Hacker-Team nimmt IT-System hinter Corona-Schnelltests auseinander
Erneut müssen sich ehrenamtliche Sicherheitsforscher darum kümmern, dass sensible medizinische Daten aus den Corona-Tests nicht an Unbefugte gelangen. Denn beim Zusammenschluss "Schnelltest Berlin" wurde ein riesiges Datenleck aufgespürt.
Einmal mehr haben die Hacker des Kollektivs Zerforschung die IT-Systeme eines Dienstleisters im großen Pandemie-Komplex unter die Lupe genommen. Was sich dabei zeigte, ist ziemlich dramatisch. Denn in diesem Fall konnten nicht nur die persönlichen Daten von Getesteten frei aus dem Netz heraus abgerufen werden. Man konnte sich auch eigene Test-Ergebnisse nach Wunsch zusammenbauen.
Es genügten hier minimale technische Fertigkeiten, um an die Informationen zu kommen. Die Hacker schilderten, dass sie einfach auf die Webseite des Test-Anbieters, mein-schnelltest.com, gingen, um ganz normal die Ergebnisse ihres Tests abzurufen. Ein Blick in die Netzwerkverbindungen des Browsers zeigte dabei, dass die Daten hier mit einem Aufruf von https://corona-api.de/persons/owner/{USER_ID} abgerufen wurden.
Selbst gebautes Test-Zertifikat
Da die Neugier auf das System nun geweckt war, fanden die Hacker im Quellcode auch noch die Endpunkte, über die von den Mitarbeitern der Testzentren neue Datensätze angelegt werden. Probehalber legten sie einen Test für einen gewissen Robert Koch an, der im hohen Alter von inzwischen 177 Jahren glücklicherweise ein negatives Ergebnis erhielt.
Siehe auch:
Es genügten hier minimale technische Fertigkeiten, um an die Informationen zu kommen. Die Hacker schilderten, dass sie einfach auf die Webseite des Test-Anbieters, mein-schnelltest.com, gingen, um ganz normal die Ergebnisse ihres Tests abzurufen. Ein Blick in die Netzwerkverbindungen des Browsers zeigte dabei, dass die Daten hier mit einem Aufruf von https://corona-api.de/persons/owner/{USER_ID} abgerufen wurden.
Selbst gebautes Test-Zertifikat
Robert Koch hat Glück
Als man die URL etwas kürzte und erst https://corona-api.de/persons/owner/ und anschließend https://corona-api.de/persons/ ausprobierte, kamen regulär Fehlermeldungen zurück - hier lief also alles, wie es sollte. Dann aber probierte man es noch einmal mit einem fehlenden Schrägstrich am Ende: https://corona-api.de/persons/owner. "Uns fällt eine Liste mit den Personen, die auf der Plattform registriert sind, entgegen. Insgesamt fast 400.000 mit allen Daten, die bei einem Corona-Test eben so erfasst werden", berichten die Zerforschung-Mitglieder. Das umfasste Namen, Anschriften, Geburts- und Kontaktdaten sowie oft auch Ausweisnummern. Und natürlich letztlich die jeweils zugehörigen Testergebnisse.Da die Neugier auf das System nun geweckt war, fanden die Hacker im Quellcode auch noch die Endpunkte, über die von den Mitarbeitern der Testzentren neue Datensätze angelegt werden. Probehalber legten sie einen Test für einen gewissen Robert Koch an, der im hohen Alter von inzwischen 177 Jahren glücklicherweise ein negatives Ergebnis erhielt.
Siehe auch:
Thema:
Videos zum Thema Coronavirus
-
Lieferprobleme auch bei Foto-Produkten: Das sind die Hintergründe
-
Super Bowl 2021: Ford macht Mut im Kampf gegen Corona
-
Gut sicht- und hörbar: Razer präsentiert Hightech-Gesichtsmaske
-
Clever gegen Corona: Stadion setzt Drohnen zum Desinfizieren ein
-
Corona-Warn-App: Rundgang durch die Tracing-App des Bundes
Neue Downloads zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- AMD bestätigt Probleme mit FSR-Treiber 26.6.2 auf vielen Windows-PCs
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
- Weil es sowas noch nicht gab: Redditor erfindet interaktive Mausmatte
- Gears-of-War-Film auf Netflix: Erste Details zur Handlung bekannt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen