- cross-posted to:
- dach@feddit.org
- cross-posted to:
- dach@feddit.org
numa ist ein Hotel ohne Rezeption. Man muss online einchecken. Durch das Hochzählen einer Rechnungsnummer konnte auf mehr als 500.000 Rechnungen sowie auf Ausweisdaten anderer Gäste zugegriffen werden.
You must log in or # to comment.
Jetzt kommt immerhin 403. Aber Du hast recht: Natürlich ist das nur ein Symptom eines größeren Problems, der Meldepflicht.
Ein rechtlicher Hinweis, falls es jemand noch nicht weiß. Solche Sachen sind sehr schnell strafbar nach §202 a-d StGB (“Hackerparagrafen”).
Außerdem ist es eine Verarbeitung von personenbezogenen Daten, auch wenn man nur kurz schaut, ob man Zugriff hat. Man muss also auch die DSGVO einhalten.
(Hier ist anscheinend alles korrekt gelaufen.)
Hab tbh den Artikel nicht gesehen. Aber so lange das über eine offene Schnittstelle geht, ist es nach einem verfahren gegen Lilith Wittman nicht strafbar, vor allem wenn man es als responsible disclosure macht, hat man für gewöhnlich nicht so viel zu befürchten. Aber ich denke jemand der auf so einem level technisch unterwegs ist weiß sich zu schützen
Ja, aber es ist nicht unbedingt so einfach. ZB falls die IDs zufällig vergeben worden wären, und man hätte etwas raten müssen. Das kann schon eine Sicherung darstellen. Das wurde im anderen Thread unter DACH angesprochen. Ich habe da auch meinen Senf hinterlassen, warum ich da eher keine rechtlichen Probleme sehe.
Etwas off-topic: Das erinnert mich an das Kapselhotel, in dem ich in Valencia bleiben wollte. Dort funktionierten Checkin und Licht und Türen der Kapsel nur mit einer App fürs Kapselsystem. Die App wiederum war von irgendeiner chinesischen Firma und hatte unter anderem Huawei Analytics integriert.
