27. Juni 2025
Trotz gegenteiliger Beteuerungen sind bei Karvi Solutions offenbar erneut gravierende Sicherheitsprobleme aufgetreten. Nachdem der Chaos Computer Club (CCC) Ende Februar 2025 schwerwiegende Schwachstellen auf über 500 Restaurant-Websites des Dienstleisters öffentlich gemacht hatte, hatte Geschäftsführer Vitali Pelz zügig Entwarnung gegeben: Alle Sicherheitslücken seien geschlossen, sensible Daten gelöscht.
Doch neue Hinweise stellen diese Aussage infrage. Mehrere Betroffene wandten sich inzwischen an Behörden – sie berichten, dass weiterhin persönliche Informationen durch einfache Änderungen an der URL abrufbar gewesen seien. Pelz hatte öffentlich einem namentlich nicht genannten Wettbewerber Sabotage durch API-Manipulation vorgeworfen. Ob dies tatsächlich der Auslöser war, bleibt unklar.
Fakt ist: Der Schutz sensibler Kundendaten scheint bei Karvi Solutions nach wie vor lückenhaft – und sorgt erneut für Unruhe in der Gastronomiebranche.
Informierte Stellen: Karvi Solutions und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (beide am 02.06.2025)
CCC: Kurz nach unserer letzten Meldung wurden wir auf weitere Schwachstellen hingewiesen und gebeten, diese zu melden. Das haben wir gerne übernommen. Offen zugänglich waren:
- Backups mit Quellcode und Kund*innendaten unter https://<domain>/backend.zip
- Datenbankzugangsdaten unter https://<domain>/database.json. Verschiedene Restaurants teilen sich eine Datenbank bzw. Zugangsdaten, außerdem waren Klartext-Passwörter in der Datenbank zu finden
- URLs zu Rechnungen unter https://<domain>/te.php
- Superadmin-Panel unter https://<domain>/backend/superadmin, über einen Backdoor-Account und eine SQL-Injection (‚ or ‚1‘=’1)
Quelle der Veröffentlichung: DSGVO-Portal
Fachartikel
RC4-Deaktivierung – so müssen Sie jetzt handeln
Plattform-Engineering im Wandel: Was KI-Agenten wirklich verändern
KI-Agenten im Visier: Wie versteckte Web-Befehle autonome Systeme manipulieren
Island und AWS Security Hub: Kontrollierte KI-Nutzung und sicheres Surfen im Unternehmensumfeld
Wie das iOS-Exploit-Kit Coruna zum Werkzeug staatlicher und krimineller Akteure wurde
Studien
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Finanzsektor unterschätzt Cyber-Risiken: Studie offenbart strukturelle Defizite in der IT-Sicherheit
CrowdStrike Global Threat Report 2026: KI beschleunigt Cyberangriffe und weitet Angriffsflächen aus
IT-Sicherheit in Großbritannien: Hohe Vorfallsquoten, steigende Budgets – doch der Wandel stockt
Whitepaper
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Third Party Risk Management – auch das Procurement benötigt technische Unterstützung
EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung
Hamsterrad-Rebell
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
