![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
COVID-19-Testzentren sind momentan wohl die reinste Goldgrube, auf die sich zahlreiche Anwender st\u00fcrzen. Kein Wunder, dass es jetzt den Verdacht auf Betrug gibt, dem Staatsanwaltschaften nachgehen. Aber auch mit der Sicherheit der Testergebnisse gegen Einsichtnahme durch Unbefugte ist es nicht soweit her.<\/p>\n
<\/p>\n
Betroffen von dem Datenschutzvorfall sind mehr als 80.000 Testergebnisse von vier verschiedenen Firmen, die COVID-19-Testzentren betreiben. Alle Firmen nutzen die gleiche Software, die es durch Raten erm\u00f6glicht, auf Daten anderer Getesteter zuzugreifen. Das Hacker-Kollektiv Zerforschung bekam einen Tipp, sich ein deutschlandweit in Testzentren genutztes System, welches zudem auf der Google-Cloud und einem URL-Linkverk\u00fcrzer mit Standort in der Karibik aufsetzt, man genauer anzusehen. Die Betreiber setzen dieses System in Berlin und M\u00fcnchen sowie in Ravensburg, Weingarten, Bad Waldsee und Markdorf ein.<\/p>\n Wer sich dort auf COVID-19 testen l\u00e4sst, erh\u00e4lt im Anschluss eine SMS mit seinen Testergebnissen zugestellt. Die SMS enth\u00e4lt dabei eine, durch einen Linkverk\u00fcrzer (URL-Shortlink) umgesetzte, kurze URL, \u00fcber die sich die Ergebnisse des Tests abrufen lassen. Bei den URLs in der SMS gab es ein Namenschema: is.gd\/ABC123<\/em>, wobei ABC123> eine 6-stellige Kombination von Gro\u00df-, Kleinbuchstaben und Ziffern ist.<\/p>\n Die Verwendung von sechs Ziffern f\u00fcr den URL-Code er\u00f6ffnet die M\u00f6glichkeit, die URLs mit vertretbarem Aufwand zu erraten und so auf Testergebnisse Dritter zuzugreifen. Auch die Verwendung des Link-Verk\u00fcrzers is.gd<\/em> in den SMS zum Abrufen eines Testergebnisses hat schon eine besondere Note. Da damit auf brisante Daten zugegriffen werden k\u00f6nnte, m\u00fcsste sichergestellt sein, dass dieser Anbieter den Datenschutz einh\u00e4lt. Ist der Sitz au\u00dferhalb der EU, wird das kritisch – is.gd unterliegt dem Recht Gro\u00dfbritanniens. Und in den AGB verbietet der Dienst die Verwendung des Link-Verk\u00fcrzers in kommerziellen E-Mails. SMS ist zwar etwas anderes, d\u00fcrfte aber im Geiste in die gleiche Kategorie fallen. Scheint die Entwickler der Software-L\u00f6sungen f\u00fcr die Testzenten nicht gest\u00f6rt zu haben.<\/p>\n Bei der Analyse des Quellcodes der Seite f\u00fcr die Terminvereinbarung f\u00fcr COVID-19-Tests wurden das Hackerkollektiv f\u00fcndig. Im Quellcode der Seite war ein API-Key f\u00fcr den E-Mail-Provider \"Sendinblue\" im Klartext angegeben. Der E-Mail-Provider \"Sendinblue\" wurde von den Betreibern der Testzentren zum Versand der Mails verwendet. Mit dem API-Key lie\u00df sich die Liste aller jemals versendeten Mails vom E-Mail-Provider \"Sendinblue\" samt den E-Mail-Inhalten abrufen.<\/p>\n Eine Auswertung der Sicherheitsl\u00fccken offenbarte, dass die Betreiber der COVID-19-Testzenten sehr sorglos und leichtsinnig mit dem Datenschutz der sensitiven Personendaten umgingen. Die Ergebnisse der Tests wurden z.B. als PDF in der Google-Cloud gespeichert. In obigem Screenshot wird offenbart, welche Daten \u00fcber die Testergebnisse zugreifbar waren. Zudem enth\u00e4lt die Tabelle eine \u00dcbersicht, welche COVID-19-Testcenter-Betreiber mit wie vielen Datens\u00e4tzen betroffen waren.\u00a0 Die Schwachstellen sind inzwischen zwar geschlossen, aber die Reaktionen auf die Meldung der Schwachstellen wird vom Hacker-Kollektiv als halbherzig eingestuft. Weitere Details lassen sich diesem Beitrag<\/a> des Hacker-Kollektivs entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" COVID-19-Testzentren sind momentan wohl die reinste Goldgrube, auf die sich zahlreiche Anwender st\u00fcrzen. Kein Wunder, dass es jetzt den Verdacht auf Betrug gibt, dem Staatsanwaltschaften nachgehen. Aber auch mit der Sicherheit der Testergebnisse gegen Einsichtnahme durch Unbefugte ist es nicht … Weiterlesen K\u00fcrzlich hatte ich im Blog-Beitrag Corona-Tests: Datenleck legt pers\u00f6nliche Daten und Ergebnisse offen<\/a> \u00fcber einen solchen Fall berichtet. Blog-Leser nook hat mich auf einen neuen Fall hingewiesen. Die White-Hat-Hacker von Zerforschung habe sich erneut Webseiten von COVID-19-Testzentren angesehen und sind nun bereits zum dritten Mal auf kaum gesch\u00fctzte Testergebnisse der Getesteten gesto\u00dfen<\/a>.<\/p>\n
![\"Betrtoffene](\"https:\/\/i.imgur.com\/Ddhvg2q.png\" "\\"Betrtoffene")
<\/p>\n