Kommentar von Veracode: Datenleck der digitalen Corona-Kontaktliste von Lunchgate
Julian Totzek-Hallhuber, Solution Architect bei Veracode, kommentiert die Gefahrenlage:
„Eine digitale Kontakterfassungslösung für Restaurants ist grundsätzlich ein guter Ansatz, um den existierenden Datenschutzregelungen gerecht zu werden. Allerdings wurde in diesem Fall versäumt, grundlegende Sicherheitsvorkehrungen in der Online-Anwendung zu treffen. Die Restaurantbetreiber generieren via dem Service von Foratable QR-Codes, die die Gäste nach dem Scannen auf eine Bestätigungsseite weiterleitet auf der sie ihre Kontaktdaten eingeben. Diese URLs enden jeweils mit einer bestimmten ID-Nummer. Anstatt die IDs per Zufallsprinzip zu generieren wurden diese von der App allerdings einfach aufaddiert, sodass jeder Gast theoretisch alle privaten Daten der vorigen und nachfolgenden IDs abrufen kann. Auch wurden die Daten im Backlog länger gespeichert als die gesetzlich vorgeschriebene 14-Tage-Frist.
Ohne organisatorische und technische Sicherheitsmaßnahmen können digitale Lösungen also ein noch höheres Risiko an Datenschutzverletzungen darstellen wie die Kontakterfassung via Papier und Stift. Zusätzlich besteht natürlich auch immer die Gefahr, dass Applikationen fehlerhaften Code beinhalten, der wiederum weitere Sicherheitslücken mit sich bringt. Dies ist besonders kritisch bei Anwendungen wie diesen, die mit sensiblen Daten arbeiten und diese abspeichern. So konnten wir in unserem aktuellen State of Software Security Report herausfinden, dass 83 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle enthält. Es empfiehlt sich also zusätzlich zu den grundlegenden Sicherheitsmaßnahmen noch regelmäßige Scans der Anwendungen durchzuführen, um Schwachstellen rechtzeitig zu erkennen und beheben zu können“
Veracode stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode Unternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können. Veracode, seine leistungsfähige cloud-basierte Plattform, die langjährige Expertise und der systematische, Policy-basierte Ansatz bietet Unternehmen eine einfache und skalierbare Möglichkeit, mit der sich Risiken auf der Anwendungsebene ihrer weltweiten Software-Infrastruktur reduzieren lassen.
Veracode
4 Van de Graaff Drive
USA01803 Burlington, MA
Telefon: +49 (171) 4412450
http://www.veracode.com
Hotwire für Veracode
Telefon: +49 (89) 26208-189
E-Mail: julia.bastos@hotwireglobal.de