De Chaos Computer Club (CCC), één van de oudste hackerclubs uit Duitsland, heeft opnieuw kwetsbaarheden ontdekt in een digitale coronalijst die door restaurants wordt gebruikt om contactgegevens van gasten op te slaan. Eind augustus meldde de CCC al dat Duitse restaurants via een kwetsbaar cloudsysteem coronalijsten en reserveringen van miljoenen gasten lekten.
Nu heeft de CCC een nieuw systeem onder de loep genomen en ook hierin verschillende beveiligingslekken aangetroffen. Doordat het systeem van encryptie gebruikmaakte voor het opslaan van klantgegevens was het niet mogelijk om de opgeslagen gastengegevens in te zien. Wel waren er verschillende andere problemen waardoor een aanvaller nieuwe klantgegevens in handen kon krijgen en ervoor kon zorgen dat restaurants de eerder opgeslagen data niet meer konden benaderen. Dit zou bron- en contactonderzoek kunnen hinderen.
De onderzoekers van de CCC ontdekten dat restaurants de basisgegevens en public keys van andere restaurants in het systeem konden overschrijven, om zo volledige toegang tot de accounts van deze andere restaurants te krijgen. Verder bleek dat de authenticiteit van de public keys niet werd gecontroleerd. Een aanvaller zou onopgemerkt de encryptiesleutels kunnen verwisselen, om zo alle nieuwe klantdata te ontsleutelen.
Verder was het mogelijk om volledige beheerderstoegang tot het onderliggende contentmanagementsysteem te krijgen. Via de kwetsbaarheden kregen de onderzoekers toegang tot 400.000 opgeslagen records van meer dan duizend restaurants. Doordat de data was versleuteld konden de klantgegevens niet worden ingezien, wat volgens de onderzoekers het belang van encryptie aantoont. De CCC waarschuwde de ontwikkelaar van het systeem die binnen een dag alle gevonden problemen verhielp.
Deze posting is gelocked. Reageren is niet meer mogelijk.