Karvi Solutions: Kundendaten von Hunderten Restaurants weiterhin ungeschützt
Eine auf Github veröffentlichte Sicherheitsanalyse zeigt schwerwiegende Mängel bei Karvi Solutions. Davon sind zehntausende Restaurant-Kunden betroffen.
Hunderte Restaurant-Websites der Firma Karvi Solutions weisen weiterhin zahlreiche Sicherheitslücken auf. Dadurch werden Daten von zehntausenden Kunden öffentlich zugänglich – von Anfang 2024 bis heute. Betroffen sind vollständige Namen, Adressen, E-Mail-Adressen, Handynummern und Bestelldetails, wie „!!!!!! Ohne Jalapenos !!!!!!!!!“. Trotz mehrfacher Hinweise scheint das Unternehmen die Lücken nicht angemessen zu beheben.
Über eine ungesicherte API lassen sich nach wie vor SMS verschicken.
(Bild: heise medien)
Die Analyse des Quellcodes „Karvi-geddon: How a Restaurant Ordering Platform Became a Security Catastrophe“ zeigt grobe Mängel in der Sicherheitsarchitektur. Am 15. Dezember 2025 ist wohl eine SMS an Betroffene verschickt worden zu sein, mit dem Hinweis auf ein Git-Repository, das eine Analyse der Schwachstellen enthält: „Es gibt ein Datenleck bei Karvi Solutions. Erneut. Mehr Details auf GitHub“. Noch immer lassen sich SMS über eine ungesicherte API an Kunden verschicken. Auch aktive API-Schlüssel für die von Karvi eingesetzten Cloud-Plattformen Twilio und AWS sind weiterhin zugänglich.
Experten bezeichnen die Sicherheitsarchitektur als fahrlässig abgesichert. Das System speicherte laut Codeanalyse zudem möglicherweise vollständige Kreditkartennummern, Ablaufdaten und die dreistelligen Prüfnummern (CVV), wobei letzteres gegen die Sicherheitsstandards der Kreditkartenindustrie (PCI DSS) verstößt.
„Was wir hier festgestellt haben, geht über Inkompetenz hinaus. Die völlige Weigerung, auf Sicherheitsmeldungen zu reagieren, in Verbindung mit der dokumentierten Historie von Sicherheitsmängeln lässt auf ein Unternehmen schließen, das sich einfach nicht um die Sicherheit oder den Schutz der Daten seiner Kunden kümmert.“
(Bild: Github)
SQL-Injection und offene Tore für Angreifer
Die Software enthält Schwachstellen, die SQL-Injection erlauben. Nutzereingaben werden so ungefiltert in Datenbankabfragen eingefügt. So können Angreifer die Datenbank vollständig auslesen oder manipulieren. Ferner ermöglicht eine fehlerhafte Funktion zur Sprachdateiverwaltung eine vollständige Übernahme des Servers: Angreifer laden ohne Anmeldung beliebigen PHP-Code hoch und führen ihn aus.