriffe auf diese Daten – für andere Zwecke – macht das System kaputt, weil sich die Gäste verständlicherweise mit FakeAngaben aus der Affäre ziehen wollen. Wo sind die AGBs und Datenschutzhinweise zur Verarbeitung der Daten, die ich sonst immer mit Unterschrift bestätigen muss? Plötzlich nicht mehr wichtig? Ich für meinen Teil habe mir eine Corona-Mail-Adresse zugelegt und nde, dass Donald Duck auch eine schöne Namenskombination ist. Damit kann man mich immer noch erreichen, wenn es notwendig ist.