Über 100.000 Corona-Testergebnisse waren im Netz frei einsehbar
Chaos Computer Club (CCC), der die Schwachstelle umgehend den zuständigen Behörden gemeldet hat, aufgrund einer Sicherheitslücke unzureichend geschützt über das Internet abrufbar. Betroffen waren demnach mehrere Corona-Testzentren in Deutschland und Österreich, konkret geht es um mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen.
In Sachen Sicherheit gab es aber offenbar erhebliche Mängel, so der CCC: "Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogene Daten anderer Nutzer_innen einsehen." Entdeckt wurde die Schwachstelle über ein Berliner Testzentrum, die Lösung von Medicus.ai kam nicht nur in öffentlichen Einrichtungen der deutschen Hauptstadt, sondern auch in München und Kärnten zum Einsatz, betroffen waren auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.
Das "Hacken" war eigentlich keines, denn die fremden Ergebnisse konnten über eine simple Manipulation der URL gefunden werden. "Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die 'Testzertifikate' anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", so das CCC.
Laut den CCC-Sicherheitsexperten konnte man mit einem Konto auch ungehindert auf ein Dashboard zugreifen und "sekundengenau" für jedes Testzentrum einsehen, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Medicus.ai hat eigenen Angaben nach diese Schwachstelle mittlerweile geschlossen. Ob es einen unerlaubten Zugriff auf die Daten gegeben hat, ist unklar und auch kaum feststellbar.
Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer und Corona-Testergebnis: All diese sensiblen Daten waren laut dem "Digitale Schnellschüsse" schuld
Die Erklärung ist banal und erschreckend zugleich, denn laut CCC waren Digitalisierungsmängel und "digitale Schnellschüsse" dafür verantwortlich. Im Mittelpunkt der aktuellen Angelegenheit steht das Wiener Unternehmen Medicus.ai. Dieses stellt unter dem Namen Safeplay eine "Rundum-Sorglos-Website" für Testzentren bereit, darüber lassen sich Termine buchen und Online-Testzertifikate ausstellen.In Sachen Sicherheit gab es aber offenbar erhebliche Mängel, so der CCC: "Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogene Daten anderer Nutzer_innen einsehen." Entdeckt wurde die Schwachstelle über ein Berliner Testzentrum, die Lösung von Medicus.ai kam nicht nur in öffentlichen Einrichtungen der deutschen Hauptstadt, sondern auch in München und Kärnten zum Einsatz, betroffen waren auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.
Das "Hacken" war eigentlich keines, denn die fremden Ergebnisse konnten über eine simple Manipulation der URL gefunden werden. "Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die 'Testzertifikate' anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", so das CCC.
Laut den CCC-Sicherheitsexperten konnte man mit einem Konto auch ungehindert auf ein Dashboard zugreifen und "sekundengenau" für jedes Testzentrum einsehen, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Medicus.ai hat eigenen Angaben nach diese Schwachstelle mittlerweile geschlossen. Ob es einen unerlaubten Zugriff auf die Daten gegeben hat, ist unklar und auch kaum feststellbar.
Thema:
Bilder zum Thema Coronavirus
Videos zum Thema Coronavirus
- Lieferprobleme auch bei Foto-Produkten: Das sind die Hintergründe
- Super Bowl 2021: Ford macht Mut im Kampf gegen Corona
- Gut sicht- und hörbar: Razer präsentiert High-Tech-Gesichtsmaske
- Clever gegen Corona: Stadion setzt Drohnen zum Desinfizieren ein
- Corona-Warn-App: Rundgang durch die Tracing-App des Bundes
Neue Downloads zum Thema
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Neue Nachrichten
- "Was ist neu": Microsoft Store-Update zeigt nun Changelog mit an
- New York erlaubt selbstfahrende Autos - aber nur mit Fahrer
- E-Mail-Betrugswarnung: Kunden dreier deutscher Banken betroffen
- Ukraine nutzt Mikrofon-Netzwerk, um Kamikaze-Drohnen aufzuspüren
- Spieleflaute bei Nintendo, verspätete Switch 2 - Tester werden entlassen
- Endlich eindeutig identifiziert: Webb findet wichtige Lebensbausteine
- Streamer Ninja hat Krebs: "Lasst euch regelmäßig vom Arzt checken!"
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen