Über 1 Million Covid-Datensätze im Netz

22. Dezember 2022, 11:04
image
Foto: Annie Spratt / Unsplash

Ein Informatiker konnte auf die Datenbank von mehreren Covid-Testcentren zugreifen. Die Daten waren zwar verschlüsselt, das Passwort allerdings öffentlich einsehbar.

Wie eine gemeinsame Recherche von 'Watson' und 'DNIP' zeigt, hat ein St. Galler Hausarzt, der wäh­rend der Covid-19-Pandemie mehrere Testcenter in der Schweiz, Liech­ten­stein und Österreich betrieben hat, die sensiblen Gesundheitsdaten seiner Kundschaft nicht ausreichend geschützt. Ein Schweizer Informatiker konnte ohne grosses Fachwissen auf die gespeicherten Informationen zugreifen. Dabei seien die Daten zwar verschlüsselt, das Passwort dazu aber öffentlich einsehbar gewesen, schreibt das Onlinemagazin.
Die Zugangsdaten für die Websysteme der Testcenter wurden in einer Konfigurationsdatei gesammelt, die frei zugänglich war, schreibt 'Watson' weiter. Wenn Entwicklerinnen oder Programmierer bestimmte Passwörter abspeichern wollen, dann landen diese häufig in sogenannten ".env"-Dateien. Dieses Format hat bestimmte Vorteile, die aber nur dann greifen, wenn die Datei besonders gut vor unbefugten Zugriffen geschützt ist. Beim betroffenen Testcenter sei dies nicht der Fall gewesen.
image
Die Login-Daten waren frei einsehbar. Foto: Watson

Aufgefallen war die Sicherheitslücke einem jungen Informatiker aus der Schweiz. Dieser nahm sich vor, das Internet nach Webseiten mit krassen Sicherheitslücken abzusuchen. Dazu habe er sich eine Liste aller .ch-Webadressen her­unter­geladen und automatisiert nach ".env"-Konfigurationsdateien gesucht, schreibt 'Watson'. Neben den Zugangsdaten für die Datenbank der Testcenter stiess er im Zuge seiner Recherche auch noch auf ein paar Hundert weitere Funde.
"Arzt und kein IT-Dienstleister"
Über 1 Million Covid-Testdaten lagerten auf dem Server. "Ich alarmierte nach dem Treffer die relevanten Stellen beim Bund. Das Leck wurde noch am selben Tag geschlossen", sagte der anonyme Informatiker gegenüber 'Watson'. Nun wurde der Vorfall 6 Wochen nach der Behebung der Sicherheitslücke publik gemacht. Der Informatiker übergab seine Dateien dem Eidgenössischen Datenschützer und vernichtete eigenen Angaben zufolge alle Spuren auf seinem Rechner. "Ich hoffte, dass Lehren aus diesem Vorfall gezogen werden können", sagte er zum Onlinemagazin.
Der beschuldigte Mediziner hat gegenüber 'Watson' ebenfalls Stellung zum Vorfall genommen. Er bezeichnet die Darstellung, wonach die Daten frei einsehbar gewesen waren, als "unwahre Behauptung". Gemäss ihm sei ein Hacker in die Datenbank eingedrungen. "Die Datenbank wurde umgehend offline genommen, weshalb keine weiteren Zugriffe möglich waren", schreibt er in seiner Antwort. Darin merkt er auch an, dass er "Arzt und kein IT-Dienstleister" sei.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023