News Corona-Testzentren: Ergebnisse von 14.000 COVID-19-Tests frei einsehbar

[Alpha.Male]

Dann kann (bei der Langlebigkeit von Daten im Netz)...in vielen, vielen Jahren einmal der Enkel sagen...oh, wie schön...da an diesem Tag wurde mein Opa also wegen dieser großen Seuche geimpft ! //s

Bei den Infos von dem Vorfall zeigt sich, wie bei vielen anderen ähnlichen auch.: Die Rechte auf Unverletzlichkeit der eigenen Daten wird soo mit Füßen getreten....eigentlich müssten die Leute aufschreien...sind aber doch lieber der Frosch, im " doch noch handwarmen" Wasser ("so schön kuschelig dort")...der aber in Wirklichkeit schon Richtung Siedepunkt sich bewegt...Tja....Eat this!

 

[mannefix]

Man hat den Eindruck, dass die Regierung keinen Virus in den Griff bekommt.

 

[Polishdynamite]

Der war gut. Die Politik muss erstmal vor der eigenen IT Sicherheitshaustür kehren ehe sie andere für ihre Nachlässigkeit bluten lässt.

Das es keine Ungleichheit gibt versteht sich von selbst

 

[storkstork]

Und da fragt man sich wie mal wieder dubiose Personen an so sensible Daten kommen.
Es gibt doch sicherlich Regularien und Bedingungen an die man sich beim Aufbau solcher Plattformen halten muss.
Wir haben diverse Institute und Stellen, sowie moderne IT Gesetze, aber warum kommt in der Praxis so wenig an? Weil es schnell gehen muss?
Oder weil das Personal fehlt?

Naja, du kannst ja auch bei rot über die Ampel gehen und keinen interessiert es. Man kann schliesslich nicht immer und alles überprüfen, was irgendwo in einem Gesetz steht. Zudem sind Gesetze oft so verfasst, dass nie jeder Einzelfall abgebildet werden kann. Deswegen braucht es Anwälte und Richter etc. die das jeweils Fallbezogen werten.

Die Welt ist halt kein Lichtschalter, der nur "an" oder "aus" kennt.

 

[storkstork]

Geht sowas eigentlich nicht auch mit Anonymisierung welche nur von den gewünschten Stellen aufgelöst werden kann?
Jeder Testteilnehmer bekommt eine Zufällige 12-stellige Nummer und ein 12-stelliges Passwort seiner Wahl (Die Nummer kann zur Einfachheit zusätzlich als QR-Code abgebildet sein. Mit dieser Nummer und dem Passwort kann der Getestete seinen Status über eine Internetseite abrufen. Gleichzeitig bekommt das Gesundheitsamt den Namen und die Nummer des Getesteten. Die Adressdaten für Wohnort-Zugehörigkeit und andere Statistiken kann das Gesundheitsamt ja dann bei der Meldestelle oder wo auch immer das Hinterlegt ist, anfragen. Das geht sicher irgendwie halb-automatisiert, so dass ein Programm die Anfrage überprüft, ob sie korrekt ist (Zertifikatabfrage etc) und die Ergebnisse anschliessend weiterleitet.

Bei Tatort-Untersuchungen/ genetischen Vergleichen etc. funktioniert das soweit ich weiss auch so. Die Probe bekommt eine Nummer/Datum und wird im Labor unter dieser Nummer gespeichert. Die Zuordnung der Nummern zu den Proben/Probanden hat nur die Stelle, die am Ende das Ergebnis bekommt und verarbeitet.

 

[LuckyMagnum]

Bei Tatort-Untersuchungen/ genetischen Vergleichen etc. funktioniert das soweit ich weiss auch so. Die Probe bekommt eine Nummer/Datum und wird im Labor unter dieser Nummer gespeichert. Die Zuordnung der Nummern zu den Proben/Probanden hat nur die Stelle, die am Ende das Ergebnis bekommt und verarbeitet.

Klingt stark nach Ende-Zu-Ende-Verschlüsselung, nur eben etwas "analoger".
Sowas sollte selbstverständlich der Standard bei allen persönlichen und/oder privaten Daten sein.
Ganz unabhängig davon ob es um Corona oder etwas Anderes geht.

 

[chartmix]

Interessant wären die CT-Werte der durchgeführten qRT-PCR-Tests. Aber diese Werte hält man wohl aus gutem Grund besonders sicher unter Verschluss.

Es geht um Antigen-Schnelltestungen (siehe die ersten beiden Links im Text). Aber klar: es wird was unter Verschluss gehalten, was hier gar nicht von Belang ist.

Dann kann (bei der Langlebigkeit von Daten im Netz)...in vielen, vielen Jahren einmal der Enkel sagen...oh, wie schön...da an diesem Tag wurde mein Opa also wegen dieser großen Seuche geimpft ! //s

Von welchem Impftermin redest du? Es geht um Testungen! Steht in der Überschrift.

 

[Forum-Fraggle]

Tolle Relativierung eines Datenlecks mit Gesundheitsdaten wobei du nur überlesen hast, dass es nicht um Impftermine ging, sondern um Testzentren. Gingauch nur aus der Überschrift hervor.
Schön zusammengereimt.

