Trotz gegenteiliger Beteuerungen sind bei Karvi Solutions offenbar erneut gravierende Sicherheitsprobleme aufgetreten. Nachdem der Chaos Computer Club (CCC) Ende Februar 2025 schwerwiegende Schwachstellen auf über 500 Restaurant-Websites des Dienstleisters öffentlich gemacht hatte, hatte Geschäftsführer Vitali Pelz zügig Entwarnung gegeben: Alle Sicherheitslücken seien geschlossen, sensible Daten gelöscht.
Doch neue Hinweise stellen diese Aussage infrage. Mehrere Betroffene wandten sich inzwischen an Behörden – sie berichten, dass weiterhin persönliche Informationen durch einfache Änderungen an der URL abrufbar gewesen seien. Pelz hatte öffentlich einem namentlich nicht genannten Wettbewerber Sabotage durch API-Manipulation vorgeworfen. Ob dies tatsächlich der Auslöser war, bleibt unklar.
Fakt ist: Der Schutz sensibler Kundendaten scheint bei Karvi Solutions nach wie vor lückenhaft – und sorgt erneut für Unruhe in der Gastronomiebranche.
Informierte Stellen: Karvi Solutions und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (beide am 02.06.2025)
CCC: Kurz nach unserer letzten Meldung wurden wir auf weitere Schwachstellen hingewiesen und gebeten, diese zu melden. Das haben wir gerne übernommen. Offen zugänglich waren:
- Backups mit Quellcode und Kund*innendaten unter https://<domain>/backend.zip
- Datenbankzugangsdaten unter https://<domain>/database.json. Verschiedene Restaurants teilen sich eine Datenbank bzw. Zugangsdaten, außerdem waren Klartext-Passwörter in der Datenbank zu finden
- URLs zu Rechnungen unter https://<domain>/te.php
- Superadmin-Panel unter https://<domain>/backend/superadmin, über einen Backdoor-Account und eine SQL-Injection (‚ or ‚1‘=’1)
Quelle der Veröffentlichung: DSGVO-Portal
Fachartikel
Unsicherer Systemstart: Sicherheitslücke in initramfs erlaubt Umgehung von Linux-Bootschutz
SAP Patch Day: Juli 2025
Zweifelhafte Datensätze im Dark Web: Warum Combolists und ULP-Dateien oft keine verlässlichen Hinweise auf Sicherheitsvorfälle liefern
Ransomware-Gruppe BERT attackiert Unternehmen in Asien und Europa auf breiter Front
Streamen Sie Red Sift-Telemetriedaten an Sentinel, Splunk und mehr mit Event Hub
Studien
WatchGuard Internet Security Report: Einzigartige Malware steigt um 171 Prozent – KI-Boom treibt Bedrohungen voran
Zwei Drittel der EU-Institutionen erfüllen grundlegende Cybersicherheitsstandards nicht
Splunk-Studie: Datenflut bedroht Sicherheit und bremst KI – Deutsche Unternehmen im Spannungsfeld von Informationsexplosion und Compliance
Neue CSC-Umfrage: Überwältigende Mehrheit der CISOs rechnet in den nächsten drei Jahren mit einem Anstieg der Cyberangriffe
Accenture-Studie: Unternehmen weltweit kaum gegen KI-basierte Cyberangriffe gewappnet
Whitepaper
ISACA veröffentlicht Leitfaden zu NIS2 und DORA: Orientierungshilfe für Europas Unternehmen
CISA und US-Partner warnen kritische Infrastrukturen vor möglichen Cyberangriffen aus dem Iran
Dating-Apps: Intime Einblicke mit Folgen
Europol-Bericht warnt vor KI-Vorurteilen in der Strafverfolgung – Leitfaden für verantwortungsvollen Technologieeinsatz veröffentlicht
