Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

PC & Internet Corona-Schnelltests: Daten von Hunderttausenden im Netz, Zertifikate fälschbar

Durch eine ungeschützte Online-Schnittstelle, die mehrere Berliner Corona-Testanbieter gemeinsam nutzten, waren persönliche Daten von mehreren hunderttausend Personen im Internet offen abrufbar. Von dem massiven Datenleck betroffen waren personenbezogene Informationen wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und das Ergebnis der Getesteten. In einigen Fällen waren auch die Nummern von Personalausweis oder Pass der Betroffenen dabei.

Die Sicherheitslücke bei den Zentren, die sich unter dem Namen "Schnelltest Berlin" zusammengeschlossen hatten, entdeckte das IT-Kollektiv "Zerforschung". Diesem zufolge prüfte der Server über https://corona-api.de/ nicht, ob ein abgerufenes Testergebnis das der zugehörigen Person ist. Anhand der Personenliste schätzen die IT-Sicherheitsexperten, dass fast 700.000 Testergebnisse von rund 400.000 Kunden abrufbar gewesen seien. Die Berliner Landesdatenschutzbehörde ging auf Nachfrage des rbb zunächst von über 200.000 Betroffenen aus.

Impf-Zertifikat für Robert Koch​

Im Quellcode entdeckten die Experten zudem die Endpunkte, über die Mitarbeiter einen neuen Test im System anlegen und das Testergebnis speichern können. Der Server überprüfte auch hier keine Berechtigung. Die Hacker machten die Probe aufs Exempel und generierten einen PCR-Test mit negativem Ergebnis für den 177-jährigen Robert Koch. Das ausgegebene Zertifikat enthielt sogar einen BärCODE als vermeintliches Sicherheitsmerkmal, der bei einem Scan mit der zugehörigen Prüf-App auch als gültig erkannt wurde.

Die Firma WeCare Services betreibt die IT-Infrastruktur für die Anbieter von "Schnelltest Berlin". Die Sicherheitslücken seien inzwischen geschlossen, erklärte das Unternehmen. Man plane Ende kommender Woche, die Betroffenen zu informieren. Neben 15 Testzentren in der Hauptstadt, die unter dem Verbundnamen auftreten, gehören zu dem Zusammenschluss auch mobile Corona-Bike-Testpunkte, auf die oft Event-Veranstalter und Clubs setzen. Die Zerforscher hatten zuvor bei einigen anderen Testanbietern ebenfalls Schwachstellen aufgedeckt.
Quelle: heise
 
Solange aus "vermeintlichen" Kostengründen nicht konsquent auf Online-Sicherheit programmiert wird gibt es diese Art von Datenlecks immer wieder.
Eigentlich schade in der heutigen Zeit.
 
Zurück
Oben