Ahja, Deutschunterricht Textanalyse wohl verschlafen. Wo habe ich bitte sehr relativiert? Nirgends. Daß sie die Impfvergabe besser organisiert haben als andere heißt nicht, daß sie toll sind. Kleines Geheimnis für Dich: niemand macht alles richtig oder alles falsch, daß denken nur viele in Zeiten von Cancel Culture.

 

[iron-man]

Man hat den Eindruck, dass die Regierung keinen Virus in den Griff bekommt.

Im Wahljahr schon gar nicht.

 

[Nekkepenn]

...und dennoch auf ganzer Linie versagt.

Wird mal Zeit, dass irgendeine Art (verpflichtender) Datenschutz-TÜV eingeführt wird: Ohne harte Pflicht kann ich nämlich nicht erkennen, dass sich in den nächsten 10 Jahren mehr tut, als in den vergangenen 10.

Das ist doch alles Neuland. Bisher ist doch alles insgesamt nicht schlecht gelaufen.

 

[0x8100]

@Dallas90 das kommt mir bekannt vor. für diese vorgehensweise gibt es auch ein paar standardwerke von o'rly - die sind pflichtlektüre ab einer bestimmten position.

 

[lutzpime]

Woher weiß man denn, ob man potentiell betroffen war?

 

[chartmix]

Wo habe ich bitte sehr relativiert?

Wieso muss man fairerweise sagen, dass sie die Terminvergabe für Impfungen, um die es hier gar nicht geht, besser im Griff haben sollen als andere?
Da muss man gar nichts fairerweise sagen. Egal wie gut sie es woanders machen, haben sie hier Scheisse gebaut.
Nach meinem Wissen übernehmen in NRW die KV Nord-Rhein und Westfalen die Impfterminvergabe selbst. Woher hast du, dass EMI dies in NRW macht?

 

[MR2007]

Das ist so nicht korrekt. Und das wird doch auch im verlinkten Artikel richtig erklärt.

Es handelt sich nicht um eine Sicherheitslücke, sondern um einen in diesem Fall falsch konfigurierten Custom Post Type, der fäschlicherweise mit allen Daten für die öffentliche API freigeschaltet wurde. Das liegt aber in der Hand des Seitenbetreibers.

Das klingt aber so, als will man Wordpress verteidigen.

Klar, haben die "versierten IT-Experten", das verbockt. Aber wenn man eben für ein bestimmtes Use Case mit einer Default Einstellung Daten abgreifen kann, ist und sollte man das auch völlig korrekt als schwerwiegende Sicherheitslücke bezeichnen.

Und mal ehrlich, jede zusätzliche, nicht notwendige Form von Datenzugriff standardmäßig erlauben, ist meiner Meinung nach immer eine sehr dumme Entscheidung. Ist ja so, als würde ich eine Firewall installieren und auf "Alles erlauben" stellen.

 

[Forum-Fraggle]

Wieso muss man fairerweise sagen, dass sie die Terminvergabe für Impfungen, um die es hier gar nicht geht, besser im Griff haben sollen als andere?
Da muss man gar nichts fairerweise sagen. Egal wie gut sie es woanders machen, haben sie hier Scheisse gebaut.
Nach meinem Wissen übernehmen in NRW die KV Nord-Rhein und Westfalen die Impfterminvergabe selbst. Woher hast du, dass EMI dies in NRW macht?

1. Weil dieses alles ist entweder schlecht oder gut sch***e ist und man aus Fehlern und Stärken lernen sollte. Fairerweise deswegen sagen, weil die Idee, die damit beauftragt zu haben nicht völlig verkehrt war. Umgekehrt gilt auch, weil sie damit Erfahrunge haben, hätte ich mehr Datenschutz erwartet. Warum ist es so schwer geworden Positives und Negatives in einem Thema gleichermaßen zu behandeln (die Frage geht an Dich, nicht an Sven)?
2. Woher hast Du, daß ich sagte Emi macht dies in NRW? Ich nannte nur eine Aussage aus NRW. Hier wird nämlich kritisiert, daß die KVs es durchführen und dies sehr schlecht, angefangen mit überlasteten Servern bishin zu Unklarheiten wer was wie machen soll. Ich bin z.B. in Gruppe 2 aufgrund des Beruf und Schwangerschaftsbegleitung. Anmelden geht hier, zumindest in meinem Kreis, aber nur altersbedingt. Bei der Registrierung kam die Frage, gehöre ich der Gruppe 2 (mit Auflistug wer alles dazu gehört), so daß ich mich registrieren konnte. Dann bei der Personalienabfrage aber nur die Wahl zwischen Altersgrund und nicht weitermachen. Beim Gynäkologen denken sie, sie füllen eine Bescheinigung aus und mehr müßten sie nicht tun. Wer wann welche Impfung für nicht Alter ausführt, ist nicht ohne Weiteres erkennbar. Für mich sieht es so aus, als müßten die Gynäkogen die Impfung durchführen, sich dafür aber erst anmelden. Wer führt aber die durch, welche berufsbedingt in Gruppe 2 sind?

