Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 03/2018
  4. c’t deckt auf: Notruf 112 mit fatalem Datenleck

c’t deckt auf: Notruf 112 mit fatalem Datenleck

16.03.2018 07:00 Uhr Ronald Eikenberg
vorlesen
c’t deckt auf: Notruf 112 mit fatalem Datenleck

(Bild: Thomas Warnack)

c’t hat in einer App für Rettungskräfte ein Datenleck entdeckt, das bis vor kurzem Einsatzdaten inklusive detaillierten Patien­teninfos offenlegte.

Haben Sie einen Tipp?

Viele Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

  • zum anonymen Briefkasten

In einer App zur Dokumentation von Rettungsdiensteinsätzen hat das c't Magazin ein fatales Datenleck entdeckt, durch das unter anderem der Zugriff auf sensible Patientendaten möglich war. Es handelt sich um die iPad-App NaProt des Berliner Unternehmens Pulsation IT.

Die App wird etwa genutzt, um Rettungsdiensten nach einem Anruf bei 112 alle für den Notfall relevanten Daten zur Verfügung zu stellen – darunter Name, Geburtsdatum und Adresse des Patienten sowie den Notfallort . Der Hersteller erklärt, dass mit seiner Software bereits über eine Million Einsätze in über 900 Einsatzfahrzeugen erfasst wurden.

iOS-App mit Zugangsdaten ausgeliefert

Als sich c't einen Eindruck von der Sicherheit verschaffen wollte, stieß das Magazin auf ein fatales Datenleck: In der Binärdatei der App aus dem App Store befanden sich unter anderem fest einkodierte Zu­gangsdaten, die einen Zugriff auf reale Einsätze ermöglichten. Kriminelle hätten sogar dafür sorgen können, dass Einsätze nicht über NaProt gemeldet worden wären. Auch die Erfassung falscher Daten wäre durch das Sicherheitsleck möglich gewesen.

c't
Demomodus mit fiktiven Einsatzdaten -- durch ein Sicherheitsleck konnte man auch auf echte Einsätze zugreifen (Bild: c't)

Nachdem c’t den Hersteller über das Problem in Kenntnis gesetzt hatte, reagierte das Unternehmen umgehend und schloss die Sicherheitslücke. Offenbar dauerte die Aktualisierung der Server aber einige Zeit: Am 11. März war es bei Kenntnis der richtigen URLs mit dem alten Login noch immer möglich, auf einige mit NaProt verwaltete Einsätze in Deutschland zuzugreifen.

Den vollständigen Artikel finden Sie in der aktuellen c't 7/18 und auf c't online:

  • Security-Notruf, Sicherheitslücke in Notfall-App legt Einsatzdaten offen
(rei)
Kommentare lesen (150 Beiträge)

Forum zum Thema: Diverses

https://heise.de/-3996008 Drucken
Mehr zum Thema:
Apple iPad Sicherheitslücken
Anzeige
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • enterJS: Die volle Bandbreite an JavaScript-Wissen
  • Unter der Lupe: Hardware für den Endgeräteschutz
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. P I C
    N I C

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    Mmoe hat keinen Avatar
    von Mmoe; vor einer Minute
  2. Weiss man dooooch!
    hyanakin schrieb am 24.04.2018 10:50: Alle Bugs brauchen genau 3 Tage, um gefixt zu werden! Alle! Immer!

    Forum:  Responsible Disclosure? Google veröffentlicht ungepatchte Win-10-Lücke

    bazzo hat keinen Avatar
    von bazzo; vor 2 Minuten
  3. Re: [...] einen Pin berühren [...]
    p4ran0id schrieb am 24.04.2018 14:21: Du kannst entweder Pin 10 und 7 brücken, oder 10 und 1

    Forum:  Veröffentlichter Boot-Exploit knackt alle Nintendo-Switch-Konsolen

    c80 hat keinen Avatar
    von c80; vor 6 Minuten
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2389626
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien