Mike Kuketz
21. Februar 2022 | 08:53 Uhr

AutoCov: Übermittlung personenbezogener Daten bei Corona-Cert-Scan

Die Website AutoCov gibt an, beim Scan eines Corona-Certs keine personenbezogenen Daten zu übermitteln:

Datenschutz steht bei uns an höchster Stelle. Alle personenbezogenen Daten werden lokal verarbeitet und nicht an den Server geschickt. Die Daten werden nicht gespeichert, sondern nach dem Scan direkt wieder gelöscht.

Das ist nicht korrekt.

In der JavaScript-Datei /scanner-app4/decode.min.js ist eine CryptoJS.MD5-Funktion untergebracht, die den Vornamen, Nachnamen und das Geburtsdatum als MD5 hasht und anschließend an den Anbieter übermittelt:

POST /scanner-app4/ajax-insights.php HTTP/1.1
Host: www.autocov.net
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 131
Origin: https://www.autocov.net
Referer: https://www.autocov.net/scanner
Pragma: no-cache
Cache-Control: no-cache
Te: trailers
Connection: close

type=geimpft&hash=48654823348fa7e8d0aa663c96872409&dn=2&sd=2&issuer=CNAM&ma=ORG-100030215&mp=EU%2F1%2F20%2F1528&certdate=2021-10-01

Unter anderem wird übermittelt:

  • Impfstatus: geimpft
  • MD5-Hash: Vorname, Nachname und Geburtsdatum
  • Zertifikatsaussteller: CNAM
  • Impfdatum: 2021-10-01

Mittels JavaScript-Debugging im Browser konnte ich dann Folgendes feststellen:

md5(MICKEY MOUSE 2001-12-31) = 48654823348fa7e8d0aa663c96872409 = MD5-Hash des POST-Requests

Das könnt ihr mit einem MD5-Hash-Tool selbst nachstellen. Bspw. mit dem CyberChef.

Insgesamt sind solche Angebote mit Vorsicht zu genießen.

Corona-Cert

Beim verwendeten Corona-Cert handelt es sich übrigens um ein valides, aber manipuliertes Cert. Es wird lediglich für Testzwecke verwendet.
Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Firefox
9. November 2021

Mozilla Firefox: Datensendeverhalten Desktop-Version – Browser-Check Teil20

Firefox ist im Auslieferungszustand kein datenschutzfreundlicher Browser - er lässt sich aber zu einem umwandeln.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
Booking.com
11. Mai 2023

Booking.com: Datenschutzrechtliche Bruchlandung mit Ansage – App-Check Teil4

Die Datenschutzverletzungen von Booking.com sind vergleichbar mit einem verheerenden Verkehrsunfall, bei dem man einfach nicht wegsehen kann.
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.