20210409 ... und täglich grüßt das Murmeltier

09.04.2021 ... und täglich grüßt das Murmeltier

"Daten sammeln mit und ohne Corona"

Jetzt könnten wir haarklein den gleichen Artikel wie am 18.3.2021 schreiben: Schnelltests legen persönliche Daten offen , denn es ist schon wieder passiert. Nach aktuellen Kenntnisstand sind auf der Anmeldeseite für Corona Schnelltests zwischen 6000 und 7000 Datensätze unberechtigt abgerufen bzw. heruntergeladen worden.

Betroffen sein können Menschen, die sich über die Webseite testcenter-corona.de z.B. bei Testzentren der Firma Eventus Media International auf das Coronavirus untersuchen lassen wollten. Das Unternehmen betreibt in Deutschland insgesamt neun Einrichtungen in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte.

Sicherheitsexperten des IT-Kollektivs "Zerforschung" hatten die Schwachstelle entdeckt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) und danach auch Reporterinnen und Reporter von NDR, RBB und MDR informiert.

Hat mein Nachbar Corona?

Wenn ich ihn am Testcenter gesehen habe, dann kann man das im Internet nachschauen. Genau wie in unserem Bericht am 18.3. bei der Firma 21dx waren alle Daten der Testanmelder abrufbar. Das sind:

Vorname
Nachname
Geschlecht
Adresse
- Straße
- Hausnummer
- Postleitzahl
- Ort
Geburtsdatum
Staatsbürgerschaft
Mobilfunknummer
E-Mail-Adresse
Probentyp
Datum und Uhrzeit der Probenahme
Datum und Uhrzeit der Ergebnisbereitstellung
Befund
Optional: Reisepass/Ausweis-Nummer
Optional: Abweichender Aufenthaltsort in den nächsten zwei Wochen
- Straße
- Hausnummer
- Postleitzahl
- Ort

Warum musste das noch einmal passieren?

Wenn man ein Portal für personenbeziehbare Daten ins Internet stellt, ~~sollte~~ muss man sich Gedanken über die Sicherheit dieser Daten machen. Die Webseite testcenter-corona.de wurde jedoch einfach nur mit dem gängigen kostenlosen WordPress, einem weitverbreiteten Open-Source-Blog-System, aufgesetzt. Dafür stehen hunderte von Plug-Ins für alle möglichen zusätzlichen Funktionalitäten zu Verfügung. So lässt sich WordPress durch Plugins auch zum Buchen von Terminen und Abrufen von Testergebnissen einrichten.

So gut - so sicher - schließlich ist es Open Source Software. Dumm nur, wenn man einen eigenen Inhaltstypen registration für die Schnelltest-Registrierungen anlegt, welcher Terminbuchungen und Testzertifikate abbildet und für diesen aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Dann sind alle Registrierungen auch über diese API weltweit abrufbar. Zerforschung beschreibt das Vorgehen so:

Das ist in etwa so, als würde man sich einen Safe einbauen lassen, aber den Code dann direkt daneben legen.

Die(se) Sicherheitslücke ist inzwischen geschlossen. Das Unternehmen will die betroffenen Kunden über den Zugriff auf ihre Daten informieren.

Mehr dazu bei https://www.tagesschau.de/investigativ/ndr/datenleck-corona-test-101.html
und https://zerforschung.org/posts/eventus-testzentren/

Kommentar: RE: 20210409 ... und täglich grüßt das Murmeltier

#Digitalisierung first, Denken second!

Bi., 09.04.21 10:51

Kommentar: RE: 20210409 ... und täglich grüßt das Murmeltier

Noch schöner:
Wer sich in Berlin in einem Impfzentrum impfen lassen will, muß sich entweder mit dem persönlichen Impfcode über das Webportal der Firma #Doctolib anmelden oder man ruft an und jemand trägt dann die Daten bei dem gleichen Portal ein.
In beiden Fällen werden die Daten offenbar auf Amazon AWS in Frankreich abgespeichert, d.h. dank Cloud Act usw. haben US-Behörden vollen Zugriff auf die Daten aller Berliner Impflinge, Jeff B. sowieso.
Außerdem werden alle Daten via Cloudflare übertragen, d.h. auch an dieser Stelle haben US-Behörden (und die Firma Cloudflare) wohl vollen Zugriff auf Namen, Adressen, Geburtsdaten, Impfdatum, verabreichter Impfstoff uvam.
Wer seine Daten nicht an Amazon und Cloudflare geben will, kann sich in Berlin nicht im Impfzentrum impfen lassen. Bei Hausarztimpfungen werden hoffentlich keine Daten an Amazon etc. weitergegeben...

De., 09.04.21 15:18