Kaum serverseitiger Schutz - Katarische Regierung setzt auf zentrale Speicherung und verpflichtende Verwendung

Aufgedeckt wurde die Lücke von der Menschenrechtsorganisation Amnesty International. Dort hat man festgestellt, dass der Server keine sichere Authentifizierung verlangt, um Daten zu liefern. Einzig die Übermittlung der staatlichen Identifikationsnummer reicht bereits aus. Und da diese nach einem vorgefertigten Schema erzeugt wird, war es Angreifern möglich, diese zu generieren und durchzuprobieren.

Erschwerend kam hinzu, dass auch kein Schutz gegen eine massenhafte Abfrage implementiert war, weswegen die Lücke die Abfrage für alle Nutzer einfach machte. Als Antwort auf existierende IDs spuckte die Datenbank den Krankheitsstand in Bezug auf SARS-CoV-2 (Bestätigte Infektion, Verdachtsfall, gesund), als auch gegebenenfalls den Ort der Selbstisolation oder Quarantäne.

Einen Tag nach Übermittlung des Sicherheitsproblems wurde sie Serverlücke behoben. Etwas später erfolgte auch eine Aktualisierung für die App selbst.