CCC deckt erneut Schwachstellen in Corona-Listen auf

Mitglieder des Chaos Computer Clubs fanden mehrere Sicherheitslücken, eine vorhandene Verschlüsselung der Daten verhinderte aber Schlimmeres.

In Pocket speichern vorlesen Druckansicht 50 Kommentare lesen
Über 50.000 Datenbank-Sever über Uralt-Windows-Bug mit Krypto-Minern infiziert

(Bild: ronstik/Shutterstock.com)

Update
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

Der Chaos Computer Club hat erneut Sicherheitslücken in einer digitalen Kontaktliste zur Bekämpfung der Coronavirus-Epidemie entdeckt. So hätten die CCC-Hacker die Daten von über 400.000 Eintragungen aus mehr als 1000 Einrichtungen auslesen können. Im Gegensatz zur Sicherheitslücke beim Betreiber gastronovi waren im aktuellen Fall die Einträge allerdings verschlüsselt, was Schlimmeres verhinderte. Den CCC-Mitgliedern gelang es also nicht, persönliche Informationen auszulesen, sie deckten im Zuge ihrer Untersuchungen allerdings einige weitere Sicherheitslücken in der Software auf.

Die Plattform darfichrein.de erregte die Aufmerksamkeit der CCC-Hacker "durch vollmundige Versprechungen auf Twitter", wie es im Bericht des Chaos Computer Club zu den Sicherheitslücken heißt. Im Zuge ihrer Untersuchungen fanden sie nicht nur eine Sicherheitslücke in der eigentlichen Plattform, durch die sich die Kontaktverfolgungsdaten hätten auslesen lassen, sondern sie konnten sich auch Administrator-Zugriff auf das Content Management System (CMS) der Plattform verschaffen. In diesem CMS wurden zwar keine Kontaktdaten, wohl aber Teile des Online-Auftrittes des Plattform-Betreibers verwaltet. Durch das Hochladen von PHP-Skripten hätten die CCC-Mitglieder beliebigen Code im CMS ausführen können.

Die Verschlüsselung der Kontakt-Daten verhinderte zwar einen Zugriff durch Unbefugte, aber auch dieser Schutz war nicht ohne Probleme implementiert worden. Das System ist so konzipiert, dass jeder Gastgeber über einen öffentlichen und einen privaten Schlüssel verfügt. Alle Daten seiner Besucher im System werden mittels öffentlichen Schlüssels des Gastgebers verschlüsselt, sodass nur er an die Daten herankommt.

Den CCC-Hackern gelang es allerdings, die öffentlichen Schlüssel von Gastgebern zu überschreiben. Dadurch hatten sie Zugriff auf die Konten der Gastgeber innerhalb der Plattform. Da die Schlüssel der Gastgeber von einem Besucher nicht geprüft werden können, hätten Angreifer durch den Austausch der Schlüssel statt des eigentlichen Gastgebers Zugriff auf alle zukünftig für dieses Etablissement hochgeladenen Kontaktverfolgungsdaten gehabt.

Immerhin waren die vorhandenen Daten aber durch die Verschlüsselung geschützt. "Wer verschlüsselt, kann auch mal eine große Klappe haben", kommentiert der CCC in seinem Bericht zu den Sicherheitslücken die öffentlichen Aussagen der Betreiber bei darfichrein.de.

Der Betreiber der Plattform reagierte laut CCC überraschend schnell auf den Bericht und behob die Sicherheitslücken in der Plattform in unter 24 Stunden. An einer Funktion, mit der Besucher die öffentlichen Schlüssel der Gastgeber überprüfen können, wird zwar noch gearbeitet, da aber die zugrundeliegenden Sicherheitslücken behoben sind, ist das aktuell nicht dringend. Alle Kontaktverfolgungsdaten in der Plattform sind wohl soweit erst einmal sicher.

Die Sicherheitslücken im CMS hat der Betreiber kurzerhand dadurch behoben, dass das CMS mit einer statischen Webseite ersetzt wurde, die sowieso inhärent weniger Angriffsmöglichkeiten bietet.

Update vom 04.09.2020, 16:48 Uhr: In der ersten Text-Version wurde davon ausgegangen, dass die CCC-Hacker tatsächlich (verschlüsselte) Kontaktverfolgungsdaten aus dem System kopiert haben. Dies war nicht der Fall. Die CCC-Mitglieder hätten lediglich die Möglichkeit dazu gehabt. Der Text wurde entsprechend berichtigt.

(fab)