Die Sache mit dem #Neuland:
In jedem Fall gelang es den Sicherheitsforschern mit erschreckend wenig Aufwand, den DAV zu überlisten. Nach dem Upload des Antrags auf einen Gastzugang an einem Sonntagabend erhielten die Forscher schon um 9:50 des darauffolgenden Montagmorgens die Nachricht, die Unterlagen seien "erfolgreich geprüft" worden.
Bei seiner "Überprüfung" scheint der DAV nicht einmal einen Kartendienst oder ein Telefonverzeichnis bemüht zu haben – sonst wäre vermutlich schnell aufgeflogen, dass an der angeblichen Adresse keine Apotheke mit dem angegebenen Namen existiert.
Auch dass Tschirsich und Zilch bei der Erstregistrierung im Pflichtfeld für die Telematik-ID "19 beliebige Ziffern" eingeben konnten, wirft kein gutes Licht auf das Sicherheitsverständnis des DAV. Entweder hatten die Sicherheitsforscher außerordentliches Glück, eine real existierende ID zu erwischen, oder es fehlt auch hier an grundlegenden Verifizierungsschritten.
Apotheken: Wie Sicherheitsforscher das Impfzertifikats-Portal kompromittierten
