Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsCorona-Testzentren: Ergebnisse von 14.000 COVID-19-Tests frei einsehbar
Grobe Nachlässigkeiten im Datenschutz haben einmal mehr dazu geführt, dass mehr als 14.000 COVID-19-Testergebnisse für jedermann frei zugänglich über das Internet einsehbar waren. Nachdem der Chaos Computer Club bereits Mitte März mehr als 136.000 Testergebnisse aufgespürt hat, macht die nächste Lücke von sich reden.
Na toll. Wenn ich also mal einen Impftermin bekommen sollte, dann nehm ich nur einen beim Hausarzt. Der hat meine Daten eh, stellt nichts damit an und ist hoffentlich kein Ziel von Angreifern.
Eine schwerwiegende Sicherheitslücke in WordPress machte den Zugriff auf die überaus sensiblen Daten zum Kinderspiel, wie die Gruppe im Detail schildert.
Das ist so nicht korrekt. Und das wird doch auch im verlinkten Artikel richtig erklärt.
In WordPress kann man zusätzlich zu den vorhandenen Standardtypen für Inhalte wie z.B. Blogposts, Seiten oder Kommentare eigene Inhaltstypen definieren – und diese optional über die API verfügbar machen.
(...)
Da EMI aus uns unerklärlichen Gründen die API-Zugriffsmöglichkeit für diese aktiviert hat, sind alle Registrierungen auch über diese abrufbar.
Es handelt sich nicht um eine Sicherheitslücke, sondern um einen in diesem Fall falsch konfigurierten Custom Post Type, der fäschlicherweise mit allen Daten für die öffentliche API freigeschaltet wurde. Das liegt aber in der Hand des Seitenbetreibers.
Wenn ich mir die verhängten Bußgelder der letzten "Sünder" anschaue (https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php), dann bekomme ich hier "Hühnerhaut". Sind euch IT-Security Zertifizierungs-/Test-Stellen bekannt sonst muss der CCC zum DSGVO TÜV umbenannt werden?
Na wenigstens wurde es bemerkt und ich hoffe behoben
und man hat was daraus gelernt.
Je gläserner die Bürger werden desto mehr sollte man solche Themen Ernst nehmen.
Nur kommt mir vor, das Verständnis warum Datensicherheit so wichtig ist fehlt
bei den "Richtigen" stellen immer noch.
Krass. Fairerweise muß man aber auch zugestehen, daß die Impfvergabe in den Teilen Deutschlands, in denen Eventus das durchführt, besser abläuft als in den Teilen, in denen es die Verbände es selber regeln. Ich meine diese Stellungnahme von einem Verband in NRW gehört zu haben, bin aber unsicher.
Einerseits absolut erschreckend, andererseits auch nicht (mehr), weil es ständig passiert. Datenschutz wird nach wie vor absolut nicht mit der nötigen Ernsthaftigkeit gesehen und gelebt. Vielen ist er eher ein Dorn im Auge beim Streben nach größtmöglichem Profit. Leider unterstützt die Politik genau sowas auch noch und faselt was von Wettbewerbshindernis. Was ist das nächste Hindernis? Freiheitsrechte? Sklaven wären doch großartig für die Lohnkosten, da geht die Marge durch die Decke. Sollte man gleich mal vorschlagen.
Für solche Pannen wie hier müssen die Strafen astronomisch sein. Mindestens 100.000€ pro Betroffener Person, da es hier wirklich um die sensibelsten Daten überhaupt geht (Anschrift, Alter, Kontaktdaten UND extrem sensible Gesundheitsdaten). Und dann mit rigoroser Durchgriffshaftung für die Verantwortlichen. Ansonsten werden weiterhin skrupellose BWLer jeden Markt bedienen ohne sich um Sicherheit, Datenschutz und ähnliches zu scheren. Gesundheit als Geschäftsmodell ist ohnehin pervers und widerstrebt dem eigentlichen Zweck. Wenn es dann auch noch solche Leute tun, die nichts als Profite sehen und von der eigentlichen Materie keinen Schimmer haben, dann kommt genau so etwas dabei heraus.
Die "Entschuldigung" gepaart mit der Tatsache, dass die Sicherheitslücke relativ einfach und offensichtlich war, wirkt für mich nicht ganz passend/ehrlich.
