Connect with us

Künstliche Intelligenz

Lieferdienst-Service: „Es gibt ein Datenleck bei Karvi Solutions“


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.

Weiterlesen nach der Anzeige


SMS von der API

SMS von der API

Über eine ungesicherte API lassen sich nach wie vor SMS verschicken.

(Bild: heise medien)

Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.

Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.


Fazit des Sicherheitsexperten

Fazit des Sicherheitsexperten

„Was wir hier festgestellt haben, geht über Inkompetenz hinaus. Die völlige Weigerung, auf Sicherheitsmeldungen zu reagieren, in Verbindung mit der dokumentierten Historie von Sicherheitsmängeln lässt auf ein Unternehmen schließen, das sich einfach nicht um die Sicherheit oder den Schutz der Daten seiner Kunden kümmert.“

(Bild: Github)

SQL-Injection und offene Tore für Angreifer

Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.

Untersuchungen zeigen, dass eine Website Bestellbestätigungen als ungeschützte Textdateien auf dem Server speichert. Die Dateinamen sind leicht zu erraten. Dadurch lassen sich Bestelldetails wie Name, Adresse, Telefonnummer und Zahlungsinformationen einfach abrufen. Zwischenzeitlich war auch der komplette Quellcode als zip-Archiv öffentlich erreichbar.

Datenschutzbehörde bereitet rechtliche Schritte vor

Weiterlesen nach der Anzeige

Wegen der anhaltenden Sicherheitsmängel bereitet der Hamburgische Datenschutzbeauftragte, Thomas Fuchs, rechtliche Schritte vor. Eine Sprecherin erklärte: „Wir befinden uns mit Karvi Solutions in einem bereits länger laufenden Prozess, in dem es darum geht, Sicherheitslücken zu schließen, und der auch zu gewissen Verbesserungen geführt hat. Trotzdem stellen wir weiterhin Schwachstellen fest, die einen Zugriff auf personenbezogene Daten von Kund:innen ermöglichen. Wir bereiten daher jetzt rechtliche Schritte gegen das Unternehmen vor, um die erforderlichen Maßnahmen durchzusetzen.“

Sicherheitslücken seit fast einem Jahr

Bereits Anfang 2025 machte der Chaos Computer Club auf gravierende Sicherheitslücken aufmerksam. Sie betrafen über 500 Restaurants, die Software von Karvi Solutions einsetzten. Schon zu diesem Zeitpunkt reichten die Probleme von ungeschützten Backends über SQL-Injection bis zu frei zugänglichen Backups mit Quellcode und Kundendaten. Geschäftsführer Vitali Pelz erklärte damals, alle Lücken seien geschlossen.

Karvi Solutions weist Vorwürfe zurück

Karvi Solutions weist die Vorwürfe zurück. Das Unternehmen spricht, wie schon im Sommer, von einer gezielten Kampagne zur Rufschädigung. Nach eigener Darstellung wurden die Daten über Schwachstellen bei Drittanbietern oder über Restaurant-APIs abgegriffen. Die Kernsysteme seien laut Karvi Solutions nie kompromittiert worden.

Auch die Speicherung von Kreditkartendaten bestreitet die Firma. Zahlungen würden ausschließlich über Pop-ups von Zahlungsdienstleistern erfolgen. Die gefundene SQL-Injection-Lücke sei ein Einzelfall auf einer alten Kundenwebsite. Die GitHub-Analyse bezeichnet das Unternehmen als „übertrieben“ und „manipuliert“. Man habe sämtliche Websites überprüft. Nach eigenen Angaben bestehen seit Mitte des Jahres keine Sicherheitslücken mehr. Diese Darstellung widerspricht jedoch sowohl unseren technischen Analysen als auch den Aussagen der Datenschutzbehörde.


(mack)



Source link

Verwandte Themen:
Weiterlesen

Künstliche Intelligenz

Studie: Designer-Wissen macht KI-generierte UIs deutlich besser


Wer schon mal eine KI gebeten hat, ihm ein User-Interface für eine App vorzuschlagen, dürfte vielfach die Hände über dem Kopf zusammengeschlagen haben. Obwohl es gewiss nicht an Trainingsmaterial mangelt, beweisen Large Language Models kein gutes Händchen dafür, daraus etwas Ästhetisches und zugleich gut Nutzbares zu generieren. Speist man aber das Feedback professioneller Designer ein, sieht der Fall schon ganz anders aus. Dies hat Apple in einer Studie untersucht und die Ergebnisse in seinem Machine-Learning-Blog veröffentlicht.

Weiterlesen nach der Anzeige

Das Problem mit den User-Interfaces ist demnach, dass das klassische Anlernen der KI offenbar für Design-Belange völlig unzureichend ist. Bei der herkömmlichen Methode, dem verstärkenden Lernen aus menschlichen Rückmeldungen, vergibt ein Mensch Noten für die Erzeugnisse der KI. Mit dieser Methode, die während des Finetunings in der Trainingsphase eines neuen Modells angewendet wird, soll die KI gut von schlecht unterscheiden können. Doch in der Realität funktioniert das bei Designs dann trotzdem nicht so gut.

