87.000 Corona-Datensätze nach "kleinem Hack" lesbar
Mehrere hundert Mal täglich gehen B. Pitt und A. Jolie in Deutschland essen. Das würde sichtbar werden, wenn man die Kontaktlisten in Restaurants vergleichen würde. Nach Datenpannen mit echten Papierlisten sind einige Restaurants dazu übergegangen auch dafür Apps zu verwenden.
Als Nichthandybesitzer würde mich an dieser Stelle interessieren ob man dazu ein Handy vom Restaurant gestellt bekäme ...
Heute wollen wir jedoch davon berichten, dass auch Mitglieder des Chaos Computer Club (CCC) in einem Restaurant zur Eingabe ihrer persönlichen Daten in die Web-App des Cloud-Betreibers gastronovi aufgefordert wurden. Das hat die CCC-Hacker animiert die Sicherheit dieser Anwendung zu testen und "im Handumdrehen" hatten sie vollen Administrator-Zugriff auf die App.
Sie konnten Zugang zu 87.000 Corona-Datensätzen und 5,4 Millionen teilweise bis zu 10 Jahre alte gespeicherte Reservierungen erlangen. Besonders peinlich war, dass sie feststellen mussten, dass im System nicht nur Passwort-Hashes gespeichert waren, sondern in Fällen von älteren Benutzerkonten zum Teil auch die Klartext-Passwörter selbst.
Die Verantwortung für nach DSGVO längst fälligen Löschungen vieler alter Daten sieht gastronovi als Diensterbringer bei den Restaurants, die sich dessen wohl nicht bewusst sind. Ein ähnliches Sicherheitsleck hatte eine Schweizer Sicherheitsfirma im Juli beim Anbieter LunchGate aufgedeckt. gastronovi hat die Sicherheitslücken inzwischen geschlossen.
Der CCC - und auch wir - raten von der Nutzung solcher Apps ab. So sagt CCC-Sprecher Linus Neumann: "Denken first, digital second"
Mehr dazu bei https://www.heise.de/news/CCC-hackt-digitale-Corona-Liste-mit-87-000-Eintraegen-4881198.html
Kommentar: RE: 20200830 "Denken first, digital second" vor Gebrauch von Corona-Listen
Die Innenminister reiben sich die Hände, haben sie doch glatt und bestimmt versehtlich und unbedacht vergessen ein Gesetz einzubringen das solche Datenschutzverletzungen regelt.
Persönlich hätte ich keine Einwände wenn es so geregelt wäre das bei schweren Straftaten und nur unter richterlichem Vorbehalt eine Liste des Tatorts von der Staatsanwaltschaft eingesehen werden kann. Aber das wäre ja eine Behinderung der Polizei.
Mi., 31.08.2020 11:37
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3bp
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7374-20200830-denken-first-digital-second-vor-gebrauch-von-corona-listen.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7374-20200830-denken-first-digital-second-vor-gebrauch-von-corona-listen.htm
Tags: #Biometrie #Bestandsdaten #Datenbanken #Geodaten #CCC #Hacking #Trojaner #Cookies #Verschlüsselung #Restaurants #Coronalisten #Apps #Ergonomie #Datenpannen #Verbraucherdatenschutz #Datenschutz #Datensicherheit #DSGVO #Löschfristen #Anonymisierung
Erstellt: 2020-08-30 08:27:48 Aufrufe: 798
Kommentar abgeben