Een Weens bedrijf heeft via een IDOR-kwetsbaarheid de uitslagen van 136.000 coronatests gelekt. Alleen het aanpassen van een getal in de adresbalk van de browser was voldoende om naam, adresgegevens, geboortedatum, identiteitsnummer en uitslag van 136.000 coronatests te zien, afgenomen bij 80.000 mensen in Duitsland en Oostenrijk. Dat laat de Duitse hackersclub Chaos Computer Club (CCC) weten.

Het gaat hier om een Insecure direct object references (IDOR)-kwetsbaarheid. Deze beveiligingslekken doen zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van deze kwetsbaarheid komt die nog altijd geregeld voor. 

Tevens ontdekten de onderzoekers dat via een dashboard, dat voor elk aangemaakt account toegankelijk was, kon worden gezien wanneer erin een testcentra een coronatest was uitgevoerd en wat het resultaat was. Aan de hand hiervan kon een url worden afgeleid van een afbeelding met onder andere de foto van de teststrip waarop het resultaat stond. Op verschillende van deze foto's waren ook de namen van patiënten te zien, meldt de CCC.

Alles bij de bron; Security