Nach wie vor ungeschützte Zertifikatsausstellungsinterfaces zu finden
Wir fanden bei unseren Recherchen weiterhin funktionierende Webinterfaces von zwei Nicht-EU-Ländern. Wir haben die dortigen CERTs informiert, nach wie vor sind die Interfaces jedoch komplett ungeschützt online. Auch andere Personen haben diese Interfaces inzwischen gefunden und es wurden bereits Screenshots auf Twitter veröffentlicht.
Im Code der Webinterface-Anwendung war bis vor wenigen Tagen eine Beispielkonfiguration mit einem voreingestellten Passwort zu finden. Das Passwort ist gehasht, daher ist es nicht trivial möglich, das Passwort herauszufinden. Es ist aber denkbar, dass sich das Passwort mit einem Brute-Force-Angriff knacken lässt. Wir fanden ein offenes Webinterface eines weiteren Nicht-EU-Landes, das offenbar mit dieser Beispielkonfiguration geschützt ist. Ob das Standardpasswort dort funktioniert, konnten wir nicht prüfen.
In der Liste der gültigen Ausstellerzertifikate, die von Apps zur Prüfung von Impfzertifikaten genutzt werden kann, wurde das entsprechende nordmazedonische Zertifikat am Freitag entfernt. Auch in der CovPassCheck-App des Robert Koch-Instituts werden demnach diese Zertifikate nicht mehr als gültig angezeigt. Allerdings besteht das Problem weiterhin für die Zertifikate, die von anderen Stellen signiert wurden.
CovPassCheck-App zeigt falsche Impfnachweise weiterhin als gültig an
So werden nach wie vor das französische und polnische Adolf-Hitler-Zertifikat von der CovPassCheck-App als gültig angezeigt. Auch ein vom Robert Koch-Institut signiertes Zertifikat, das als Inhalt einen finnischen Text, der offenbar für den Verkauf von gefälschten Zertifikaten über den Messenger Wickr wirbt, wird weiterhin als gültig angezeigt.
Die in Deutschland verantwortlichen Behörden haben bislang auf unsere Anfragen nicht oder nur ausweichend geantwortet. Das Robert Koch-Institut hat unsere Fragen nicht beantwortet und uns ans Bundesgesundheitsministerium verwiesen.
Das Gesundheitsministerium schrieb uns: "Wir haben eine Lösung gefunden, um alle gefälschten Zertifikate sperren zu können." Man werde jedoch keine Details des Sperrverfahrens kommunizieren.
Wir haben beim Gesundheitsministerium erneut nachgefragt und darauf hingewiesen, dass die CovPassCheck-App weiterhin offensichtlich falsche Zertifikate als gültig anzeigt. Auf diese erneute Nachfrage haben wir bislang keine Antwort erhalten.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Gefälsche Impfzertifikate: Impfzertifikatsausstellung ungeschützt im Netz |
- 1
- 2
Man entfernt unsichere Default pw. Ja. Aber er entfernt auch den Zwang zur auth. Also...
... Wahrscheinlichen auf den netten Vermarkter des krassen StartUps mit dem man schön...
Nein. Es gibt diverse Webseiten die weiter falsche Zertifikate ausstellen. Die jetzt in...