Menü
Security

c’t deckt auf: Notruf 112 mit fatalem Datenleck

c’t hat in einer App für Rettungskräfte ein Datenleck entdeckt, das bis vor kurzem Einsatzdaten inklusive detaillierten Patien­teninfos offenlegte.

Von
vorlesen Drucken Kommentare lesen 150 Beiträge
c’t deckt auf: Notruf 112 mit fatalem Datenleck

(Bild: Thomas Warnack)

Haben Sie einen Tipp?

Viele Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

In einer App zur Dokumentation von Rettungsdiensteinsätzen hat das c't Magazin ein fatales Datenleck entdeckt, durch das unter anderem der Zugriff auf sensible Patientendaten möglich war. Es handelt sich um die iPad-App NaProt des Berliner Unternehmens Pulsation IT.

Die App wird etwa genutzt, um Rettungsdiensten nach einem Anruf bei 112 alle für den Notfall relevanten Daten zur Verfügung zu stellen – darunter Name, Geburtsdatum und Adresse des Patienten sowie den Notfallort . Der Hersteller erklärt, dass mit seiner Software bereits über eine Million Einsätze in über 900 Einsatzfahrzeugen erfasst wurden.

Als sich c't einen Eindruck von der Sicherheit verschaffen wollte, stieß das Magazin auf ein fatales Datenleck: In der Binärdatei der App aus dem App Store befanden sich unter anderem fest einkodierte Zu­gangsdaten, die einen Zugriff auf reale Einsätze ermöglichten. Kriminelle hätten sogar dafür sorgen können, dass Einsätze nicht über NaProt gemeldet worden wären. Auch die Erfassung falscher Daten wäre durch das Sicherheitsleck möglich gewesen.

Demomodus mit fiktiven Einsatzdaten -- durch ein Sicherheitsleck konnte man auch auf echte Einsätze zugreifen

(Bild: c't)

Nachdem c’t den Hersteller über das Problem in Kenntnis gesetzt hatte, reagierte das Unternehmen umgehend und schloss die Sicherheitslücke. Offenbar dauerte die Aktualisierung der Server aber einige Zeit: Am 11. März war es bei Kenntnis der richtigen URLs mit dem alten Login noch immer möglich, auf einige mit NaProt verwaltete Einsätze in Deutschland zuzugreifen.

Den vollständigen Artikel finden Sie in der aktuellen c't 7/18 und auf c't online:

(rei)