in

Violation de la protection des données: les résultats de 14000 tests COVID-19 peuvent être consultés librement

Une négligence grave en matière de protection des données a une fois de plus abouti à ce que plus de 14 000 résultats de tests COVID-19 soient librement accessibles à tous sur Internet. Après que le Chaos Computer Club ait retrouvé plus de 136 000 résultats de tests à la mi-mars, la prochaine échappatoire est de se faire un nom.

Une société de commerce électronique exploite des centres de test

Comme les militants de l’initiative « Zerforschung », un groupe de recherche du Radforschung GbR d’Ulm, étroitement lié au Chaos Computer Club (CCC), l’ont annoncé sur leur site Internet, la grave lacune de sécurité s’est produite dans plusieurs centres de test de testcenter-corona. de. En raison d’une faille de sécurité qui a maintenant été comblée, les chercheurs en sécurité ont pu accéder à un total de plus de 25 000 enregistrements et afficher plus de 14 000 résultats de tests librement et sans aucune protection.

L’API WordPress comme une faille de sécurité

Une grave faille de sécurité dans WordPress a rendu l’accès aux données extrêmement sensibles un jeu d’enfant, comme le groupe le décrit en détail.

EMI a créé son propre enregistrement de type de contenu pour les inscriptions aux tests rapides pour les sites Web des centres de test, qui affiche les réservations de rendez-vous et les certificats de test. Étant donné qu’EMI a activé pour eux l’option d’accès à l’API pour des raisons inexplicables, tous les enregistrements peuvent également être appelés via cela.

Exploration

En plus des résultats réels des tests, les données suivantes des personnes testées pour COVID-19 étaient librement accessibles:

  • Prénom
  • Nom de famille
  • adresse
    • route
    • Numéro de maison
    • Code postal
    • endroit
    • pays
  • Adresse, localisation actuelle
    • route
    • Numéro de maison
    • Code postal
    • endroit
    • pays
  • Date de naissance
  • Numéro de téléphone
  • Adresse e-mail
  • test
  • Date du test
  • Résultat du test

Afin de découvrir et de documenter cette grave négligence en matière de protection des données, les militants ont travaillé avec des journalistes de NDR, RBB et MDR. Au total, cinq centres de test de testcenter-corona.de ont été touchés. Les personnes testées dans les centres de test suivants ont été touchées:

Centres de test COVID-19 en tant qu’entreprise de franchise

Une société à but lucratif telle qu’Eventus Media International GmbH, spécialisée dans le commerce électronique et la vente au détail physique et, selon ses propres déclarations, se compose de « anciens cadres d’Amazon, Groupon et Google« Se compose principalement de »E-commerce, ventes, marketing et sourcing« Spécialisé, non seulement lance la plate-forme pour les résultats des tests COVID-19 et propose également ce logiciel et cette infrastructure en tant que modèle de franchise, mais exploite également ses propres centres de test corona, commentent les chercheurs en sécurité avec »Le stand e-commerce fait désormais également des centres de test« .

Eventus Media International GmbH commercialise les centres de test en tant que franchise

Après que le groupe de recherche et les journalistes de NDR, RBB et MDR aient informé l’Office fédéral de la sécurité de l’information (BSI) et Eventus Media International GmbH, le fossé de sécurité a été comblé le 6 avril.

Tel que rapporté par tagesschau.de, Eventus Media International GmbH, en tant qu’exploitant des centres de test, a déclaré ce qui suit aux journalistes:

Nous avons rapidement mis en place les centres de test, y compris les systèmes de traitement de données associés, et travaillé avec des informaticiens expérimentés afin de pouvoir garantir la plus grande sécurité possible aux clients qui souhaitent profiter de l’offre de test. Nous sommes désolés que les pirates aient toujours pu accéder à certaines données et nous nous excusons auprès des clients concernés.

Eventus Media International GmbH

Selon un porte-parole de l’entreprise, « Entre 6 000 et 7 000 enregistrements de données ont été compromis et ont été consultés ou téléchargés sans autorisation« . Les clients concernés sont actuellement informés en conséquence.

BSI parle d’une grave lacune de sécurité

Le président du BSI, Arne Schönbohm, a parlé d’un « sérieux«Vulnérabilité de sécurité, car selon l’état actuel des connaissances, elle était facilement exploitable et en même temps il s’agissait de données hautement personnelles.

Violation de la protection des données: les résultats de 14000 tests COVID-19 peuvent être consultés librement 1
Partager cet article
Robin Vigneron

Par Robin Vigneron

Robin est un passionné de nouvelles technologies et il n'hésites pas à creuser le web pour vous trouver les meilleurs bons plans et astuce High-Tech !

Sapphire Rapids: Détails sur les processeurs Intel avec jusqu'à 56 cœurs en quatre matrices 17

Sapphire Rapids: Détails sur les processeurs Intel avec jusqu’à 56 cœurs en quatre matrices

Epic Games Store: Un différend avec Apple montre la taille de l'entreprise perdante 18

Epic Games Store: Un différend avec Apple montre la taille de l’entreprise perdante