Direkt zum Inhalt

Lunchgate: Leck bei Gästedaten in der Schweiz

09.07.2020

Schweizer Restaurants und deren Gäste werden von einem Datenskandal verunsichert – mit Auswirkungen auf die Bereitschaft zur Digitalisierung in der Gastronomie?

Anders als bei uns werden in der Schweiz und in Deutschland Daten aller Gäste, die ein Lokal betreten, erhoben, um bei einem Coronafall mögliche Ansteckungen zurückverfolgen zu können. Jetzt ist bekannt geworden, dass diese Daten bei ienem führenden Betreiber online für jeden einsehbar sind.

Nutzerdaten aller Corona-Registrierenden, die die Reservierungssoftware Lunchgate in der Schweiz nutzen, liegen offen für jedermann zugänglich im Internet. Man muss Name, Adresse und Telefonnummer angeben und wann man das Lokal betreten hat. Der Gastgeber trägt dann ein, wann man es wieder verlassen hat.  Viele fürchten sich aus Datenschutzgründen grundsätzlich vor der Nutzung offizieller Coronaviurs-Tracing-Apps und müssen nun erfahren, dass ihre Daten schon lange öffentlich zugänglich sind. Zumindest ihre Wohnadresse.

 

Wie es zu diesem Datenleck gekommen ist

Schweizer Restaurants vertrauten dem größten Anbieter Lunchgate und nutzen dessen Reservationssoftware. Kürzlich ist Lunchgate auch auf den fahrenden Zug der Covid-19-Registrierungsanbieter aufgesprungen und versuchte ihr System mit einer eigens gebauten Namens-Registrierungslösung upzudaten. Nun wurde von externen Softwareingenieuren (modzero) erkannt, dass Datensätze, Namen und Telefonnummern von Gästen, die sich einen Platz in einem Restaurant sicherten oder sich im Restaurant registrierten, nun öffentlich im Netz verfügbar sind. Entdeckt hatten die nicht existenten Sicherheitsvorkehrungen Sven Faßbender, Joël Gunzenreiner und Thorsten Schröder von der Sicherheitsfirma Modzero.

Ende Juni besuchte Gunzenreiner eine Bar, deren Betreiber QR-Codes bei Foratable generiert hatte. Einen solchen musste er scannen, seinen Namen und seine Telefonnummer in eine Webapplikation eintragen und der Datenschutzerklärung zustimmen. Anschließend wurden die Daten an den Server von Lunchgate gesendet und dem Sicherheitsforscher wurde eine Bestätigungsseite mit seinen Daten und dem besuchten Restaurant angezeigt.

Die URL der Bestätigungsseite endet mit der ID 174395. Lunchgate hatte die ID nicht zufällig generiert, sondern aufaddiert. Auch anderweitige Schutzmaßnahmen gab es nicht. Entsprechend konnte sich Gunzenreiner auch die Daten der Gäste mit den IDs 174396 und 174394 anzeigen lassen - und die aller anderen Gäste, die in den vergangenen Wochen den Tracing-Dienst von Lunchgate verwendet hatten. Name, Telefonnummer, Besuchszeit und teilweise die komplette Adresse der Gäste waren für alle einsehbar im Internet.

Das Restaurant beziehungsweise die Bar konnten sie mit diesem Trick jedoch nicht auslesen: Angezeigt wurden nur die Daten der Besucher. Später gelang es den Sicherheitsforschern jedoch, auch die Daten der Gäste eines Restaurants einzusehen, inklusive des besuchten Tisches. Details hierzu wurden bisher nicht veröffentlicht.

 

Unverzeihbarer Fehler

 

"So ein Fall, wie er da aufgedeckt wurde, darf einfach nicht passieren“, sagt Thomas Holenstein - Gastronomiemarketing-Experte und Betreiber der konkurrierenden Covid-19 Namens-Registrierungslösung Pogastro.com. „Die Gastrobranche hat derzeit wirklich andere Probleme, als nun auch noch Rede und Antwort für die unsicheren Gästedaten zu stehen. Das Gästevertrauen in die Restaurants, die Lunchgate nutzen, ist weg. Ich hoffe stark, dass so ein fahrlässiger Fehler nicht auch das Vertrauen in die Gastronomiedigitalisierung bei den Gastronomen nimmt!"

"Wir sind nun in einer sehr wichtigen Zeit, wo Gastronomen gerade anfangen, sich mit dem Thema Digitalisierung zu beschäftigen. Da kommt so ein Skandal sehr ungelegen und es stimmt mich dementsprechend sauer, dass Lunchgate so mit dem Vertrauen der Restaurants und der Gäste spielt - wenn auch nicht absichtlich! Wir hoffen künftig, dass auch Lunchgate ihre Systeme im Griff hat und so etwas nicht wieder vorkommt!"

 

Modzero.com

Golem.de

Pogastro.com

 

Autor/in:
Thomas Askan Vierich
Werbung

Weiterführende Themen

Tourismus
04.03.2020

Warum Digitalisierungs-Projekte im Tourismus gemeinsam besser gelingen und wie die Tourism Innovation Map Austria diese so hilfreiche Kooperation fördert, erklärt Reinhard Lanner, Chief Digital ...

Die Prizeotel-Gruppe wird immer smarter – am Hotelzimmer. Nebenbei schafft man jetzt auch noch die Barzahlung ab.
Hotellerie
30.01.2020

Noch mehr Technik am Zimmer, Wohnzimmeratmosphäre, weniger Plastik, mehr Nachhaltigkeit, weniger Housekeeping, digitaler Check-in. 

 

Gastronomie
19.12.2019

Schnips, die neue App der Brau Union, bringt Gäste zum Wirt. Und dient als Kommunikationsplattform für Kunden.

Philipp Mayrl, Petar Iliev und Fritz Walter (re) eröffneten das erste Pizza Drive-In.
Gastronomie
08.11.2019

Don Camillo nennt sich die Pizzeriakette, die der Steirer Fritz Walter im Jahr 2000 gegründet hat. Don Camillo steht für Top-Qualität (2018 und 2019 wurde der Standort Franziskanerplatz vom ...

Gastronomie
06.11.2019

Die Frage „Hat’s geschmeckt?“ wird heute auf Bewertungsplattformen digital beantwortet. Wie man diese Kritik ernst nimmt und daraus Profit zieht, erklärt Gastautor Christian Bauer in drei Punkten ...

Werbung