Grâce à une interface en ligne non protégée partagée par plusieurs fournisseurs de tests Corona de Berlin, les données personnelles de plusieurs centaines de milliers de personnes étaient ouvertement accessibles sur Internet. La fuite massive de données a touché des informations personnelles telles que le nom, l’adresse, le numéro de téléphone, l’adresse électronique et le résultat de ces tests. Dans certains cas, les numéros des cartes d’identité ou des passeports des personnes concernées étaient également indiqués.

La faille de sécurité des centres, qui avaient uni leurs forces sous le nom de « Schnelltest Berlin », a été découverte par le collectif informatique « Zerforschung ». D’après ceci, le serveur a vérifié https://corona-api.de/ n’a pas vérifié si un résultat de test récupéré était celui de la personne associée. Sur la base de la liste des personnes, les experts en sécurité informatique estiment que près de 700 000 résultats de tests provenant d’environ 400 000 clients ont pu être récupérés. Interrogée par rbb, l’autorité berlinoise de protection des données a d’abord supposé que plus de 200 000 personnes étaient concernées.

Certificat d’essai pour un appareil de 177 ans

Dans le code source, les experts ont également découvert les points de terminaison par lesquels les employés peuvent créer un nouveau test dans le système et enregistrer le résultat du test. Le serveur n’a pas vérifié l’autorisation ici non plus. Les pirates l’ont mis à l’épreuve et ont généré un test PCR avec un résultat négatif pour le Robert Koch, âgé de 177 ans. Le certificat délivré contenait même un CODE ours comme élément de sécurité supposé, qui a également été reconnu comme valide lorsqu’il a été scanné avec l’application de test associée.

La société WeCare Services exploite l’infrastructure informatique des fournisseurs de « Schnelltest Berlin ». Les failles de sécurité ont été comblées entre-temps, a expliqué l’entreprise. Elle prévoit d’informer les personnes concernées à la fin de la semaine prochaine. Outre les 15 centres d’essai de la capitale qui opèrent sous le nom de l’association, celle-ci comprend également des points d’essai mobiles Corona Bike, auxquels les organisateurs d’événements et les clubs font souvent appel. Les chercheurs avaient précédemment découvert des faiblesses chez d’autres fournisseurs de tests.