136000 résultats de tests COVID-19 ainsi que les données personnelles associées telles que nom, adresse, date de naissance, citoyenneté, numéro d’identification d’Allemagne et d’Autriche n’étaient pas suffisamment protégés et donc librement accessibles à tous. La faille de sécurité réside dans le logiciel SafePlay de Medicus AI.
Mesures de sécurité inadéquates
Comme le rapporte le Chaos Computer Club (CCC) sur son site Web, la vulnérabilité, qui a rendu les données personnelles et les résultats des tests COVID-19 ainsi que les certificats associés d’environ 80000 victimes librement accessibles à tous, a été signalée aux autorités responsables.
En conséquence, le fournisseur, Medicus AI GmbH de Vienne, « pensé à tout – sauf à une sécurité informatique adéquate«, Comme l’explique le Chaos Computer Club dans son rapport.
Lors d’une visite dans un centre de test de Berlin exploité par l’opérateur 21dx, l’un des plus grands opérateurs de stations de test corona en Allemagne, des chercheurs en sécurité du Chaos Computer Club ont découvert la faille de sécurité.
Toute personne ayant créé un compte sur la plate-forme a pu consulter tous les résultats des tests et les données personnelles des autres utilisateurs sans entrave.
Club informatique du chaos (CCC)
Les écoles et garderies sont également touchées
Outre 21dx GmbH de Munich, qui exploite également des centres de test à Mannheim, Francfort, Berlin et Mühlheim am Inn, d’autres centres de test, instituts, écoles et crèches utilisent SafePlay de Medicus AI.
Le logiciel SafePlay de medicus.ai n’est pas seulement utilisé à Berlin. Sont concernés plus de 136 000 résultats de tests provenant de plus de 80 000 personnes dans plus de 100 centres de test et équipes de test mobiles. Il s’agit notamment d’institutions publiques à Munich, Berlin et Carinthie ainsi que des stations de test permanentes et temporaires dans les entreprises, les écoles et même les crèches.
Club informatique du chaos (CCC)
Mais ce n’est pas tout: comme l’a découvert le groupe «Zerforschung» du Chaos Computer Club, un tableau de bord qui était également librement accessible avec chaque compte pouvait également être consulté jusqu’à la seconde, »quand un test COVID-19 a été effectué là-bas et quel a été le résultat«Et cela pour chaque centre de test individuel.
L’accès est passé inaperçu
Après que l’accès aux résultats des tests soit passé inaperçu par l’opérateur, le Chaos Computer Club en a immédiatement informé l’opérateur et les autorités responsables. Medicus AI a déclaré avoir corrigé les vulnérabilités de sécurité entre-temps.
Pas le premier point faible de Corona IT
La faille de sécurité dans SafePlay « n’est pas la première et certainement pas la dernière lacune de sécurité dans Corona IT bricolé à la hâte«Dit Linus Neumann du Chaos Computer Club.
Sous «Nous savons comment vous avez été testé cet hiver. Drame corona en six actes, «le Chaos Computer Club présente à nouveau en détail la situation dans son ensemble.
