Durch eine ungeschützte Online-Schnittstelle, die mehrere Berliner Corona-Testanbieter gemeinsam nutzten, waren persönliche Daten von mehreren hunderttausend Personen im Internet offen abrufbar. Von dem massiven Datenleck betroffen waren personenbezogene Informationen wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und das Ergebnis der Getesteten. In einigen Fällen waren auch die Nummern von Personalausweis oder Pass der Betroffenen dabei.
Die Sicherheitslücke bei den Zentren, die sich unter dem Namen "Schnelltest Berlin" zusammengeschlossen hatten,
Die Firma WeCare Services betreibt die IT-Infrastruktur für die Anbieter von "Schnelltest Berlin". Die Sicherheitslücken seien inzwischen geschlossen, erklärte das Unternehmen. Man plane Ende kommender Woche, die Betroffenen zu informieren. Neben 15 Testzentren in der Hauptstadt, die unter dem Verbundnamen auftreten, gehören zu dem Zusammenschluss auch mobile Corona-Bike-Testpunkte, auf die oft Event-Veranstalter und Clubs setzen. Die Zerforscher
Quelle: heise
Die Sicherheitslücke bei den Zentren, die sich unter dem Namen "Schnelltest Berlin" zusammengeschlossen hatten,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Diesem zufolge prüfte der Server über
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
nicht, ob ein abgerufenes Testergebnis das der zugehörigen Person ist. Anhand der Personenliste schätzen die IT-Sicherheitsexperten, dass fast 700.000 Testergebnisse von rund 400.000 Kunden abrufbar gewesen seien. Die Berliner Landesdatenschutzbehörde
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Impf-Zertifikat für Robert Koch
Im Quellcode entdeckten die Experten zudem die Endpunkte, über die Mitarbeiter einen neuen Test im System anlegen und das Testergebnis speichern können. Der Server überprüfte auch hier keine Berechtigung. Die Hacker machten die Probe aufs Exempel und generierten einen PCR-Test mit negativem Ergebnis für den 177-jährigen Robert Koch. Das ausgegebene Zertifikat enthielt sogar einen BärCODE als vermeintliches Sicherheitsmerkmal, der bei einem Scan mit der zugehörigen Prüf-App auch als gültig erkannt wurde.Die Firma WeCare Services betreibt die IT-Infrastruktur für die Anbieter von "Schnelltest Berlin". Die Sicherheitslücken seien inzwischen geschlossen, erklärte das Unternehmen. Man plane Ende kommender Woche, die Betroffenen zu informieren. Neben 15 Testzentren in der Hauptstadt, die unter dem Verbundnamen auftreten, gehören zu dem Zusammenschluss auch mobile Corona-Bike-Testpunkte, auf die oft Event-Veranstalter und Clubs setzen. Die Zerforscher
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
ebenfalls Schwachstellen aufgedeckt.Quelle: heise
