DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
09.04.2021 ... und täglich grüßt das Murmeltier

"Daten sammeln mit und ohne Corona"

Jetzt könnten wir haarklein den gleichen Artikel wie am 18.3.2021 schreiben: Schnelltests legen persönliche Daten offen , denn es ist schon wieder passiert. Nach aktuellen Kenntnisstand sind auf der Anmeldeseite für Corona Schnelltests zwischen 6000 und 7000 Datensätze unberechtigt abgerufen bzw. heruntergeladen worden.

Betroffen sein können Menschen, die sich über die Webseite testcenter-corona.de z.B. bei Testzentren der Firma Eventus Media International auf das Coronavirus untersuchen lassen wollten. Das Unternehmen betreibt in Deutschland insgesamt neun Einrichtungen in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte.

Sicherheitsexperten des IT-Kollektivs "Zerforschung" hatten die Schwachstelle entdeckt und das Bundesamt für Sicherheit in der Informationstechnik (BSI) und danach auch Reporterinnen und Reporter von NDR, RBB und MDR informiert.

Hat mein Nachbar Corona?

Wenn ich ihn am Testcenter gesehen habe, dann kann man das im Internet nachschauen. Genau wie in unserem Bericht am 18.3. bei der Firma 21dx waren alle Daten der Testanmelder abrufbar. Das sind:

  • Vorname
  • Nachname
  • Geschlecht
  • Adresse
    • Straße
    • Hausnummer
    • Postleitzahl
    • Ort
  • Geburtsdatum
  • Staatsbürgerschaft
  • Mobilfunknummer
  • E-Mail-Adresse
  • Probentyp
  • Datum und Uhrzeit der Probenahme
  • Datum und Uhrzeit der Ergebnisbereitstellung
  • Befund
  • Optional: Reisepass/Ausweis-Nummer
  • Optional: Abweichender Aufenthaltsort in den nächsten zwei Wochen
    • Straße
    • Hausnummer
    • Postleitzahl
    • Ort

Warum musste das noch einmal passieren?

Wenn man ein Portal für personenbeziehbare Daten ins Internet stellt, sollte muss man sich Gedanken über die Sicherheit dieser Daten machen. Die Webseite testcenter-corona.de wurde jedoch einfach nur mit dem gängigen kostenlosen WordPress, einem weitverbreiteten Open-Source-Blog-System, aufgesetzt. Dafür stehen hunderte von Plug-Ins für alle möglichen zusätzlichen Funktionalitäten zu Verfügung. So lässt sich WordPress durch Plugins auch zum Buchen von Terminen und Abrufen von Testergebnissen einrichten.

So gut - so sicher - schließlich ist es Open Source Software. Dumm nur, wenn man einen eigenen Inhaltstypen registration für die Schnelltest-Registrierungen anlegt, welcher Terminbuchungen und Testzertifikate abbildet und für diesen aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Dann sind alle Registrierungen auch über diese API weltweit abrufbar. Zerforschung beschreibt das Vorgehen so:

Das ist in etwa so, als würde man sich einen Safe einbauen lassen, aber den Code dann direkt daneben legen.

Die(se) Sicherheitslücke ist inzwischen geschlossen. Das Unternehmen will die betroffenen Kunden über den Zugriff auf ihre Daten informieren.

Mehr dazu bei https://www.tagesschau.de/investigativ/ndr/datenleck-corona-test-101.html
und https://zerforschung.org/posts/eventus-testzentren/


Kommentar: RE: 20210409 ... und täglich grüßt das Murmeltier

#Digitalisierung first, Denken second!

Bi., 09.04.21 10:51


Kommentar: RE: 20210409 ... und täglich grüßt das Murmeltier

Noch schöner:
Wer sich in Berlin in einem Impfzentrum impfen lassen will, muß sich entweder mit dem persönlichen Impfcode über das Webportal der Firma #Doctolib anmelden oder man ruft an und jemand trägt dann die Daten bei dem gleichen Portal ein.
In beiden Fällen werden die Daten offenbar auf Amazon AWS in Frankreich abgespeichert, d.h. dank Cloud Act usw. haben US-Behörden vollen Zugriff auf die Daten aller Berliner Impflinge, Jeff B. sowieso.
Außerdem werden alle Daten via Cloudflare übertragen, d.h. auch an dieser Stelle haben US-Behörden (und die Firma Cloudflare) wohl vollen Zugriff auf Namen, Adressen, Geburtsdaten, Impfdatum, verabreichter Impfstoff uvam.
Wer seine Daten nicht an Amazon und Cloudflare geben will, kann sich in Berlin nicht im Impfzentrum impfen lassen. Bei Hausarztimpfungen werden hoffentlich keine Daten an Amazon etc. weitergegeben...

De., 09.04.21 15:18


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3ff
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7605-20210409-und-taeglich-gruesst-das-murmeltier.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7605-20210409-und-taeglich-gruesst-das-murmeltier.html
Tags: #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Hacking #Zerforschung #BSI #Verschlüsselung #Lauschangriff #Überwachung #Corona #Schnelltests #WordPress #API
Erstellt: 2021-04-09 08:04:57
Aufrufe: 1141

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft