MDR-Recherche
Sicherheitslücke in AOK-Bonus-App: Passwörter im Klartext
Das MDR Reportage-Magazin Exakt hat sich in seiner aktuellen Ausgabe mit der mobilen Bonus-App der AOK auseinandergesetzt und übt Kritik am digitalen Zusatz-Angebot des Versicherers.
Neben grundsätzlichen Bedenken, was die Datensicherheit von Krankenkassen-Apps angeht, haben die Redakteure eine ganz spezifische Schwachstelle in der AOK-App aufgespürt: Statt auf „best practice“-Lösungen der Branche zu setzen, hat das IT-Team der AOK die Nutzerkennwörter ihrer Anwender unverschlüsselt von der App übertragen lassen.
Mit den Passwörtern wird der Zugriff auf persönliche Daten bei der AOK Plus möglich, wie z.B. Bankverbindungen, Arztrechnungen oder Angaben zur Rentenversicherung. Allein in Sachsen und Thüringen nutzen rund 65.000 Versicherte die „AOK Bonus-App“. […] Die Krankenkasse teilte dem MDR mit: „Danke, dass Sie uns mit Ihrer Recherche auf eine bislang unentdeckte ‚Schwachstelle‘ in unserer Bonus-App hingewiesen haben und uns damit die Chance eröffnen, diese zu verbessern.“
Unfassbar.
Am MacBook kann das Video nicht abgespielt werden
Sofort dicht machen.
Sowas lernt man doch in den ersten Tagen.
Im Jahr 2018 von unentdeckten Schwachstellen reden und Passwörter fahrlässig im Klartext übertragen und speichern.
DSGVO Strafe lässt grüßen.
Das es sowas heute noch gibt, wow. Alles Experten.
Mein Arbeitskollege (wir beide arbeiten in der IT als Softwareentwickler) wusste bis vor wenigen Jahren noch nicht einmal was ein Hash-Algorithmus ist. Er ist übrigens befördert worden, ich nicht. Das Peter-Prinzip lässt grüßen.
Kenne ich.. er konnte sich dann scheinbar besser verkaufen oder schleimt auch rum..
Mit auch schon passiert.. ätzend.. ich arbeite mittlerweile wo anders ;-)
Dann habt ihr entweder in der Ausbildung /Studium gepennt oder ihr hattet keine.
So etwas IST ELEMENTAR.
Und sehr bezeichnend und zugleich beschämend.
Wissen ist nicht alles! Soziale Kompetenz und Führungsstil sind oben wichtiger als geballtes Fachwissen. Wissen müssen die die man führt, und der der führt muss wissen was sie wissen;)
@helper: Zum Glück musst du mich nicht mit ihm in einen Topf werfen. Eigentlich wollte ich mit meinem Beispiel auch nur unterstreichen, warum mich solche Meldungen wie diese hier nicht unbedingt überraschen.
Der Herr Absolution hat es verstanden – so ist das leider
Das Verb „führen“ finde ich in dem Zusammenhang nicht mehr zeitgemäß.
Auch wenn von Führungskraft, Fühungsstärke und derlei die Rede ist, so bereitet mir dies Unbehagen. Zumal es auch immer etwas mit oben und unten zu tun.
Auweia, die Sprachpolizei ist auch schon da.
Das Video ist leider nicht mehr verfügbar, gibt das auch in der ARD Videothek?
So viel zur Mär, dass Apps im Store generell sicher seien.
Apple nervt die Entwickler mit restriktiven Vorgaben (teils auch berechtigt), aber so etwas fällt ihnen nicht auf,. Und das ist nicht das erste Mal. Mir scheint, einzig ihr Sandboxing ist für sie relevant.
Ich empfehle, mal das Programm Charles Proxy zu installieren, erstaunlich, was manche Apps im Hintergrund so alles treiben.
Es müsste eher heißen: …das „IT-Team“ der AOK…
Jedes IT-Unternehmen weiß doch inziwschen das man Passwörter nicht im Klartext abspeichert oder überträgt.
Von daher kann man nur eins der AOK empfehlen. Vertrag kündigen und neuen IT Dienstleister suchen!!
…und jeder der eine Schule in Deutschland besucht hat weiß doch, dass man „das“ manchmal mit zwei „s“ schreiben muss ;)
– Klugscheißer
„Manchmal“ ist abernicht richtig denn es folgt doch gewissen regeln. Danke für dein Tipp aber es bringt mir jetzt nun herzlich wenig da leider keine Bearbeitung hier zulässig ist. Von daher tut es mir nicht leid für euch Grammatik-Naz.is. :D Erstickt an meinen Fehlern. Vielfalt!
Da muss man doch vom Organversagen ausgehen. Wo ist das Qualitätsmanagement der Krankenkasse in Sachen IT-Sicherheit bei der Pflichtenhefterstellung gewesen? Oder war das eine so wunderbar agile Entwicklung, dass die Programmierer einfach mal eine Leistungsschau im „Quick-And-Dirty“-Programmieren liefern durften?
Ich finde, dass es für solche Fahrlässigkeit empfindliche, nicht versicherbare gesetzliche Strafen geben sollte.
Das scheint ja wieder mal wie bei solchen Berichten häufig recht pauschal, in Teilen unrichtig und wenn man der Gegendarstellung der AOK folgt auch iOS überhaupt nicht betreffend zu sein…
https://m.thueringer-allgemeine.de/web/mobil/leben/detail/-/specific/Nach-angeblicher-Sicherheitsluecke-AOK-widerspricht-Medienberichten-Bonus-App-663593144
Hier ginge es mal wieder nur um Klicks oder Zuschauerzahlen. Je unglaublicher es klingt, desto besser lassen sich solche Informationen verkaufen. Interessanter wird es, wenn man Einblick ins tatsächliche Geschehen hat. Die Credentials, mit denen sich ein Benutzer bei der AOK authentifiziert, wurden zu keiner Zeit unverschlüsselt übertragen. Der sog. „Hacker“ hat mittels eines MITM-Proxies die verschlüsselte Kommunikation aufgebrochen. Dies war in der alten App Version wohl noch möglich. Allerdings erfordert dies eine Installation eines „gefälschten“ Root-CA Zertifikats, so dass die App beim Verbindungsaufbau mit dem Fake AOK Server ein Zertifikat vorfindet, dem vertraut wird. Mit diesem Ansatz kann man fast jede TLS verschlüsselte Kommunikation aufbrechen. Dies wird auch Sebastian bestätigen können, denn der Charles Proxy macht genau das selbe.
Mein Verweis auf die Charles-App war allgemeiner Natur und hat nichts mit dem obigen Programm zu tun.
Ich frage mich, wie eine Schwachstelle aussieht, nachdem man sie verbessert hat? Ist sie dann leichter zu finden? Oder besser dokumentiert?