Schnelltest Berlin: Schnittstelle für Coronatests schutzlos im Netz

Bei einem Berliner Schnelltestanbieter konnte man private Daten aller Nutzer herunterladen und beliebige Schnelltestergebnisse ausstellen.

Artikel veröffentlicht am ,
In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus - wie die Gruppe Zerforschung regelmäßig dokumentiert.
In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus - wie die Gruppe Zerforschung regelmäßig dokumentiert. (Bild: dronepicr/Wikimedia Commons/CC-BY 2.0)

Die Gruppe Zerforschung hat mehrere schwere Sicherheitslücken bei einem Anbieter für Covid-19-Tests aufgedeckt. Bei "Schnelltest Berlin" funktionierten demnach sämtliche API-Funktionen weitgehend ohne Berechtigungsprüfung.

Stellenmarkt
  1. Testingenieur für Testautomatisierung an Prüfständen (m/w/d)
    Bertrandt Ingenieurbüro GmbH, Wolfsburg, Hamburg, Leipzig, Magdeburg
  2. Referent (m/w/d) Anwendung im Team IT-Steuerung
    Taunus Sparkasse, Frankfurt am Main
Detailsuche

Mit einem einfachen Benutzeraccount konnte man über einen API-Endpunkt die Daten aller Nutzer sowie deren Testergebnisse herunterladen. Die Adressen von knapp 400.000 Benutzern, inklusive Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie deren Testergebnisse - knapp 700.000 - konnte man einfach herunterladen.

Ein negatives Corona-Testergebnis für Robert Koch

Doch damit nicht genug: Es gelang den Mitgliedern von Zerforschung auch, sich selbst ein Testergebnis zu erstellen. Zu Testzwecken erstellten sie einen negativen Coronatest für Robert Koch.

Zerforschung hatte in der Vergangenheit bereits häufiger Sicherheitslücken bei Corona-Testzentren aufgedeckt. Die Gruppe zeigt sich sichtlich frustriert über den Umgang mit persönlichen Benutzerdaten.

Golem Karrierewelt
  1. Grundlagen für Virtual Reality mit Unreal Engine: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
  2. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    06.-08.03.2023, Virtuell
Weitere IT-Trainings

"Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren - auch das ist ein wichtiger Teil des Datenschutzes", schreibt Zerforschung in einem Blogpost. "Uns ist bewusst, dass die Datenschutzbehörden der Länder völlig überlastet sind und sich freuen, wenn die Firma, gegen die sie ermitteln, auch am Ende der Ermittlung noch existiert. Allerdings sind sie auch unsere letzte Hoffnung: Bitte verhängt endlich Strafen bei grob fahrlässigen Datenabflüssen - insbesondere im Gesundheitssektor."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


corado 12. Nov 2021

Kaum spreche ich es aus.... Ich sag ja..irgendwann will das niemand mehr machen. Wird ein...

obermeier 10. Nov 2021

Danke! Diese Info habe ich gesucht. :)

JE 10. Nov 2021

Die DSVGO erlaubt Strafen bis zu 4% des Konzern-Weltjahresumsatzes. Das kann unter...

Maddix 10. Nov 2021

Selbst dann ist unklar, wie der Entwickler eine Schnittstelle ohne jegliche...



Aktuell auf der Startseite von Golem.de
Twitter
Was bisher bei Elon Musks Twitter 2.0 geschah

Nach der Twitter-Übernahme durch Elon Musk ist klar: Das Netzwerk hat wesentlich weniger Mitarbeiter. Es ist aber noch viel mehr passiert.
Ein Bericht von Oliver Nickel

Twitter: Was bisher bei Elon Musks Twitter 2.0 geschah
Artikel
  1. Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer
    Responsible Disclosure
    Obi macht das Melden einer Sicherheitslücke schwer

    Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

  2. Telefónica: Warum der LTE-Ausbau in der U-Bahn so lange dauert
    Telefónica
    Warum der LTE-Ausbau in der U-Bahn so lange dauert

    Seit August 2010 laufen in Deutschland LTE-Netze. Nun wird 5G langsam wichtiger, doch die Berliner U-Bahn ist noch immer nicht für alle mit 4G versorgt.

  3. Sono Motors: Solarauto Sion steht vor dem Aus
    Sono Motors
    Solarauto Sion steht vor dem Aus

    Sono Motors hat nicht mehr genug Geld für den Aufbau der Serienproduktion des Solarautos Sion. Nun soll die Community finanziell helfen. Mal wieder.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Palit RTX 4080 1.369€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /