27. Juni 2025
Trotz gegenteiliger Beteuerungen sind bei Karvi Solutions offenbar erneut gravierende Sicherheitsprobleme aufgetreten. Nachdem der Chaos Computer Club (CCC) Ende Februar 2025 schwerwiegende Schwachstellen auf über 500 Restaurant-Websites des Dienstleisters öffentlich gemacht hatte, hatte Geschäftsführer Vitali Pelz zügig Entwarnung gegeben: Alle Sicherheitslücken seien geschlossen, sensible Daten gelöscht.
Doch neue Hinweise stellen diese Aussage infrage. Mehrere Betroffene wandten sich inzwischen an Behörden – sie berichten, dass weiterhin persönliche Informationen durch einfache Änderungen an der URL abrufbar gewesen seien. Pelz hatte öffentlich einem namentlich nicht genannten Wettbewerber Sabotage durch API-Manipulation vorgeworfen. Ob dies tatsächlich der Auslöser war, bleibt unklar.
Fakt ist: Der Schutz sensibler Kundendaten scheint bei Karvi Solutions nach wie vor lückenhaft – und sorgt erneut für Unruhe in der Gastronomiebranche.
Informierte Stellen: Karvi Solutions und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (beide am 02.06.2025)
CCC: Kurz nach unserer letzten Meldung wurden wir auf weitere Schwachstellen hingewiesen und gebeten, diese zu melden. Das haben wir gerne übernommen. Offen zugänglich waren:
- Backups mit Quellcode und Kund*innendaten unter https://<domain>/backend.zip
- Datenbankzugangsdaten unter https://<domain>/database.json. Verschiedene Restaurants teilen sich eine Datenbank bzw. Zugangsdaten, außerdem waren Klartext-Passwörter in der Datenbank zu finden
- URLs zu Rechnungen unter https://<domain>/te.php
- Superadmin-Panel unter https://<domain>/backend/superadmin, über einen Backdoor-Account und eine SQL-Injection (‚ or ‚1‘=’1)
Quelle der Veröffentlichung: DSGVO-Portal
Fachartikel
Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten
Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt
WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen
RISE with SAP: Wie Sicherheitsmaßnahmen den Return on Investment sichern
Jailbreaking: Die unterschätzte Sicherheitslücke moderner KI-Systeme
Studien
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
![Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”](https://www.all-about-security.de/wp-content/uploads/2025/12/phishing-4.jpg)
Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum
Whitepaper
ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI
Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor
Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten
NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung
Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung
Hamsterrad-Rebell
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern
Daten in eigener Hand: Europas Souveränität im Fokus
