• IT-Karriere:
  • Services:

Umfangreicher Zugriff auf sensible Patientendaten und Impfnachweise

"Anschließend kann die API dieses Dienstes genutzt werden, um beispielsweise vorhandene COVID-19-Impfnachweise abzurufen", schreiben Fassbender, Tschirsich und Zilch. Dazu sei eine Patienten-ID nötig, die jedoch nichts anderes als ein 16-stelliger Unix-Zeitstempel ist - und sich entsprechend leicht durchprobieren lässt. Bei tausend Anfragen pro Sekunde könne durchschnittlich alle 15 Minuten ein Impfnachweis abgerufen werden.

Stellenmarkt
  1. IDS Imaging Development Systems GmbH, Obersulm
  2. Statistisches Bundesamt, Wiesbaden

Doch auch mit einem reinen Patientenkonto waren Angriffe möglich. So habe die Webanwendung zwar überprüft, ob HTTP-Anfragen von authentifizierten Nutzern stammen, nicht jedoch, ob diese die entsprechende Anfrage auch durchführen dürfen. Daher sei es möglich gewesen, Impfungen als ungewollt bei anderen Patienten zu hinterlegen. Dies könne dazu führen, dass ein Patient eine aus medizinischer Sicht notwendige Mitteilung über eine Impfung nicht erhält, schreiben die Sicherheitsforscher.

Damit nicht genug: Über eine Suchfunktion unter services.mycovidvac.ch konnten die Fachpersonen auf die personenbezogenen Daten aller registrierten Nutzer zugreifen: Vorname, Nachname, Geburtsdatum, Geschlecht, Adresse, Versichertennummer, Versicherungskasse, Ausweisdetails, E-Mail-Adresse und Telefonnummer. Zudem konnten Informationen zu chronischen Krankheiten abgefragt werden.

Wurde die betroffene Person schon gegen Covid-19 geimpft, könne zudem der Impfnachweis geladen werden. Die Sicherheitsforscher kritisieren zudem, dass keine Zwei-Faktor-Authentifizierung (2FA) eingesetzt wird.

Nicht alle Sicherheitslücken dokumentiert

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Aus Zeitgründen habe man nicht alle der oberflächlich beobachteten Sicherheitsmängel dokumentieren können, schreiben die Sicherheitsforscher. So gebe es weitere Cross-Site-Scripting-Angriffsmöglichkeiten (XSS), unverschlüsselte Kommunikation und unsichere Kanäle wie SMS für den Passwort-Reset.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"In Anbetracht des hohen Schutzbedarfs der verarbeiteten Gesundheitsdaten müssen die betroffenen Dienste unverzüglich außer Betrieb genommen werden. Es ist von einer vollständigen Kompromittierung der Webanwendung auszugehen", fassen die Sicherheitsforscher die Situation zusammen. Betreiber, BAG und Datenschutzbeauftragter seien informiert worden. Letzterer leitet bereits Ermittlungen ein.

Allgemein kritisieren die Sicherheitsforscher im Handelsblatt (Paywall) den zentralen Ansatz, der in der Schweiz verfolgt werde. Bei Sicherheitsproblemen seien so automatisch alle Patienten betroffen. Auch hierzulande würden vergleichbare Risiken drohen, da der geplante deutsche Impfnachweis, der derzeit im Auftrag der Bundesregierung entwickelt werde, ähnlich aufgebaut sei.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Corona: Unzählige Sicherheitslücken im Schweizer Impfnachweis
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 3.999€ statt 4.699€
  2. (u. a. Alita - Battle Angel + 3D für 21,99€, Le Mans 66: Gegen jede Chance für 19,99€, Der...
  3. 689€ (Bestpreis)
  4. (u. a. WD Elements 10TB für 169€ (inkl. Direktabzug), Toshiba Canvio 4TB für 79€, Roccat Elo...

beta 26. Mär 2021 / Themenstart

Das sind berechtigte Einwände, aber es war freiwillig. Die Überschrift suggeriert, wir...

Sandeeh 25. Mär 2021 / Themenstart

Ja, der QR-Hash soll einfach nur dem einfachen Abgleich (Patienten-QR => DB Record...

Nimrod123 23. Mär 2021 / Themenstart

Ich stelle mal die Vermutung an, dass die Aufträge für solche Online-Platformen gerne an...

Sharra 23. Mär 2021 / Themenstart

Selbst GB ist uns weit voraus. Das Land, das in den letzten 10 Jahren absolut nichts...

Sharra 23. Mär 2021 / Themenstart

Abschalten, löschen, bei 0 anfangen.

Kommentieren


Folgen Sie uns
       


Gaming auf dem Chromebook ausprobiert

Wir haben uns Spielestreaming und natives Gaming auf dem Chromebook angesehen.

Gaming auf dem Chromebook ausprobiert Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /