[English]Schwere Datenpanne in der Slowakei: Die Corona-Testergebnisse von fast 400.000 Slowaken waren öffentlich im Internet abrufbar. Da braucht es keine Hacker mehr, wenn so sorglos mit persönlichen Daten umgegangen wird.
Anzeige
Die Deutsche Welle berichtet im Corona-Ticker über den Fall und schreibt dort auf Englisch:
Slovakia: The personal data of about 400,000 people who were tested for the coronavirus was leaked online after a cybersecurity breach of the state public health system.
The data leaked included names, dates of birth, addresses, test results, information on disease progression and other laboratory data.
The breach has now been repaired, reported authorities.
Der IT-Spezialist Pavol Luptak ist durch Zufall auf die Daten gestoßen. Auf Twitter schreibt er, dass die persönlichen Daten von Slowaken zu COVID-19-Tests öffentlich gefunden wurden.
Eine Coronavirus-App hat diese persönlichen Daten veröffentlicht. Beim englischsprachigen Slowakia Spectator erfährt man näheres zur Datenpanne in der Slowakei. In der Moje eZdravie-App fanden die Sicherheitsforscher eine triviale Schwachstelle, wie sie in diesem Blog-Beitrag schreiben. Die Schwachstelle erlaubte den Sicherheitsforschern, persönliche Informationen über mehr als 390.000 Patienten abzurufen, die in der Slowakei auf COVID-19 getestet wurden. Für die Demonstration wurden persönliche Informationen über mehr als 130.000 Patienten abgerufen, wobei von diesem Personenkreis mehr als 1600 COVID-19 positiv getestet worden waren.
Anzeige
Die für jeden Patienten erhaltenen persönlichen Informationen umfassen Vor- und Nachname, Geburtsnummer, Geburtsdatum, Geschlecht, Handynummer, Wohnort, Angaben zu klinischen Symptomen (Lungenentzündung, Fieber, Husten, Unwohlsein, Schnupfen, Kopf-, Gelenk- und Muskelschmerzen), Code-Proben, das Datum der genauen Probenahme, das Labor, das den Test durchgeführt hat, den Arzt des Antragstellers, die Protokollnummer, das Eingangs- und Untersuchungsdatum, die Art des Tests und natürlich sein Ergebnis.
Die Schwachstelle war eigentlich trivial ausnutzbar: Jede öffentliche Suchmaschine konnte eine API aufrufen, die die Daten lieferte. Auf diese Weise wurden die Daten der getesteten Patienten in der Suchmaschine indiziert und waren einsehbar. Der Zugriff auf die API war in keiner Weise durch eine Authentifizierung geschützt. Die Patientendatensätze ließen sich durch ein einfache Aufzählung eines numerischen Identifikators abrufen. Es gab wohl keinerlei Mechanismen, die das massive Herunterladen dieser Daten verhindern konnten, und alle Daten waren in unverschlüsselter, d.h. völlig unsicherer Form (in "Klartext") abrufbar.
Die Sicherheitsforscher meldeten die Schwachstelle am 13. Sept. 2020 über den offiziellen CSIRT-Kanal, worauf der öffentliche Zugriff auf die Daten am 16. September 2020 gesperrt wurde. Beim Redaktionsnetzwerk Deutschland gibt es diesen deutschsprachigen Artikel zur Datenpanne in der Slowakei.
Anzeige