Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise

"Anschließend kann die API dieses Dienstes genutzt werden, um beispielsweise vorhandene COVID-19-Impfnachweise abzurufen", schreiben Fassbender, Tschirsich und Zilch. Dazu sei eine Patienten-ID nötig, die jedoch nichts anderes als ein 16-stelliger Unix-Zeitstempel ist - und sich entsprechend leicht durchprobieren lässt. Bei tausend Anfragen pro Sekunde könne durchschnittlich alle 15 Minuten ein Impfnachweis abgerufen werden.

Stellenmarkt
  1. Systemmanager (m/w/d) SAP BW
    Flughafen Köln/Bonn GmbH, Köln
  2. Cloud Plattform Engineer (DevOps) - Business Intelligence (w/m/d)
    dmTECH GmbH, bundesweit
Detailsuche

Doch auch mit einem reinen Patientenkonto waren Angriffe möglich. So habe die Webanwendung zwar überprüft, ob HTTP-Anfragen von authentifizierten Nutzern stammen, nicht jedoch, ob diese die entsprechende Anfrage auch durchführen dürfen. Daher sei es möglich gewesen, Impfungen als ungewollt bei anderen Patienten zu hinterlegen. Dies könne dazu führen, dass ein Patient eine aus medizinischer Sicht notwendige Mitteilung über eine Impfung nicht erhält, schreiben die Sicherheitsforscher.

Damit nicht genug: Über eine Suchfunktion unter services.mycovidvac.ch konnten die Fachpersonen auf die personenbezogenen Daten aller registrierten Nutzer zugreifen: Vorname, Nachname, Geburtsdatum, Geschlecht, Adresse, Versichertennummer, Versicherungskasse, Ausweisdetails, E-Mail-Adresse und Telefonnummer. Zudem konnten Informationen zu chronischen Krankheiten abgefragt werden.

Wurde die betroffene Person schon gegen Covid-19 geimpft, könne zudem der Impfnachweis geladen werden. Die Sicherheitsforscher kritisieren zudem, dass keine Zwei-Faktor-Authentifizierung (2FA) eingesetzt wird.

Nicht alle Sicherheitslücken dokumentiert

Golem Karrierewelt
  1. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    01./02.12.2022, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    06.-08.03.2023, Virtuell
Weitere IT-Trainings

Aus Zeitgründen habe man nicht alle der oberflächlich beobachteten Sicherheitsmängel dokumentieren können, schreiben die Sicherheitsforscher. So gebe es weitere Cross-Site-Scripting-Angriffsmöglichkeiten (XSS), unverschlüsselte Kommunikation und unsichere Kanäle wie SMS für den Passwort-Reset.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich außer Betrieb genommen werden. Es ist von einer vollständigen Kompromittierung der Webanwendung auszugehen", fassen die Sicherheitsforscher die Situation zusammen. Betreiber, BAG und Datenschutzbeauftragter seien informiert worden. Letzterer leitet bereits Ermittlungen ein.

Allgemein kritisieren die Sicherheitsforscher im Handelsblatt (Paywall) den zentralen Ansatz, der in der Schweiz verfolgt werde. Bei Sicherheitsproblemen seien so automatisch alle Patienten betroffen. Auch hierzulande würden vergleichbare Risiken drohen, da der geplante deutsche Impfnachweis, der derzeit im Auftrag der Bundesregierung entwickelt werde, ähnlich aufgebaut sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
  1.  
  2. 1
  3. 2


beta 26. Mär 2021

Das sind berechtigte Einwände, aber es war freiwillig. Die Überschrift suggeriert, wir...

Sandeeh 25. Mär 2021

Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record...

Nimrod123 23. Mär 2021

Ich stelle mal die Vermutung an, dass die Aufträge für solche Online-Platformen gerne an...

Sharra 23. Mär 2021

Selbst GB ist uns weit voraus. Das Land, das in den letzten 10 Jahren absolut nichts...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /