Fragen? Antworten! Siehe auch: Alternativlos
Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz. Versicherte konnten durch die Informations-Yecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden. Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden.Wow. Das ist echt Totalschaden.
Aber leider nicht so ungewöhnlich für die Startup-Kultur im Augenblick. Ich hab das ja schon ein paar Mal in Vorträgen thematisiert, wie da erstmal gewaltig auf den Busch geklopft wird, und man plant dann, wenn man am Markt Erfolg hat, das später nach ein-zwei Investitionsrunden oder dem IPO nochmal richtig und ordentlich zu machen. :-(
Update: Der Gründer von Vivy war vorher CTO bei N26. Und die hatten ja auch schon ihren Auftritt beim CCC-Congress m(
Ach komm, Fefe, Sicherheit ist nicht so wichtig bei Banking und Gesundheitsanwendungen! Da liefern wir einen Patch nach!1!!
Update: Falls das jemand übersehen hatte: Vivy ist natürlich vom TÜV geprüft. Diesmal Rheinland, nicht Süd. Da kann also gar nichts schiefgehen!!1!