Dieser Artikel wurde indexiert von t3n.de – Software & Infrastruktur
Bei einem Berliner Schnelltestanbieter konnte man private Daten aller Nutzer herunterladen und beliebige Schnelltestergebnisse ausstellen.
Die Gruppe Zerforschung hat mehrere schwere Sicherheitslücken bei einem Anbieter für Covid-19-Tests aufgedeckt. Bei „Schnelltest Berlin“ funktionierten demnach sämtliche API-Funktionen weitgehend ohne Berechtigungsprüfung. Mit einem einfachen Benutzeraccount konnte man über einen API-Endpunkt die Daten aller Nutzer sowie deren Testergebnisse herunterladen. Die Adressen von knapp 400.000 Benutzer…