 

[FrAGgi]

Das klingt aber so, als will man Wordpress verteidigen.

Klar, haben die "versierten IT-Experten", das verbockt. Aber wenn man eben für ein bestimmtes Use Case mit einer Default Einstellung Daten abgreifen kann, ist und sollte man das auch völlig korrekt als schwerwiegende Sicherheitslücke bezeichnen.

Ja ich verteidige WordPress in dem Fall, denn es ist eben nicht Standard, dass der Zugriff über die API möglich ist.

Zitat aus der Dokumentation:

When registering a custom post type, if you want it to be available via the REST API you should set 'show_in_rest' => true in the arguments passed to register_post_type. Setting this argument to true will add a route in the wp/v2 namespace.

Wird hier der Wert nicht gesetzt, ist der Zugriff über die API auch nicht möglich. WordPress setzt hier nichts für besagte Custom Post Types selbst.
Daher: einzig und alleine die Schuld der Betreiber und nicht von WordPress.

 

[3faltigkeit]

Also, die Sicherheitslücke ist das Eine. Aber wie sich manche Firmen (und auch Politiker) eine goldene Nase mit der Pandemie verdienen ist nicht feierlich. Aber schön, wenn es aufgedeckt wird und auch mal zu lesen ist.
Also, wer z.B. hinter Testzentren steckt. Und wie schludrig diese, wahrscheinlich aus Gewinnmaximierung zusammengeschludert sind. Hätte nie gedacht, dass es Corona Testzentren als Franchise gibt.
Ich hab halt einfach nicht die tollen Geschäftsideen.
Das ist echt Privatisierung an der falschen Stelle. Staatliche Testzentren. Die Selbststest wie in GB per Post kostenlos zuschicken und über Steuern als gesamtes solidarisch Zahlen.

 

[MR2007]

Ja ich verteide WordPress in dem Fall, denn es ist eben nicht Standard, dass der Zugriff über die API möglich ist.

Danke für die Erläuterung zu WordPress. Mir ging es allerdings weniger darum, wer schuld ist, sondern mich störte eher deine Aussage "Es handelt sich nicht um eine Sicherheitslücke".

Denn natürlich handelt es sich um eine Sicherheitslücke. Selbst wenn es "nur" eine falsche Config ist, soll und muss man das als Sicherheitslücke bezeichnen. Nur dann eben eine Lücke für die Eventus verantwortlich ist und nicht WP.
Dein ursprünglicher Post klang so, als ob man dae Ganze nicht als Sicherheitslücke bezeichnen sollte, was solche Vorfälle dann verharmlosend darstellen.

Aber so wie es jetzt von Sven formuliert wurde, ist es ja auch gut.

Wobei man hier auch einen Schritt weiter gehen kann und sagen, dass wenn man einen API Zugang ermöglichen kann, das erstmal nicht per default ohne Auth abläuft. Aber bevor ich wieder was falsches sage, da ich WP nicht kenne, halte ich mich da mal zurück ...

Denn so wirkt das im Nachhinein logisch und dumm, wenn das so ist, wie in dem kurzen Ausschnitt dokumentiert. Das Erste, was man (zumindest ich) als Entwickler macht, wenn man Zugang zu etwas ermöglicht oder eine Schnittstelle schafft, ist doch erstmal den Zugang korrekt einzurichten und zu beschränken, bevor man auch nur irgendwas produktives damit macht. Ist das nicht... "Standard"?

 

[duskkk]

Für mich klingt das nach einem Symptom der Inkompetenz in unserer föderalen Politik.
In Österreich wars noch schlimmer wo jedes kleine Bundesland seine eigene Testseite hochzieht.

Warum kann man sowas nicht einmal ordentlich machen mit wirklich fähigen Entwicklern. Dann steht mal die Basis und dann können die Länder/... meinetwegen etwas styling betreiben. So wie Auftragsvergabe bei solchen Projekten zugeht es ist ja nur eine Frage der Zeit bis solche Mängel auftreten.
Wenn da in der Auftragsvergabe jemand zuständig wäre mit echtem Technik Know-How, dann würde eine bessere Ausführung folgen und am Ende sogar Geld gespart weil nicht alles 10 fach von mäßiger Qualität produziert wird.

 

[|SoulReaver|]

Egal welches Land in Europa eine Bankrotterklärung von allen. Jemand der ein Unternehmen so führt, wie die Verantwortlichen bei dieser Pandemie würde in wenigen Monaten zu sperren. Hausverstand auf Dauerweltreise und die einfachsten Dinge die zu beachten sind nicht machen. Man tut gerade so, als wäre das alles neu was hier passiert und man zu managen hat. Ich frage mich echt wo die Hausaufgaben sind die man hätte machen sollen als Sars und Co schon hier waren. Nichts dazu gelernt. Und dann noch mit den Daten der Bevölkerung pfuschen. Und da fragt man sich dann echt, wen man noch in Verantwortung wählen kann?