Hack der Impfzertifikate lächerlich einfach

Z. Zt. keine digitalen Impf- oder Genesenenzertifikate

Nanu, dabei wollten viele Apotheken in Deutschland weiter 18€ für eine PDF-Datei mit dem Impfzertifikat verdienen. Die Ursache liegt im "Test" von Sicherheitsforschern, die einfach mal eine "Sonnen-Apotheke" erfunden hatten, sich beim Deutschen Apothekerverband (DAV) registrieren ließen, um eigene digitale Impfzertifikate erstellen zu können.

Die beiden Sicherheitsexperten André Zilch und Martin Tschirsich haben bewiesen, dass wieder einmal die Sicherheit der von Politikern hochgelobten IT-Infrastruktur dem Erfindergeist von Hackern nicht gewachsen ist - es gibt keine 100-prozentige Sicherheit.

Der Apothekerverband hat das Portal zur Zertifikatsausstellung bis auf Weiteres offline genommen – Wiedereröffnungstermin unbekannt, schreibt Heise. Es wird interessant, wie der Apothekerverband seine "Prüfung" des Antrags der "Sonnen-Apotheke" erklären wird, denn es wurde scheinbar nicht einmal die Postanschrift mit einem Adressverlag oder einem Kartendienst abgeglichen.

Völlig daneben ist jedoch die Tatsache, dass die beiden Sicherheitsexperten in dem Pflichtfeld für die Telematik-ID, die auch die elektronische Gesundheitskarte (eGK) und die nun seit 1. Juli "wirklich in Betrieb gegangene" elektronische Patientenakte (ePA) absichern sollen, einfach "19 beliebige Ziffern" eingeben konnten und sich damit als Teil des neuen Gesundheitsnetzes identifizierten.

Dumm gelaufen, muss man feststellen, insbesondere, weil die Architektur des Impfzertifikats keine Sperrung einzelner Schlüssel erlaubt - es bleibt nur die Möglichkeit alle 25 Millionen bisher im Rahmen des Apothekervebrands ausgestellten Zertifikate als ungültig zurückzuziehen ...

Mehr dazu bei https://www.heise.de/news/Apotheken-Wie-Sicherheitsforscher-das-Impfzertifikats-Portal-kompromittierten-6145902.html
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7716-20210726-hack-der-impfzertifikate-laecherlich-einfach.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7716-20210726-hack-der-impfzertifikate-laecherlich-einfach.htm
Tags: #Hack #Impfzertifikate #DAV #Apothekerverband #ePA #eGK #Telematik-Infrastruktur #TI #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Ergonomie #Datenpannen #Datenskandale

Die Sache mit dem #Neuland:

In jedem Fall gelang es den Sicherheitsforschern mit erschreckend wenig Aufwand, den DAV zu überlisten. Nach dem Upload des Antrags auf einen Gastzugang an einem Sonntagabend erhielten die Forscher schon um 9:50 des darauffolgenden Montagmorgens die Nachricht, die Unterlagen seien "erfolgreich geprüft" worden.

Bei seiner "Überprüfung" scheint der DAV nicht einmal einen Kartendienst oder ein Telefonverzeichnis bemüht zu haben – sonst wäre vermutlich schnell aufgeflogen, dass an der angeblichen Adresse keine Apotheke mit dem angegebenen Namen existiert.

Auch dass Tschirsich und Zilch bei der Erstregistrierung im Pflichtfeld für die Telematik-ID "19 beliebige Ziffern" eingeben konnten, wirft kein gutes Licht auf das Sicherheitsverständnis des DAV. Entweder hatten die Sicherheitsforscher außerordentliches Glück, eine real existierende ID zu erwischen, oder es fehlt auch hier an grundlegenden Verifizierungsschritten.

Apotheken: Wie Sicherheitsforscher das Impfzertifikats-Portal kompromittierten

#Heise #Covid-19 #DAV