image

Duitse restaurants lekken coronalijsten en reserveringen miljoenen gasten

vrijdag 28 augustus 2020, 12:16 door Redactie, 9 reacties

Duitse restaurants hebben via een kwetsbaar cloudsysteem voor horecabedrijven coronalijsten en reserveringen van miljoenen gasten gelekt. Het gaat om 5,4 miljoen reserveringen en ruim 87.000 "corona-contactonderzoeken" van 180 restaurants, zo meldt de Duitse Chaos Computer Club (CCC). Volgens de hackersclub gaan de gegevens tien jaar terug.

De CCC ontdekte verschillende kwetsbaarheden in het cloudsysteem waardoor toegang tot de data kon worden verkregen. De problemen kwamen aan het licht nadat CCC-leden tijdens een bezoek aan een restaurant werden gevraagd om zich op een digitale "coronalijst" te registreren, waarbij ingevulde data in de cloud werd bewaard. De betreffende clouddienst claimt 600.000 reserveringen per maand te verwerken. Persoonsgegevens van horecabezoekers worden voornamelijk vastgelegd bij het maken van reserveringen en coronaregistraties, zo stelt de CCC.

De CCC-leden onderzochten het systeem en ontdekten dat ze eenvoudig beheerderstoegang tot alle data van het systeem konden krijgen. Kwetsbaarheden in de API maakten het mogelijk voor gebruikers zonder speciale rechten om toegang tot gevoelige gegevens te krijgen. Zo kon restaurant A de coronagegevens van restaurant B benaderen. Verder was het via een eenvoudig API-verzoek mogelijk om niet alleen wachtwoordhashes op te vragen, maar ook plaintext wachtwoorden, aldus de CCC in een blogpost.

De onderzoekers waarschuwden gastronovi, ontwikkelaar van het systeem, waarna de kwetsbaarheden werden verholpen. De CCC adviseert restaurants om geen gebruik van digitale coronalijsten te maken. In plaats daarvan wordt het gebruik van een papieren systeem aangeraden, waarbij gasten gegevens op een apart formulier invullen, dat in een afgesloten brievenbus wordt bewaard. Elke dag worden de verzamelde formulieren in een envelop gestopt, die in een veilige locatie wordt opgeslagen. Na het vestrijken van de betreffende bewaarperiode wordt de envelop vernietigd.

Reacties (9)
28-08-2020, 13:03 door Anoniem
Vreemd he, dat ik opeens sinds kort Harry de Haas heet en verder van niets weet.
Twee cijfertjes van mijn mobiel anders.
28-08-2020, 13:21 door Anoniem
Een wolk is dan ook niet massief dus zal er met enige regelmaat wel eens iets uitvallen. Dan maar hopen dat de data minder waard is dan de kostenbesparing van "de cloud". Voordeel is dat er voor de manager toch geen consequentie aan verbonden zit.
28-08-2020, 14:22 door PietdeVries - Bijgewerkt: 28-08-2020, 14:23
Door Anoniem: Vreemd he, dat ik opeens sinds kort Harry de Haas heet en verder van niets weet.
Twee cijfertjes van mijn mobiel anders.

Ik denk niet dat iemand er wakker van ligt. Die telefoonnummers zijn er om jou te bellen, Harry, op het moment dat er iemand vlak naast je zat die Corona bleek te hebben. De gedachte is dat ze je kunnen vragen je te laten testen nog voor dat je op bezoek zou gaan bij je moeder, in plaats van dat jullie beiden dan een weekje later de teststraat in rijden :-)

Zoals hier: https://www.reddit.com/r/Coachella/comments/ihtp4g/smash_mouth_concert_linked_to_100_new_covid19/

De vulnerability blijkt overigens weinig met het recente noteren van adresgegevens voor Corona te maken te hebben. De reserveringen gaan schijnbaar 10 jaar terug...
28-08-2020, 14:29 door Anoniem
Door PietdeVries:
Door Anoniem: Vreemd he, dat ik opeens sinds kort Harry de Haas heet en verder van niets weet.
Twee cijfertjes van mijn mobiel anders.

Ik denk niet dat iemand er wakker van ligt. Die telefoonnummers zijn er om jou te bellen, Harry, op het moment dat er iemand vlak naast je zat die Corona bleek te hebben. De gedachte is dat ze je kunnen vragen je te laten testen nog voor dat je op bezoek zou gaan bij je moeder, in plaats van dat jullie beiden dan een weekje later de teststraat in rijden :-)

Zoals hier: https://www.reddit.com/r/Coachella/comments/ihtp4g/smash_mouth_concert_linked_to_100_new_covid19/

De vulnerability blijkt overigens weinig met het recente noteren van adresgegevens voor Corona te maken te hebben. De reserveringen gaan schijnbaar 10 jaar terug...

