{"id":235742,"date":"2020-09-20T00:00:54","date_gmt":"2020-09-19T22:00:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235742"},"modified":"2020-09-20T00:31:51","modified_gmt":"2020-09-19T22:31:51","slug":"datenleck-corona-testergebnisse-von-400-000-slowaken-ffentlich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/20\/datenleck-corona-testergebnisse-von-400-000-slowaken-ffentlich\/","title":{"rendered":"Datenleck: Corona-Testergebnisse von fast 400.000 Slowaken öffentlich"},"content":{"rendered":"

[English<\/a>]Schwere Datenpanne in der Slowakei: Die Corona-Testergebnisse von fast 400.000 Slowaken waren \u00f6ffentlich im Internet abrufbar. Da braucht es keine Hacker mehr, wenn so sorglos mit pers\u00f6nlichen Daten umgegangen wird.<\/p>\n

<\/p>\n

\"\"Die Deutsche Welle berichtet<\/a> im Corona-Ticker \u00fcber den Fall und schreibt dort auf Englisch:<\/p>\n

Slovakia:<\/strong> The personal data of about 400,000 people who were tested for the coronavirus was leaked online after a cybersecurity breach of the state public health system.<\/p>\n

The data leaked included names, dates of birth, addresses, test results, information on disease progression and other laboratory data.<\/p>\n

The breach has now been repaired, reported authorities.<\/p><\/blockquote>\n

Der IT-Spezialist Pavol Luptak ist durch Zufall auf die Daten gesto\u00dfen. Auf Twitter schreibt<\/a> er, dass die pers\u00f6nlichen Daten von Slowaken zu COVID-19-Tests \u00f6ffentlich gefunden wurden.<\/p>\n

\"Corona-Datenleck<\/p>\n

Eine Coronavirus-App hat diese pers\u00f6nlichen Daten ver\u00f6ffentlicht. Beim englischsprachigen Slowakia Spectator erf\u00e4hrt<\/a> man n\u00e4heres zur Datenpanne in der Slowakei. In der Moje eZdravie-App fanden die Sicherheitsforscher eine triviale Schwachstelle, wie sie in diesem Blog-Beitrag<\/a> schreiben. Die Schwachstelle erlaubte den Sicherheitsforschern, pers\u00f6nliche Informationen \u00fcber mehr als 390.000 Patienten abzurufen, die in der Slowakei auf COVID-19 getestet wurden. F\u00fcr die Demonstration wurden pers\u00f6nliche Informationen \u00fcber mehr als 130.000 Patienten abgerufen, wobei von diesem Personenkreis mehr als 1600 COVID-19 positiv getestet worden waren.<\/p>\n

Die f\u00fcr jeden Patienten erhaltenen pers\u00f6nlichen Informationen umfassen Vor- und Nachname, Geburtsnummer, Geburtsdatum, Geschlecht, Handynummer, Wohnort, Angaben zu klinischen Symptomen (Lungenentz\u00fcndung, Fieber, Husten, Unwohlsein, Schnupfen, Kopf-, Gelenk- und Muskelschmerzen), Code-Proben, das Datum der genauen Probenahme, das Labor, das den Test durchgef\u00fchrt hat, den Arzt des Antragstellers, die Protokollnummer, das Eingangs- und Untersuchungsdatum, die Art des Tests und nat\u00fcrlich sein Ergebnis.<\/p>\n

Die Schwachstelle war eigentlich trivial ausnutzbar: Jede \u00f6ffentliche Suchmaschine konnte eine API aufrufen, die die Daten lieferte. Auf diese Weise wurden die Daten der getesteten Patienten in der Suchmaschine indiziert und waren einsehbar. Der Zugriff auf die API war in keiner Weise durch eine Authentifizierung gesch\u00fctzt. Die Patientendatens\u00e4tze lie\u00dfen sich durch ein einfache Aufz\u00e4hlung eines numerischen Identifikators abrufen. Es gab wohl keinerlei Mechanismen, die das massive Herunterladen dieser Daten verhindern konnten, und alle Daten waren in unverschl\u00fcsselter, d.h. v\u00f6llig unsicherer Form (in \"Klartext\") abrufbar.<\/p>\n

Die Sicherheitsforscher meldeten die Schwachstelle am 13. Sept. 2020 \u00fcber den offiziellen CSIRT-Kanal, worauf der \u00f6ffentliche Zugriff auf die Daten am 16. September 2020 gesperrt wurde. Beim Redaktionsnetzwerk Deutschland gibt es diesen deutschsprachigen Artikel<\/a> zur Datenpanne in der Slowakei.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Schwere Datenpanne in der Slowakei: Die Corona-Testergebnisse von fast 400.000 Slowaken waren \u00f6ffentlich im Internet abrufbar. Da braucht es keine Hacker mehr, wenn so sorglos mit pers\u00f6nlichen Daten umgegangen wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-235742","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235742"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235742\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}