Hacker-Team nimmt IT-System hinter Corona-Schnelltests auseinander
unter die Lupe genommen. Was sich dabei zeigte, ist ziemlich dramatisch. Denn in diesem Fall konnten nicht nur die persönlichen Daten von Getesteten frei aus dem Netz heraus abgerufen werden. Man konnte sich auch eigene Test-Ergebnisse nach Wunsch zusammenbauen.
Es genügten hier minimale technische Fertigkeiten, um an die Informationen zu kommen. Die Hacker schilderten, dass sie einfach auf die Webseite des Test-Anbieters, mein-schnelltest.com, gingen, um ganz normal die Ergebnisse ihres Tests abzurufen. Ein Blick in die Netzwerkverbindungen des Browsers zeigte dabei, dass die Daten hier mit einem Aufruf von https://corona-api.de/persons/owner/{USER_ID} abgerufen wurden.
Selbst gebautes Test-Zertifikat
Da die Neugier auf das System nun geweckt war, fanden die Hacker im Quellcode auch noch die Endpunkte, über die von den Mitarbeitern der Testzentren neue Datensätze angelegt werden. Probehalber legten sie einen Test für einen gewissen Robert Koch an, der im hohen Alter von inzwischen 177 Jahren glücklicherweise ein negatives Ergebnis erhielt.
Siehe auch:
Einmal mehr haben die Hacker des Kollektivs Zerforschung die IT-Systeme eines Dienstleisters im großen Pandemie-Komplex
Es genügten hier minimale technische Fertigkeiten, um an die Informationen zu kommen. Die Hacker schilderten, dass sie einfach auf die Webseite des Test-Anbieters, mein-schnelltest.com, gingen, um ganz normal die Ergebnisse ihres Tests abzurufen. Ein Blick in die Netzwerkverbindungen des Browsers zeigte dabei, dass die Daten hier mit einem Aufruf von https://corona-api.de/persons/owner/{USER_ID} abgerufen wurden.

Robert Koch hat Glück
Als man die URL etwas kürzte und erst https://corona-api.de/persons/owner/ und anschließend https://corona-api.de/persons/ ausprobierte, kamen regulär Fehlermeldungen zurück - hier lief also alles, wie es sollte. Dann aber probierte man es noch einmal mit einem fehlenden Schrägstrich am Ende: https://corona-api.de/persons/owner. "Uns fällt eine Liste mit den Personen, die auf der Plattform registriert sind, entgegen. Insgesamt fast 400.000 mit allen Daten, die bei einem Corona-Test eben so erfasst werden", berichten die Zerforschung-Mitglieder. Das umfasste Namen, Anschriften, Geburts- und Kontaktdaten sowie oft auch Ausweisnummern. Und natürlich letztlich die jeweils zugehörigen Testergebnisse.Da die Neugier auf das System nun geweckt war, fanden die Hacker im Quellcode auch noch die Endpunkte, über die von den Mitarbeitern der Testzentren neue Datensätze angelegt werden. Probehalber legten sie einen Test für einen gewissen Robert Koch an, der im hohen Alter von inzwischen 177 Jahren glücklicherweise ein negatives Ergebnis erhielt.
Siehe auch:
Kommentar abgeben
Netiquette beachten!
Bilder zum Thema Coronavirus
Videos zum Thema Coronavirus
- Lieferprobleme auch bei Foto-Produkten: Das sind die Hintergründe
- Super Bowl 2021: Ford macht Mut im Kampf gegen Corona
- Gut sicht- und hörbar: Razer präsentiert High-Tech-Gesichtsmaske
- Clever gegen Corona: Stadion setzt Drohnen zum Desinfizieren ein
- Corona-Warn-App: Rundgang durch die Tracing-App des Bundes
Neue Downloads zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote im Überblick
- ChatGPT in Suchmaschine Bing: Microsoft bringt das nächste große Ding
- Abgerundete Optik und mit KI-Co-Pilot: Neuer Edge-Browser steht bereit
- Windows 11: Microsoft veröffentlicht neue Update-Stack-Package-Beta
- Moment 3 Feature-Drop: Neue Details zum nächsten Windows 11-Update
- MyFritzApp: AVM startet neue Übersicht fürs Heimnetz mit Tooltipps
- Nordrhein-Westfalen: Microsoft 365 ist auch an Schulen konkurrenzlos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen