Schnelltest Berlin: Schnittstelle für Coronatests schutzlos im Netz

Bei einem Berliner Schnelltestanbieter konnte man private Daten aller Nutzer herunterladen und beliebige Schnelltestergebnisse ausstellen.

Artikel veröffentlicht am ,
In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus - wie die Gruppe Zerforschung regelmäßig dokumentiert.
In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus - wie die Gruppe Zerforschung regelmäßig dokumentiert. (Bild: dronepicr/Wikimedia Commons/CC-BY 2.0)

Die Gruppe Zerforschung hat mehrere schwere Sicherheitslücken bei einem Anbieter für Covid-19-Tests aufgedeckt. Bei "Schnelltest Berlin" funktionierten demnach sämtliche API-Funktionen weitgehend ohne Berechtigungsprüfung.

Stellenmarkt
  1. Storage & Backup Architect (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg, Leinfelden-Echterdingen
  2. Cyber Security Consultant (m/w/d)
    OEDIV KG, Bielefeld
Detailsuche

Mit einem einfachen Benutzeraccount konnte man über einen API-Endpunkt die Daten aller Nutzer sowie deren Testergebnisse herunterladen. Die Adressen von knapp 400.000 Benutzern, inklusive Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie deren Testergebnisse - knapp 700.000 - konnte man einfach herunterladen.

Ein negatives Corona-Testergebnis für Robert Koch

Doch damit nicht genug: Es gelang den Mitgliedern von Zerforschung auch, sich selbst ein Testergebnis zu erstellen. Zu Testzwecken erstellten sie einen negativen Coronatest für Robert Koch.

Zerforschung hatte in der Vergangenheit bereits häufiger Sicherheitslücken bei Corona-Testzentren aufgedeckt. Die Gruppe zeigt sich sichtlich frustriert über den Umgang mit persönlichen Benutzerdaten.

Golem Akademie
  1. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    17.–18. März 2022, virtuell
Weitere IT-Trainings

"Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren - auch das ist ein wichtiger Teil des Datenschutzes", schreibt Zerforschung in einem Blogpost. "Uns ist bewusst, dass die Datenschutzbehörden der Länder völlig überlastet sind und sich freuen, wenn die Firma, gegen die sie ermitteln, auch am Ende der Ermittlung noch existiert. Allerdings sind sie auch unsere letzte Hoffnung: Bitte verhängt endlich Strafen bei grob fahrlässigen Datenabflüssen - insbesondere im Gesundheitssektor."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


corado 12. Nov 2021 / Themenstart

Kaum spreche ich es aus.... Ich sag ja..irgendwann will das niemand mehr machen. Wird ein...

obermeier 10. Nov 2021 / Themenstart

Danke! Diese Info habe ich gesucht. :)

JE 10. Nov 2021 / Themenstart

Die DSVGO erlaubt Strafen bis zu 4% des Konzern-Weltjahresumsatzes. Das kann unter...

Maddix 10. Nov 2021 / Themenstart

Selbst dann ist unklar, wie der Entwickler eine Schnittstelle ohne jegliche...

COMWrapper 10. Nov 2021 / Themenstart

Hab jetzt schon großes Vertrauen in die digitale Krankenakte. Ist nur eine Frage der...

Kommentieren



Aktuell auf der Startseite von Golem.de
Microsoft
Windows 11 verlangsamt SSDs wohl teils merklich

Viele Teile der Community messen schlechtere Werte im Vergleich zu Windows 10, wenn sie Windows 11 auf ihren SSDs verwenden.

Microsoft: Windows 11 verlangsamt SSDs wohl teils merklich
Artikel
  1. CoreELEC/LibreELEC: Smart-TV mal anders
    CoreELEC/LibreELEC
    Smart-TV mal anders

    Eine TV-Box Marke Eigenbau bringt Spaß und Gewissheit über unsere Daten. Die Linux-Distributionen CoreELEC und LibreELEC eignen sich da besonders.
    Eine Anleitung von Sebastian Hammer

  2. Weltraumteleskop: Hubble ist wieder im Einsatz
    Weltraumteleskop
    Hubble ist wieder im Einsatz

    Mit einer neuen Software sollen die Instrumente des Weltraumteleskops künftig auch trotz bestimmter Fehler weiter arbeiten.

  3. Ubisoft Blue Byte: Anno 1800 muss in die Verlängerung
    Ubisoft Blue Byte
    Anno 1800 muss in die Verlängerung

    Vorerst gibt es kein neues Anno und auch kein Die Siedler: Ubisoft Blue Byte kündigt für 2022 eine vierte Season für Anno 1800 an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /