Informierte Stellen: Karvi Solutions und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (beide am 02.06.2025)

Kurz nach unserer letzten Meldung wurden wir auf weitere Schwachstellen hingewiesen und gebeten, diese zu melden. Das haben wir gerne übernommen. Offen zugänglich waren:

• Backups mit Quellcode und Kund*innendaten unter https://<domain>/backend.zip
• Datenbankzugangsdaten unter https://<domain>/database.json. Verschiedene Restaurants teilen sich eine Datenbank bzw. Zugangsdaten, außerdem waren Klartext-Passwörter in der Datenbank zu finden
• URLs zu Rechnungen unter https://<domain>/te.php
• Superadmin-Panel unter https://<domain>/backend/superadmin, über einen Backdoor-Account und eine SQL-Injection (' or '1'='1)