Schnelltest Berlin: Schnittstelle für Coronatests schutzlos im Netz

Bei einem Berliner Schnelltestanbieter konnte man private Daten aller Nutzer herunterladen und beliebige Schnelltestergebnisse ausstellen.

Artikel veröffentlicht am ,
In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus - wie die Gruppe Zerforschung regelmäßig dokumentiert.
In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus - wie die Gruppe Zerforschung regelmäßig dokumentiert. (Bild: dronepicr/Wikimedia Commons/CC-BY 2.0)

Die Gruppe Zerforschung hat mehrere schwere Sicherheitslücken bei einem Anbieter für Covid-19-Tests aufgedeckt. Bei "Schnelltest Berlin" funktionierten demnach sämtliche API-Funktionen weitgehend ohne Berechtigungsprüfung.

Stellenmarkt
  1. Projektmanager (m/w/d) Digitale Studiotechnik International
    RSG Group GmbH, Berlin
  2. Web-Entwickler (m/w/d)
    artvera GmbH & Co. KG, Berlin-Charlottenburg
Detailsuche

Mit einem einfachen Benutzeraccount konnte man über einen API-Endpunkt die Daten aller Nutzer sowie deren Testergebnisse herunterladen. Die Adressen von knapp 400.000 Benutzern, inklusive Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie deren Testergebnisse - knapp 700.000 - konnte man einfach herunterladen.

Ein negatives Corona-Testergebnis für Robert Koch

Doch damit nicht genug: Es gelang den Mitgliedern von Zerforschung auch, sich selbst ein Testergebnis zu erstellen. Zu Testzwecken erstellten sie einen negativen Coronatest für Robert Koch.

Zerforschung hatte in der Vergangenheit bereits häufiger Sicherheitslücken bei Corona-Testzentren aufgedeckt. Die Gruppe zeigt sich sichtlich frustriert über den Umgang mit persönlichen Benutzerdaten.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

"Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren - auch das ist ein wichtiger Teil des Datenschutzes", schreibt Zerforschung in einem Blogpost. "Uns ist bewusst, dass die Datenschutzbehörden der Länder völlig überlastet sind und sich freuen, wenn die Firma, gegen die sie ermitteln, auch am Ende der Ermittlung noch existiert. Allerdings sind sie auch unsere letzte Hoffnung: Bitte verhängt endlich Strafen bei grob fahrlässigen Datenabflüssen - insbesondere im Gesundheitssektor."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


corado 12. Nov 2021 / Themenstart

Kaum spreche ich es aus.... Ich sag ja..irgendwann will das niemand mehr machen. Wird ein...

obermeier 10. Nov 2021 / Themenstart

Danke! Diese Info habe ich gesucht. :)

JE 10. Nov 2021 / Themenstart

Die DSVGO erlaubt Strafen bis zu 4% des Konzern-Weltjahresumsatzes. Das kann unter...

Maddix 10. Nov 2021 / Themenstart

Selbst dann ist unklar, wie der Entwickler eine Schnittstelle ohne jegliche...

COMWrapper 10. Nov 2021 / Themenstart

Hab jetzt schon großes Vertrauen in die digitale Krankenakte. Ist nur eine Frage der...

Kommentieren



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /