News Corona-Testzentren: Ergebnisse von 14.000 COVID-19-Tests frei einsehbar

Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.674
  • Gefällt mir
Reaktionen: kryzs, aid0nex, wolve666 und 6 andere
Na toll. Wenn ich also mal einen Impftermin bekommen sollte, dann nehm ich nur einen beim Hausarzt. Der hat meine Daten eh, stellt nichts damit an und ist hoffentlich kein Ziel von Angreifern. :)
 
  • Gefällt mir
Reaktionen: Prolokateur, aid0nex, trabifant und 4 andere
Eine schwerwiegende Sicherheitslücke in WordPress machte den Zugriff auf die überaus sensiblen Daten zum Kinderspiel, wie die Gruppe im Detail schildert.
Das ist so nicht korrekt. Und das wird doch auch im verlinkten Artikel richtig erklärt.
In WordPress kann man zusätzlich zu den vorhandenen Standardtypen für Inhalte wie z.B. Blogposts, Seiten oder Kommentare eigene Inhaltstypen definieren – und diese optional über die API verfügbar machen.

(...)

Da EMI aus uns unerklärlichen Gründen die API-Zugriffsmöglichkeit für diese aktiviert hat, sind alle Registrierungen auch über diese abrufbar.
Es handelt sich nicht um eine Sicherheitslücke, sondern um einen in diesem Fall falsch konfigurierten Custom Post Type, der fäschlicherweise mit allen Daten für die öffentliche API freigeschaltet wurde. Das liegt aber in der Hand des Seitenbetreibers.
 
  • Gefällt mir
Reaktionen: Janush, Flaimbot, Fra993r und 17 andere
Wenn ich mir die verhängten Bußgelder der letzten "Sünder" anschaue (https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php), dann bekomme ich hier "Hühnerhaut". Sind euch IT-Security Zertifizierungs-/Test-Stellen bekannt sonst muss der CCC zum DSGVO TÜV umbenannt werden?
 
  • Gefällt mir
Reaktionen: FeelsGoodManJPG, DerToerke, lugge und 6 andere
Was soll man zu solchen "Pannen" noch sagen.

Na wenigstens wurde es bemerkt und ich hoffe behoben
und man hat was daraus gelernt.

Je gläserner die Bürger werden desto mehr sollte man solche Themen Ernst nehmen.
Nur kommt mir vor, das Verständnis warum Datensicherheit so wichtig ist fehlt
bei den "Richtigen" stellen immer noch.
 
  • Gefällt mir
Reaktionen: DerToerke, aid0nex, Zitterrochen und 6 andere
Krass. Fairerweise muß man aber auch zugestehen, daß die Impfvergabe in den Teilen Deutschlands, in denen Eventus das durchführt, besser abläuft als in den Teilen, in denen es die Verbände es selber regeln. Ich meine diese Stellungnahme von einem Verband in NRW gehört zu haben, bin aber unsicher.
 
Einerseits absolut erschreckend, andererseits auch nicht (mehr), weil es ständig passiert. Datenschutz wird nach wie vor absolut nicht mit der nötigen Ernsthaftigkeit gesehen und gelebt. Vielen ist er eher ein Dorn im Auge beim Streben nach größtmöglichem Profit. Leider unterstützt die Politik genau sowas auch noch und faselt was von Wettbewerbshindernis. Was ist das nächste Hindernis? Freiheitsrechte? Sklaven wären doch großartig für die Lohnkosten, da geht die Marge durch die Decke. Sollte man gleich mal vorschlagen.

Für solche Pannen wie hier müssen die Strafen astronomisch sein. Mindestens 100.000€ pro Betroffener Person, da es hier wirklich um die sensibelsten Daten überhaupt geht (Anschrift, Alter, Kontaktdaten UND extrem sensible Gesundheitsdaten). Und dann mit rigoroser Durchgriffshaftung für die Verantwortlichen. Ansonsten werden weiterhin skrupellose BWLer jeden Markt bedienen ohne sich um Sicherheit, Datenschutz und ähnliches zu scheren. Gesundheit als Geschäftsmodell ist ohnehin pervers und widerstrebt dem eigentlichen Zweck. Wenn es dann auch noch solche Leute tun, die nichts als Profite sehen und von der eigentlichen Materie keinen Schimmer haben, dann kommt genau so etwas dabei heraus.
 
  • Gefällt mir
Reaktionen: Zitterrochen, paulemannsen, ErbarmeHesse und 13 andere
Die "Entschuldigung" gepaart mit der Tatsache, dass die Sicherheitslücke relativ einfach und offensichtlich war, wirkt für mich nicht ganz passend/ehrlich.
Man kann nur hoffen, dass nun endlich von Allen daraus gelernt wird. Es gab ja schon mehr als genug Datenschutz-Pannen (auch an anderer Stelle).
 
  • Gefällt mir
Reaktionen: DerToerke und Alpha.Male
Und da fragt man sich wie mal wieder dubiose Personen an so sensible Daten kommen.
Es gibt doch sicherlich Regularien und Bedingungen an die man sich beim Aufbau solcher Plattformen halten muss.
Wir haben diverse Institute und Stellen, sowie moderne IT Gesetze, aber warum kommt in der Praxis so wenig an? Weil es schnell gehen muss?
Oder weil das Personal fehlt?
 
