Der Chaos Computer Club Freiburg (CCCFR) informiert, daß es "einem Security Tester gelungen ist über das Luca System Schadcode in eine Testanwendung der Luca Fachanwendung für Gesundheitsämter zu schleusen. Vor diesem Szenario hatten viele Sicherheitsforscherinnen in den vergangenen Monaten mehrfach versucht zu warnen.
Für Gesundheitsämter bedeutet dies: Daten aus dem Luca System sind nicht als sichere Quelle einzustufen und sollten stets so behandelt werden als enthalten diese Schadcode. Bisher wird Luca als Fachanwendung für Gesundheitsämter vermarktet, also als vermeintlich sichere Datenquelle.
Eingeschleuster Schadcode kann dabei unerkannt hinterlegte Kontaktdaten abgreifen, den Rechner von Mitarbeitern übernehmen, Ransomware oder andere Trojaner enthalten.
Der Chaos Computer Club Freiburg warnt daher erneut eindringlich vor dem Gebrauch von Luca, jedenfalls bis der Anbieter Nexenio - bzw. Culture4Life hinreichend sicherstellt, dass über seine "Datenautobahn ins Gesundheitsamt" keine schadhaften Daten in ihr Gesundheitsamt übermittelt werden. Der Anbieter verzichtet bisher offenbar auch auf übliche Unit-Tests und Implementierungsprüfungen die den eigenen Code prüfen.
Bis Mitte Mai war es beispielsweise für Gesundheitsämter nicht möglich hinterlegte Kontaktdaten von Schlüsselanhängern zu entschlüsseln, die wichtigste Funktion von Luca: Kontaktdaten für Gesundheitsämter bereit stellen.
Linus Neumann bemerkt dazu, dass diese Schwachstelle im Luca System bereits vor Wochen schon besprochen wurde. Auch die Warnung der bundesweiten Stellungnahme des Chaos Computer Club, oder der 70 Sicherheitsforscherinnen waren dahingehend eindeutig.
Culture4Life, als Anbieter des Luca Systems, gefährdet damit sehr akut eingeübte Abläufe und Infrastruktur in den Gesundheitsämtern. Die Daten aus dem Luca System sind dahingehend auf dem Vertrauenslevel einer Spam Phishing Mail die Ihnen einen Trojaner installiert."
(CCCFR am 26.05.2021)
Nähere Infos:
- @mame82 zeigt wie gefährlich die Daten aus der #Luca 'Fachanwendung' sein können
- oder direkt bei dem Sicherheitstester als Proof of Concept Video
luca_attack5.mp4
(edit 1.6.: korrekten Vereinsbezeichnungen ersetzt, gesperrtes Youtube Video direkt hochgeladen)