Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise

"Anschließend kann die API dieses Dienstes genutzt werden, um beispielsweise vorhandene COVID-19-Impfnachweise abzurufen", schreiben Fassbender, Tschirsich und Zilch. Dazu sei eine Patienten-ID nötig, die jedoch nichts anderes als ein 16-stelliger Unix-Zeitstempel ist - und sich entsprechend leicht durchprobieren lässt. Bei tausend Anfragen pro Sekunde könne durchschnittlich alle 15 Minuten ein Impfnachweis abgerufen werden.

Stellenmarkt
  1. Informatiker / innen oder Physiker / innen (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Berlin
  2. Referent/in (w, m, d) Referat 101 - Digitale Koordinierungsstelle Versorgungsverwaltung stv. ... (m/w/d)
    Regierungspräsidium Stuttgart, Stuttgart-Vaihingen
Detailsuche

Doch auch mit einem reinen Patientenkonto waren Angriffe möglich. So habe die Webanwendung zwar überprüft, ob HTTP-Anfragen von authentifizierten Nutzern stammen, nicht jedoch, ob diese die entsprechende Anfrage auch durchführen dürfen. Daher sei es möglich gewesen, Impfungen als ungewollt bei anderen Patienten zu hinterlegen. Dies könne dazu führen, dass ein Patient eine aus medizinischer Sicht notwendige Mitteilung über eine Impfung nicht erhält, schreiben die Sicherheitsforscher.

Damit nicht genug: Über eine Suchfunktion unter services.mycovidvac.ch konnten die Fachpersonen auf die personenbezogenen Daten aller registrierten Nutzer zugreifen: Vorname, Nachname, Geburtsdatum, Geschlecht, Adresse, Versichertennummer, Versicherungskasse, Ausweisdetails, E-Mail-Adresse und Telefonnummer. Zudem konnten Informationen zu chronischen Krankheiten abgefragt werden.

Wurde die betroffene Person schon gegen Covid-19 geimpft, könne zudem der Impfnachweis geladen werden. Die Sicherheitsforscher kritisieren zudem, dass keine Zwei-Faktor-Authentifizierung (2FA) eingesetzt wird.

Nicht alle Sicherheitslücken dokumentiert

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    1.–2. Dezember 2021, virtuell
Weitere IT-Trainings

Aus Zeitgründen habe man nicht alle der oberflächlich beobachteten Sicherheitsmängel dokumentieren können, schreiben die Sicherheitsforscher. So gebe es weitere Cross-Site-Scripting-Angriffsmöglichkeiten (XSS), unverschlüsselte Kommunikation und unsichere Kanäle wie SMS für den Passwort-Reset.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich außer Betrieb genommen werden. Es ist von einer vollständigen Kompromittierung der Webanwendung auszugehen", fassen die Sicherheitsforscher die Situation zusammen. Betreiber, BAG und Datenschutzbeauftragter seien informiert worden. Letzterer leitet bereits Ermittlungen ein.

Allgemein kritisieren die Sicherheitsforscher im Handelsblatt (Paywall) den zentralen Ansatz, der in der Schweiz verfolgt werde. Bei Sicherheitsproblemen seien so automatisch alle Patienten betroffen. Auch hierzulande würden vergleichbare Risiken drohen, da der geplante deutsche Impfnachweis, der derzeit im Auftrag der Bundesregierung entwickelt werde, ähnlich aufgebaut sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
  1.  
  2. 1
  3. 2


beta 26. Mär 2021

Das sind berechtigte Einwände, aber es war freiwillig. Die Überschrift suggeriert, wir...

Sandeeh 25. Mär 2021

Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record...

Nimrod123 23. Mär 2021

Ich stelle mal die Vermutung an, dass die Aufträge für solche Online-Platformen gerne an...

Sharra 23. Mär 2021

Selbst GB ist uns weit voraus. Das Land, das in den letzten 10 Jahren absolut nichts...

Sharra 23. Mär 2021

Abschalten, löschen, bei 0 anfangen.



Aktuell auf der Startseite von Golem.de
Encrochat-Hack
"Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
Ein Interview von Moritz Tremmel

Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
Artikel
  1. Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
    Pornhub, Youporn, Mydirtyhobby
    Gericht bestätigt Zugangsverbot für Pornoportale

    Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

  2. Sony Xperia Pro-I mit herausragender Kamera bei Saturn
     
    Sony Xperia Pro-I mit herausragender Kamera bei Saturn

    Sony bringt mit dem Xperia Pro-I ein neues Top-Smartphone auf den Markt. Wer jetzt vorbestellt, sichert sich zusätzlich ein kostenloses Geschenk.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Luna Display: Mac als zweiter Bildschirm für Windows-Geräte
    Luna Display
    Mac als zweiter Bildschirm für Windows-Geräte

    Der kleine Funkadapter Luna Display kann jetzt in Windows-PCs gesteckt werden, um das Display eines Macs als zweiten Bildschirm nutzen zu können.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Kopfhörer von Beats & Gaming-Stühle zu Bestpreisen [Werbung]
    •  /