Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.

Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.

Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.

SQL-Injection und offene Tore für Angreifer

Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.

Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.

Datenschutzbehörde bereitet rechtliche Schritte vor

Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“

Sicherheitslücken seit fast einem Jahr

Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.

Karvi Solutions weist Vorwürfe zurück

Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.

Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.

(mack)

Mitte Dezember hatte heise online über einen Datenschutzvorfall in der bayerischen Gemeinde Markt Kipfenberg berichtet. Zweimal binnen zwei Jahren waren dort kommunale Datenträger mit mutmaßlich sensiblen Einwohnerdaten in offen zugänglichen Kellerräumen eines Wohnhauses aufgetaucht. Ein Anwohner hatte die Ereignisse dokumentiert und uns davon berichtet.

Nachdem wir deshalb Ende November bei der Gemeinde angefragt hatten, kamen offenbar einige Dinge ins Rollen. Am 11. Dezember besuchten Mitarbeiter des bayerischen Landesdatenschutzbeauftragen zusammen mit dem Bürgermeister den Ort. Die Aufsichtsbehörde hatte uns bereits zuvor bestätigt, eine Vor-Ort-Prüfung durchführen zu wollen.

„Fälschlicherweise gelagert“

Am 17. Dezember, also einen Tag, nachdem der Artikel auf heise online erschienen war, äußerte sich Christian Wagner, Bürgermeister von Markt Kipfenberg, auf der Homepage der Gemeinde zu den Vorfällen: „Aufgrund des Rathausumbaus“ seien „im Jahr 2023 Kartons mit Datenträgern fälschlicherweise im Heizraum eines Mietshauses der Gemeinde gelagert“ worden, erläutert er. Auch danach sei versäumt worden, „die Datenträger zu entsorgen und so kam es im Herbst dieses Jahres erneut dazu, dass die Datenträger von einem Mitarbeiter in den Heizraum gestellt wurden, da in dem Raum, in dem die Datenträger versperrt gelagert wurden, von einem Techniker Arbeiten ausgeführt werden mussten“.

Der folgende Satz ist etwas missverständlich geraten, soll aber mutmaßlich bedeuten, dass die Gemeinde einen Abfluss der Daten in Richtung Unbefugte nicht ausschließen kann: „Dadurch, dass der Heizraum teilweise nicht abgesperrt wurde, kann nicht zu 100 Prozent gewährleistet werden, dass Daten in die Hände Dritter gelangt sind. Leider befanden sich auf den Datenträgern auch personenbezogene Daten der Bürgerinnen und Bürger von Kipfenberg.“

Meldung DSGVO-konform?

Diese Ausführungen lassen vermuten, dass ein „voraussichtlich […] hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ gemäß Art. 34 DSGVO besteht. Daraus würden Informationspflichten der Gemeinde gegenüber den Bürgern folgen. Die Meldung auf der Homepage würde da eher nicht genügen, denn laut Art. 34 Abs. 2 DSGVO müsste die Gemeinde als Verantwortlicher „den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen“ nennen, sowie „eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten“ (Art. 33 DSGVO, Abs. 3b und 3c) liefern. Beides fehlt in der Meldung an die Einwohner.

Bereits Ende November hatten wir einige Fragen an die Gemeinde zu den Vorfällen geschickt. Silvia Obermeier, Geschäftsleiterin der Gemeinde Markt Kipfenberg, hatte uns erklärt, man wolle erst Stellung beziehen, wenn die Sachlage mit dem Landesdatenschutzbeauftragten geklärt sei. Am 18. Dezember, also nach dem Vor-Ort-Termin im Heizungskeller, haben wir sie daran erinnert, bis heute aber keine Antwort erhalten.

(hob)

Nutzen Angreifer eine Schwachstelle in IBM App Connect Enterprise erfolgreich aus, können sie Instanzen abstürzen lassen. Dagegen gerüstete Versionen schaffen Abhilfe.

PCs jetzt schützen

Wie aus einer Warnmeldung hervorgeht, sind Systeme aufgrund von unzureichender Filterung von bestimmten Eingaben angreifbar. Demzufolge könnten Angreifer mit bestimmten Eingaben an der Schwachstelle (CVE-2025-12758 „hoch“) ansetzen. Das führt zu Speicherfehlern, was in der Regel in Abstürzen endet (DoS-Zustand). Bislang gibt es keine Hinweise, dass Angreifer die Schwachstelle bereits ausnutzen. IBM rät Admins aber zu einem zügigen Update.

Die Entwickler versichern, das Sicherheitsproblem in den Versionen IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.21 und IBM App Connect Enterprise v13- Fix Pack Release 13.0.5.2 gelöst zu haben.

(des)