AKTUELLPressemitteilung

Unser Umgang mit der Sicherheitsmeldung vom 26.5.

By Mai 28, 2021Juni 25th, 2021No Comments

Wir sind uns der Verantwortung bei luca sehr bewusst und verfolgen jeden Hinweis und jede Sicherheitsmeldung. Die Möglichkeit eines potentiellen Angriffs durch Excel Makros in CSV-Dateien über das luca-System von Gesundheitsämtern wurde am 26.5. um 10:01 Uhr unterbunden und die entsprechende Lücke im System geschlossen, nachdem wir zuvor um 7:31 Uhr über ein entsprechendes Video erstmals informiert wurden.

Für das Bestehen des Problems entschuldigen wir uns. Wir haben luca entwickelt, um den Gesundheitsämtern die Arbeit zu erleichtern, Prozesse zu digitalisieren und ein wirkungsvolles Tool zur Pandemiebekämpfung an die Hand zu geben. Dies wird auch weiterhin unser Antrieb sein.  

Nach Bekanntwerden des Videos am 26.5. um 7.31 Uhr haben wir direkt um 10.01 Uhr eine “Allow-List” im System ausgerollt und sämtliche weitere Sonderzeichen deaktiviert, so dass  nur noch die Verwendung ausgewählter Zeichen möglich ist. Damit können keine schadhaften Codes mehr über das luca-System übertragen und in CSV exportiert werden.

Im weiteren Verlauf wurde am 27.05. um 17:03 Uhr gezeigt, dass die Fehlerbehebung bei einem nicht richtig validen Datenobjekt von Kontaktdaten beim Export in eine CSV-Datei eine Fehlermeldung hervorrufen kann. Hiervon war laut Video der Export einer konkreten Kontaktnachverfolgungsliste betroffen. Wir konnten den Fehler identifizieren und am 28.05. um 01:30 Uhr beheben.

Im Rahmen der verantwortungsvollen Offenlegung von Sicherheitslücken möchten wir daran appellieren, unser Sicherheitsteam unter security@luca-app.de zu kontaktieren. Hier werden alle Hinweise verfolgt, eingeschätzt und entsprechend umgesetzt. Im vorliegenden Fall hat uns keine diesbezügliche Mitteilung erreicht.

Nicht richtig ist die Behauptung, uns wäre dieser Vorfall wochenlang bekannt gewesen und wir hätten nicht darauf reagiert. Wir wurden Ende April erstmals auf CSV-Injections in Richtung Gesundheitsamt angesprochen. Daraufhin wurde die Einhaltung der hierfür vorgesehenen OWASP-Empfehlungen überprüft und erweitert. https://gitlab.com/lucaapp/web/-/blob/2f878ef9e624224722aa073ee71cb8703f6728f1/services/health-department/src/utils/typeAssertions.js

Die OWASP-Empfehlungen sind die gängige Praxis, um solche Code Injection-Angriffe zu verhindern: https://owasp.org/www-community/attacks/CSV_Injection 
Der am 27.05. simulierte Angriff nutzte scheinbar weitere Zeichen, die bisher in den OWASP-Empfehlungen zu CSV-Injections nicht aufgeführt sind.

Ebenfalls falsch ist das auf Twitter verbreitete Gerücht, dass eine Kontaktnachverfolgung durch die Gesundheitsämter bei Nutzer:innen mit nicht-lateinischen Buchstaben im Namen nicht mehr möglich sei. Ebenfalls werden Warnmeldungen innerhalb der App im Falle einer Kontaktnachverfolgung durch das Gesundheitsamt weiterhin ausgespielt.  

Wir hoffen, dass wir hiermit Transparenz in die Diskussion der letzten zwei Tage bringen können. Vielen Dank an alle, die uns helfen, das luca-System kontinuierlich weiterzuentwickeln.