Danke @FrAGgi. Wird entsprechend angepasst.
 
  • Gefällt mir
Reaktionen: CyrionX, osf81, fitzelsche und 2 andere
Wundert mich ehrlich gesagt nicht. Dass die IT Kompetenz der öffentlichen Verwaltung nicht besonders gut aussieht wissen wir denke ich alle und in diesem Fall muss eben in kurzer Zeit etwas funktionsfähiges auf die Beine gestellt werden und die paar wenigen fähigen Abteilungen sind vermutlich vollkommen überlastet.

Grundsätzlich kann ich mir aber schlimmere Skandale. Auf der einen Seite wird jeder, der privat eine kleine Webseite betreibt dazu gezwungen seinen echten Namen mit Adresse für alle sichtbar im Impressum zu veröffentlichen aber wenn ein paar solche Informationen an kriminelle Hacker gehen ist der Aufschrei groß.

Schlimmer wäre es wenn wichtige Gesundheitsdaten öffentlich einsehbar sind.
 
  • Gefällt mir
Reaktionen: MidwayCV41
So lange die Politik nicht drakonische Strafen verhängt und die Möglichkeit wahrnimmt Unternehmen aus dem Markt zu schmeißen werden diese weiterhin nur Centweise in die Sicherheitsinfrastruktur investieren!
 
  • Gefällt mir
Reaktionen: romeon
Ich kann es nicht verstehen, wieso man nicht einfach ein eigenes Netzwerk auslegt. Dann kann keiner von außen darauf zugreifen. Oder bin ich zu naiv?

Edit: seit wann müssen die Beiträge freigeschaltet werden?
 
  • Gefällt mir
Reaktionen: Papabär
Frech dass die Betreiber von "Hackern" sprechen. Das kann Hans und Franz abrufen ohne zu hacken. Hat man hier Schadenersatzansprüche und sollte man vorsorglich eine Anzeige bei der Polizei machen? Schließlich sind das äußerst sensible Daten mit denen man sich bei den meisten Dienstleistern identifiziert.
 
  • Gefällt mir
Reaktionen: Bright0001, M4ttX, testwurst200 und 2 andere
Ich komme nicht umhin, die Gesamtsituation mittlerweile als geschmacklos zu empfinden.

Mir stellen sich sämtliche Nackenhaare bei dem Gedanken, mit was wir alles Umsatz generieren wollen "COVID-19-Testzentren als Franchise-Geschäft".

Sehr schade

Gruß
🌻 Markus
 
  • Gefällt mir
Reaktionen: brabe, aid0nex, Blumenwiese und 2 andere
@andr_gin Die "öffentliche hand" hat damit so gut wie nichts am Hut. Sieht in vielen unternehmen nicht anders aus.
 
Ich finde diese ganzen Prozessabläufe / Online-Registrierungen etc. rund um die Tests eh Wahnsinn! Wieso müssen hier privatwirtschaftliche Unternehmen eingeschaltet werden, wieso packt das eine staatliche Stelle nicht zentral für ganz DE an?

Und dann die ganzen Mails / Registrierungen / Links usw...

Erst versuchen wir, dem „DAU“ beizubringen, nicht auf dubiose Links zu klicken, und dann sehen die offiziellen Sachen GENAU nach Phishing aus. Ich landete für meinen Test irgendwann auf einer URL mit „...Airport...“ im Namen - Leute Leute... der Wahnsinn!

Hier wird vertrauen verspielt und den ganzen „Covidioten“ Futter für ihre abstrusen Verschwörungstheorien geliefert.

Wo ist hier die Kompetenz? Transparente und verpflichtende Handy-App + tägliche Testpflicht + die notwendigen Kapazitäten dafür müssen her!
 
Solange es nicht breiter gesellschaftlicher Konsens ist, dass Datenschutz wichtig ist und informationsverarbeitende Systeme insbesondere hin dieser Hinsicht ordentlich zu programmieren sind, wird so etwas immer wieder auftreten. Dass wir von diesem Punkt noch weit entfernt sind, zeigen die unnachgiebig und wiederholt vorgebrachten Vorwüfe bezüglich des strengen Datenschutz der Coronoa-Warn-App.

Ich hoffe sehr, dass den Betroffenen kein über die Kompromittierung ihrer persönlichen Daten hinausgehender Schaden entsteht.
 
  • Gefällt mir
Reaktionen: autofahrer50
Och nöö schon wieder. Da verliert man jegliches Vertrauen in die Verantwortlichen und überlegt sich 100 mal ob man überhaupt bei solchen Tests mitmacht. Hoffentlich wird das Testen nicht demnächst zur Pflicht bei uns auf Arbeit, mir schwant böses.... MFG Piet
 
DaZpoon schrieb:
Frech dass die Betreiber von "Hackern" sprechen. Das kann Hans und Franz abrufen ohne zu hacken.
das war genau mein gedanke beim lesen des artikels. die machen ihre api öffentlich und wenn dann jemand auf die idee kommt, die zu benutzen, ist derjenige ein hacker /facepalm.
 
  • Gefällt mir
Reaktionen: Flywolf, psyabit, stormi und 2 andere
Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
Zurück
Oben