Man kann nur hoffen, dass nun endlich von Allen daraus gelernt wird. Es gab ja schon mehr als genug Datenschutz-Pannen (auch an anderer Stelle).
Und da fragt man sich wie mal wieder dubiose Personen an so sensible Daten kommen.
Es gibt doch sicherlich Regularien und Bedingungen an die man sich beim Aufbau solcher Plattformen halten muss.
Wir haben diverse Institute und Stellen, sowie moderne IT Gesetze, aber warum kommt in der Praxis so wenig an? Weil es schnell gehen muss?
Oder weil das Personal fehlt?
Wundert mich ehrlich gesagt nicht. Dass die IT Kompetenz der öffentlichen Verwaltung nicht besonders gut aussieht wissen wir denke ich alle und in diesem Fall muss eben in kurzer Zeit etwas funktionsfähiges auf die Beine gestellt werden und die paar wenigen fähigen Abteilungen sind vermutlich vollkommen überlastet.
Grundsätzlich kann ich mir aber schlimmere Skandale. Auf der einen Seite wird jeder, der privat eine kleine Webseite betreibt dazu gezwungen seinen echten Namen mit Adresse für alle sichtbar im Impressum zu veröffentlichen aber wenn ein paar solche Informationen an kriminelle Hacker gehen ist der Aufschrei groß.
Schlimmer wäre es wenn wichtige Gesundheitsdaten öffentlich einsehbar sind.
So lange die Politik nicht drakonische Strafen verhängt und die Möglichkeit wahrnimmt Unternehmen aus dem Markt zu schmeißen werden diese weiterhin nur Centweise in die Sicherheitsinfrastruktur investieren!
Frech dass die Betreiber von "Hackern" sprechen. Das kann Hans und Franz abrufen ohne zu hacken. Hat man hier Schadenersatzansprüche und sollte man vorsorglich eine Anzeige bei der Polizei machen? Schließlich sind das äußerst sensible Daten mit denen man sich bei den meisten Dienstleistern identifiziert.
Ich finde diese ganzen Prozessabläufe / Online-Registrierungen etc. rund um die Tests eh Wahnsinn! Wieso müssen hier privatwirtschaftliche Unternehmen eingeschaltet werden, wieso packt das eine staatliche Stelle nicht zentral für ganz DE an?
Und dann die ganzen Mails / Registrierungen / Links usw...
Erst versuchen wir, dem „DAU“ beizubringen, nicht auf dubiose Links zu klicken, und dann sehen die offiziellen Sachen GENAU nach Phishing aus. Ich landete für meinen Test irgendwann auf einer URL mit „...Airport...“ im Namen - Leute Leute... der Wahnsinn!
Hier wird vertrauen verspielt und den ganzen „Covidioten“ Futter für ihre abstrusen Verschwörungstheorien geliefert.
Wo ist hier die Kompetenz? Transparente und verpflichtende Handy-App + tägliche Testpflicht + die notwendigen Kapazitäten dafür müssen her!
Solange es nicht breiter gesellschaftlicher Konsens ist, dass Datenschutz wichtig ist und informationsverarbeitende Systeme insbesondere hin dieser Hinsicht ordentlich zu programmieren sind, wird so etwas immer wieder auftreten. Dass wir von diesem Punkt noch weit entfernt sind, zeigen die unnachgiebig und wiederholt vorgebrachten Vorwüfe bezüglich des strengen Datenschutz der Coronoa-Warn-App.
Ich hoffe sehr, dass den Betroffenen kein über die Kompromittierung ihrer persönlichen Daten hinausgehender Schaden entsteht.
Och nöö schon wieder. Da verliert man jegliches Vertrauen in die Verantwortlichen und überlegt sich 100 mal ob man überhaupt bei solchen Tests mitmacht. Hoffentlich wird das Testen nicht demnächst zur Pflicht bei uns auf Arbeit, mir schwant böses.... MFG Piet
das war genau mein gedanke beim lesen des artikels. die machen ihre api öffentlich und wenn dann jemand auf die idee kommt, die zu benutzen, ist derjenige ein hacker /facepalm.
