27. Juni 2025
Trotz gegenteiliger Beteuerungen sind bei Karvi Solutions offenbar erneut gravierende Sicherheitsprobleme aufgetreten. Nachdem der Chaos Computer Club (CCC) Ende Februar 2025 schwerwiegende Schwachstellen auf über 500 Restaurant-Websites des Dienstleisters öffentlich gemacht hatte, hatte Geschäftsführer Vitali Pelz zügig Entwarnung gegeben: Alle Sicherheitslücken seien geschlossen, sensible Daten gelöscht.
Doch neue Hinweise stellen diese Aussage infrage. Mehrere Betroffene wandten sich inzwischen an Behörden – sie berichten, dass weiterhin persönliche Informationen durch einfache Änderungen an der URL abrufbar gewesen seien. Pelz hatte öffentlich einem namentlich nicht genannten Wettbewerber Sabotage durch API-Manipulation vorgeworfen. Ob dies tatsächlich der Auslöser war, bleibt unklar.
Fakt ist: Der Schutz sensibler Kundendaten scheint bei Karvi Solutions nach wie vor lückenhaft – und sorgt erneut für Unruhe in der Gastronomiebranche.
Informierte Stellen: Karvi Solutions und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (beide am 02.06.2025)
CCC: Kurz nach unserer letzten Meldung wurden wir auf weitere Schwachstellen hingewiesen und gebeten, diese zu melden. Das haben wir gerne übernommen. Offen zugänglich waren:
- Backups mit Quellcode und Kund*innendaten unter https://<domain>/backend.zip
- Datenbankzugangsdaten unter https://<domain>/database.json. Verschiedene Restaurants teilen sich eine Datenbank bzw. Zugangsdaten, außerdem waren Klartext-Passwörter in der Datenbank zu finden
- URLs zu Rechnungen unter https://<domain>/te.php
- Superadmin-Panel unter https://<domain>/backend/superadmin, über einen Backdoor-Account und eine SQL-Injection (‚ or ‚1‘=’1)
Quelle der Veröffentlichung: DSGVO-Portal
Fachartikel
Autonome APTs: Die Claude-basierte Operation wird nicht die letzte sein
Stand der Technik umsetzen: Wie Unternehmen jetzt handeln sollten
Industrielles Phishing gegen Italiens Infrastruktur: Group‑IB entdeckt automatisiertes Aruba‑Imitierendes Phishing‑Kit
Stärkung von Red Teams: Ein modulares Gerüst für Kontrollbewertungen
SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen
Studien
NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand
BSI-Lagebericht 2025: Fortschritte in der Cybersicherheit – Deutschland bleibt verwundbar
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor
KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen
Whitepaper
Industrial AI: KI als Treiber der Wettbewerbsfähigkeit
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Hamsterrad-Rebell
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will