En de overheid maakt ook niet stiekem een database aan met dna na bezoek teststraat, slaap rustig verder.
Maar dat kunnen medewerkers van de overheid wel.
28-08-2020, 17:05 door Anoniem
Door PietdeVries:
Door Anoniem: Vreemd he, dat ik opeens sinds kort Harry de Haas heet en verder van niets weet.
Twee cijfertjes van mijn mobiel anders.

Ik denk niet dat iemand er wakker van ligt. Die telefoonnummers zijn er om jou te bellen, Harry, op het moment dat er iemand vlak naast je zat die Corona bleek te hebben.

En ze zijn er voor het horecapersoneel, om vrouwen na hun bezoek lastig te vallen met "flirterige appjes".

De vulnerability blijkt overigens weinig met het recente noteren van adresgegevens voor Corona te maken te hebben. De reserveringen gaan schijnbaar 10 jaar terug...

Even het artikel goed lezen, Piet de Vries.
28-08-2020, 17:40 door Anoniem
Door Anoniem:
Door PietdeVries:
Door Anoniem: Vreemd he, dat ik opeens sinds kort Harry de Haas heet en verder van niets weet.
Twee cijfertjes van mijn mobiel anders.

Ik denk niet dat iemand er wakker van ligt. Die telefoonnummers zijn er om jou te bellen, Harry, op het moment dat er iemand vlak naast je zat die Corona bleek te hebben. De gedachte is dat ze je kunnen vragen je te laten testen nog voor dat je op bezoek zou gaan bij je moeder, in plaats van dat jullie beiden dan een weekje later de teststraat in rijden :-)

Zoals hier: https://www.reddit.com/r/Coachella/comments/ihtp4g/smash_mouth_concert_linked_to_100_new_covid19/

De vulnerability blijkt overigens weinig met het recente noteren van adresgegevens voor Corona te maken te hebben. De reserveringen gaan schijnbaar 10 jaar terug...

En de overheid maakt ook niet stiekem een database aan met dna na bezoek teststraat, slaap rustig verder.
Maar dat kunnen medewerkers van de overheid wel.

Weet je wat dat kost? Een DNA-database aanleggen..... Daar heeft de overheid gewoon het geld niet voor over. Het testen op zich is eigenlijk al te duur.
28-08-2020, 20:17 door Anoniem

Weet je wat dat kost? Een DNA-database aanleggen..... Daar heeft de overheid gewoon het geld niet voor over. Het testen op zich is eigenlijk al te duur.

Nee? vertel 's hoeveel dat volgens jou kan gaan kosten?
...en wat zijn de (extra¿)kosten als ze de al bestaande dB van aivd daarvoor gebruiken!?
28-08-2020, 23:21 door Anoniem
Door Anoniem:

Weet je wat dat kost? Een DNA-database aanleggen..... Daar heeft de overheid gewoon het geld niet voor over. Het testen op zich is eigenlijk al te duur.

Nee? vertel 's hoeveel dat volgens jou kan gaan kosten?
...en wat zijn de (extra¿)kosten als ze de al bestaande dB van aivd daarvoor gebruiken!?

De gemiddelde kosten van het maken van een DNA profiel ligt tussen de 30 en 50 Euro per profiel.
Die database zelf zijn de kosten niet maar een bruikbaar profiel maken dat in een database doorzoekbaar is, is andere koek.
31-08-2020, 08:32 door Anoniem
Door Anoniem:
Door PietdeVries:
Door Anoniem: Vreemd he, dat ik opeens sinds kort Harry de Haas heet en verder van niets weet.
Twee cijfertjes van mijn mobiel anders.

Ik denk niet dat iemand er wakker van ligt. Die telefoonnummers zijn er om jou te bellen, Harry, op het moment dat er iemand vlak naast je zat die Corona bleek te hebben. De gedachte is dat ze je kunnen vragen je te laten testen nog voor dat je op bezoek zou gaan bij je moeder, in plaats van dat jullie beiden dan een weekje later de teststraat in rijden :-)

Zoals hier: https://www.reddit.com/r/Coachella/comments/ihtp4g/smash_mouth_concert_linked_to_100_new_covid19/

De vulnerability blijkt overigens weinig met het recente noteren van adresgegevens voor Corona te maken te hebben. De reserveringen gaan schijnbaar 10 jaar terug...

En de overheid maakt ook niet stiekem een database aan met dna na bezoek teststraat, slaap rustig verder.
Maar dat kunnen medewerkers van de overheid wel.

Nee, dat doet de overheid niet.
En nu geen vervolgvragen gaan stellen.
Eerst even deze vraag beantwoorden: Waarom denk jij dat de overheid stiekem een database met dna aanmaakt? En dan natuurlijk onderbouwd met feiten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.