Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.

Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.

Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.

SQL-Injection und offene Tore für Angreifer

Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.

Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.

Datenschutzbehörde bereitet rechtliche Schritte vor

Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“

Sicherheitslücken seit fast einem Jahr

Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.

Karvi Solutions weist Vorwürfe zurück

Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.

Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.

(mack)

Der US-Zustelldienst Instacart stellt die heimliche Manipulation von Produktpreisen ein. Instacart ist ein Liefer- und Abholdienst für Lebensmittel aus unterschiedlichen Supermarktketten in den USA. Anlass für die Änderung ist die öffentliche Reaktion auf Testergebnisse von Verbraucherschützern. Sie haben festgestellt, dass Instacart eine Künstliche Intelligenz dafür nutzt, die Warenpreise der Supermarktketten zu variieren – selbst dann, wenn der Kunde gar keine Lieferung möchte, sondern die bestellte Ware selbst in der Filiale abholt.

Testkäufer legten zum selben Zeitpunkt dieselbe Ware in ihre Einkaufswägen – zur späteren Selbstabholung im selben Geschäft, um den Faktor etwaig unterschiedlicher Lieferkosten auszuschließen. Dennoch veranschlagte Instacart Preise mit hohen Unterschieden. Das zeigte der gemeinsam von Consumer Reports, Groundwork Collaborative und More Perfect Union durchgeführte Test des Kaufs alltäglicher Lebensmittel.

Bei drei Vierteln der Produkte schwankte der eCommerce-Preis um bis zu 23 Prozent. Ziel war offenbar, zu erraten, wie viel ein Kunde zu bezahlen bereit ist, und ihm möglichst viel abzuverlangen. Als das System ruchbar wurde, reagierte Instacart zunächst mit der Ausrede, dass die Läden selbst die Preise festlegen würden. Die Kette Target widersprach, die übrigen schwiegen.

Vertrauen beschädigt

Die Erkenntnis, nicht die gleichen Preise wie andere Kunden zu erhalten, habe „manche Leute an den Preisen, die sie bei Instacart sehen, zweifeln lassen”, schreibt die Firma nun in einem Blogpost. „Das ist nicht in Ordnung.” Ab sofort würden alle Preistests für einzelne Waren auf Instacart eingestellt. Würden zwei Familien zur selben Zeit dasselbe Produkt aus derselben Filiale bestellen, sollten sie dieselben Preise sehen.

Auch die Supermarktketten könnten die von Instacart unter dem Markennamen Eversight beworbene, algorithmische Preissteuerung nicht mehr buchen. Zudem führt
Instacart aus, dass die Preismanipulation nicht aufgrund personenbezogener Daten oder Nachfrage und Angebot erfolgt sei.

Unverändert wird Instacart Werbeaktionen durchführen, sowohl in Kooperation mit Geschäften als auch mit Markenproduktherstellern. Zudem könne es weiterhin Preisunterschiede zwischen verschiedenen Filialen oder den im Laden zu zahlenden und den online verlangten Preise geben. Instacart drängt die Läden schon lange dazu, online und vor Ort dieselben Preise zu veranschlagen. Manche Ketten tun dies, andere nicht, etwa weil sie die mit Instacart verbundenen Kosten nicht auch auf jene Kunden umlegen möchten, die ohne Instacart zu nutzen, selbst im Laden einkaufen. Oder einfach weil sie Interesse daran haben, dass Verbraucher durch die Gänge wandern.

(ds)

Tech-Milliardär Larry Ellison versucht, ein großes Hindernis beim Gebot seiner Familie für den Hollywood-Riesen Warner Brothers auszuräumen. Der Mitgründer des Software-Konzerns Oracle gibt eine persönliche Garantie für einen 40,4 Milliarden US-Dollar (34,3 Milliarden Euro) umfassenden Teil des insgesamt mehr als 100 Milliarden US-Dollar schweren Gebots ab.

Warner Bros. Discovery hatte das Angebot unter anderem unter Verweis darauf abgelehnt, dass die Garantie durch die Ellison-Familie nicht hart genug gewesen sei. Warner entschied sich, stattdessen das Angebot von Netflix für das Studio- und Streaming-Geschäft anzunehmen.

Mit oder ohne TV-Sender?

Die Ellisons wenden sich nun mit ihrem Angebot direkt an die Warner-Aktionäre. Die Familie hatte erst vor wenigen Monaten den Warner-Konkurrenten Paramount übernommen, über den das Warner-Gebot läuft. Sie wollen Warner Bros. Discovery komplett übernehmen, samt der TV-Sender wie CNN. Larry Ellison steht in der Milliardäre-Rangliste des Finanzdienstes Bloomberg auf Rang fünf mit einem geschätzten Vermögen von 246 Milliarden Dollar. Sein Sohn David Ellison ist Paramount-Chef.

Mit den gut 40 Milliarden US-Dollar garantiert Larry Ellison unter anderem den geplanten Finanzierungsbeitrag der Staatsfonds von Saudi-Arabien, Abu Dhabi und Katar. Das Gebot von Paramount ist insgesamt 108,4 Milliarden US-Dollar schwer. Ein großer Teil davon soll mit Krediten gestemmt werden. Netflix bietet knapp 83 Milliarden US-Dollar für das Studio- und Streaming-Geschäft. Eine entscheidende Frage für die Aktionäre wird also sein, wie die TV-Sender für die Zukunft bewertet werden.

Trump will neuen Besitzer für CNN

Der Übernahmekampf hat auch eine politische Dimension, weil es um CNN geht. US-Präsident Donald Trump forderte, dass bei einem Warner-Deal unbedingt auch der Nachrichtensender den Besitzer wechseln müsse. Bei CNN wird der US-Präsident oft kritisiert. Larry Ellison ist als Trump-Unterstützer bekannt. In der Nachrichtenredaktion des Paramount-Senders CBS gab es nach der Übernahme einen Umbau. Die neue Chefredakteurin Bari Weiss bot zudem eine Plattform für Erika Kirk, die Witwe des von einem Attentäter getöteten rechten Aktivisten Charlie Kirk.

(mack)