AutoCov: Übermittlung personenbezogener Daten bei Corona-Cert-Scan
Die Website AutoCov gibt an, beim Scan eines Corona-Certs keine personenbezogenen Daten zu übermitteln:
Datenschutz steht bei uns an höchster Stelle. Alle personenbezogenen Daten werden lokal verarbeitet und nicht an den Server geschickt. Die Daten werden nicht gespeichert, sondern nach dem Scan direkt wieder gelöscht.
Das ist nicht korrekt.
In der JavaScript-Datei /scanner-app4/decode.min.js
ist eine CryptoJS.MD5-Funktion untergebracht, die den Vornamen, Nachnamen und das Geburtsdatum als MD5 hasht und anschließend an den Anbieter übermittelt:
POST /scanner-app4/ajax-insights.php HTTP/1.1 Host: www.autocov.net User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 Accept: */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Content-Length: 131 Origin: https://www.autocov.net Referer: https://www.autocov.net/scanner Pragma: no-cache Cache-Control: no-cache Te: trailers Connection: close type=geimpft&hash=48654823348fa7e8d0aa663c96872409&dn=2&sd=2&issuer=CNAM&ma=ORG-100030215&mp=EU%2F1%2F20%2F1528&certdate=2021-10-01
Unter anderem wird übermittelt:
- Impfstatus: geimpft
- MD5-Hash: Vorname, Nachname und Geburtsdatum
- Zertifikatsaussteller: CNAM
- Impfdatum: 2021-10-01
Mittels JavaScript-Debugging im Browser konnte ich dann Folgendes feststellen:
md5(MICKEY MOUSE 2001-12-31) = 48654823348fa7e8d0aa663c96872409 = MD5-Hash des POST-Requests
Das könnt ihr mit einem MD5-Hash-Tool selbst nachstellen. Bspw. mit dem CyberChef.
Insgesamt sind solche Angebote mit Vorsicht zu genießen.