AKTUELL

Hinweis zu Änderungen an unseren API-Endpunkten

Unser Überwachungssystem meldete uns in den Tagen vor dem 24. August 2021 unberechtigte Zugriffe von außen auf zwei unserer API-Endpunkte. Daher haben wir den öffentlichen Zugriff auf diese Endpunkte am Nachmittag des 24. August vorsorglich unterbunden.

 

Wir möchten betonen, dass von den beobachteten unberechtigten Zugriffen zu keinem Zeitpunkt ein Risiko für die Sicherheit der auf unseren System gespeicherten Kontaktdaten von Nutzer:innen ausging. Auch auf andere sensible Daten hätte hierdurch nicht zugegriffen werden können.

Der freie Zugriff über das Internet auf diese an sich nur für interne Zwecke genutzten Endpunkte war unerwünscht und für die Funktion des luca-Systems nicht nötig. Durch eine Änderung an der Konfiguration unserer Infrastruktur unterbinden wir solche Zugriffe von außen seit dem 24. August.

Was ist passiert?

Aufgefallen ist der unberechtigte Zugriff, weil unsere Monitoringsysteme eine überplanmäßige Anzahl an zufällig erzeugten traceIDs verzeichneten und Alarm schlugen. Technische Details zur Funktion der zufällig eingestreuten traceIDs liefert dieser Blogbeitrag.

Einer der betroffenen Endpunkte dient unter anderem zum Erstellen dieser IDs oder zum Löschen veralteter Daten in unserer Datenbank. Letzterer Job läuft standardmäßig alle 15 Minuten, so dass ein von außen angestoßener Löschvorgang keine unerwünschten Folgen gehabt hätte. Auch die unerwünschte Erstellung der zufälligen IDs hatte keinen negativen Einfluss auf die Funktionstüchtigkeit des Systems oder gar die Sicherheit sensibler Daten.

 

Durch die Abfrage des anderen Endpunkts hätten unberechtigte Dritte lediglich wenig akkurate statistische Daten über die Nutzung der Container im luca System ermitteln können. Um eine unberechtigte, übermäßige Nutzung unserer Ressourcen zu vermeiden, haben wir den Zugriff dennoch unterbunden.

 

Bleib gesund!

Dein luca-Team