Apples Trick: Nicht nur gut oder schlecht

Die Apple-Forscher haben stattdessen eine komplexere Methode angewendet, die auch dem Feedback-Prozess in Designabteilungen entspricht. Mithilfe von 21 professionellen Designern wurden Designs mit Kommentaren und mit Strichzeichnungen versehen oder direkt verändert. Dieses Trainingsmaterial – insgesamt 1500 Anmerkungen – hat das Team in die Trainingsdaten eingespeist. Auf diese Weise wusste die KI nicht nur, ob etwas gut oder schlecht ist, sondern auch, warum. Mit sichtbarem Erfolg, wie die Apple-Forscher in dem Papier darlegen: Die Ergebnisse der KI wurden erneut einer professionellen Bewertung unterzogen. Im Vergleich zu den KI-generierten Designs anderer Modelle, darunter auch GPT-5 von OpenAI, habe das speziell trainierte Modell am besten abgeschnitten.

Wofür Apple die gewonnenen Erkenntnisse verwenden möchte, bleibt – wie bei diesen Forschungspapieren üblich – offen. Neben reiner Grundlagenforschung wäre aber zum Beispiel denkbar, dass Apple sein Designteam künftig mit KI-Hilfe unterstützen möchte. Auch im Bereich der Werkzeuge für Entwickler wäre ein KI-Modell, das unerfahrene Developer beim Erstellen geeigneter User-Interfaces für ihre Apps unterstützt, eine große Hilfe.

Bei der Studie kam Qwen2.5-Coder als Basis-Modell zum Einsatz. Die 21 professionellen Designer verfügten über zwei bis 30 Jahre Berufserfahrung und kamen aus den Bereichen UI/UX, Produktdesign und Servicedesign.

Weiterlesen nach der Anzeige


(mki)



Source link

Weiterlesen

Künstliche Intelligenz

Neu in .NET 10.0 [9]: Null-Conditional Assignment in C# 14.0


Neben den bisher in dieser Blogserie aufgeführten Sprachelementen gibt es ein weiteres sehr hilfreiches neues Sprachkonstrukt in C# 14.0, das Microsoft „Null-Conditional Assignment“ nennt. Damit können Entwicklerinnen und Entwickler eine Zuweisung an eine Eigenschaft vornehmen, ohne vorher zu prüfen, ob das Objekt null ist.

Weiterlesen nach der Anzeige


Der Dotnet-Doktor – Holger Schwichtenberg

Der Dotnet-Doktor – Holger Schwichtenberg

Dr. Holger Schwichtenberg ist technischer Leiter des Expertennetzwerks www.IT-Visions.de, das mit 53 renommierten Experten zahlreiche mittlere und große Unternehmen durch Beratungen und Schulungen sowie bei der Softwareentwicklung unterstützt. Durch seine Auftritte auf zahlreichen nationalen und internationalen Fachkonferenzen sowie mehr als 90 Fachbücher und mehr als 1500 Fachartikel gehört Holger Schwichtenberg zu den bekanntesten Experten für .NET und Webtechniken in Deutschland.

Anstelle von


if (meineWebsite != null)
{
  meineWebsite.Url = "
  meineWebsite.Url = meineWebsite.Url.ToLower();
  meineWebsite.Counter += 1;
}


darf man nun verkürzt mit dem Fragezeichen vor dem Punkt (?.) ohne if schreiben:


meineWebsite?.Url = "
meineWebsite?.Url = meineWebsite.Url.ToLower();
meineWebsite?.Counter += 1;


Das führt zur Laufzeit zu keinem Fehler. Allerdings passiert auch rein gar nichts, falls die Variable meineWebsite den Wert null besitzt.

Weiterlesen nach der Anzeige

Die Variante


meineWebsite?.Owner.Name = "IT-Visions";
Console.WriteLine("Owner: " + meineWebsite?.Owner.Name);


funktioniert, wenn Website null ist. Aber nicht, wenn Website != null und Owner = null. Dann braucht man:


meineWebsite?.Owner?.Name = "IT-Visions";
Console.WriteLine("Owner: " + meineWebsite?.Owner?.Name);


Das Null-Conditional Assignment ist auch bei einem Indexer erlaubt:


Website[] websites = …;
websites?[0]?.Url = "



(rme)



Source link

Weiterlesen

Künstliche Intelligenz

Digitale Verwaltung: Für Schriftform soll bald meistens eine Mail genügen


Exakt 3111 verwaltungsrechtliche Vorschriften des Bundes verlangten im Jahr 2014 die sogenannte Schriftform. Sie forderten also zum Beispiel von Bürgern einen „schriftlichen“ oder „unterzeichneten“ Antrag.

Das ergab damals eine systematische Recherche des Innenministeriums. Im Anschluss wollte das Ministerium möglichst viele dieser Schriftformerfordernisse streichen – doch bei 80 Prozent von 2872 näher untersuchten Fällen scheiterte dieses Ansinnen, häufig am Widerstand anderer Ministerien.

Die Schriftform erwies sich damit als zäher Widersacher bei der Digitalisierung des Staates. Zwar bedeutet Schriftform nicht unbedingt, dass man der Behörde einen Brief oder ein Fax senden muss. Doch die digitalen Ersatzmöglichkeiten – etwa der elektronische Personalausweis – haben sich auch nach vielen Jahren wegen der umständlichen Handhabung nicht im erhofften Maße durchgesetzt.


Das war die Leseprobe unseres heise-Plus-Artikels „Digitale Verwaltung: Für Schriftform soll bald meistens eine Mail genügen“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.



Source link

Weiterlesen

Beliebt