• IT-Karriere:
  • Services:

Coronapandemie: Neues Datenleck bei Corona-Testzentren

Die Ergebnisse der Corona-Tests inklusive persönlicher Daten von Tausenden Menschen konnten einfach abgerufen werden.

Artikel veröffentlicht am ,
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks.
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks. (Bild: Hatice EROL/Pixabay)

Wieder hat es ein Datenleck bei einem Anbieter von Corona-Schnelltests gegeben. Entdeckt wurde die Sicherheitslücke erneut von der Projektgruppe Zerforschung. Demnach waren Daten wie Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Testdatum und Testergebnisse von Tausenden Personen abrufbar.

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Universitätsklinikum Frankfurt, Frankfurt am Main

Allein in Berlin und Hamburg waren jeweils rund 3.000 Datensätze abrufbar, in Leipzig gar 5.800. Insgesamt konnten am 6. April über 14.000 Tests von 10 Testzentren in verschiedenen Städten über die Webseite testcenter-corona.de abgerufen werden.

Der Anbieter Eventus Media International (EMI) hat diese Seite nicht von Grund auf selbst entwickelt, sondern setzt auf das bekannte Content Management System (CMS) Wordpress. Dabei lassen sich die Testergebnisse mit einer zufällig erzeugten 10-stelligen, alphanumerischen ID abrufen.

Bei dem zuvor ebenfalls von Zerforschung aufgedeckten Datenleck beim Testzentrenbetreiber 21dx waren die IDs einfach aufsteigend durchnummeriert. Entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden.

Testergebnisse konnten über Wordpress-API abgerufen werden

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Allerdings bietet Wordpress eine API, über die viele Inhalte einer Webseite maschinenlesbar abgerufen werden können. Das ermöglicht etwa die Nutzung einer Wordpress-App. Zu den standardmäßig vorhandenen Inhaltstypen wie Blogposts, Seiten oder Kommentare können auch eigene definiert werden, die dann ebenfalls über die API abgerufen werden können.

EMI habe den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher für Terminbuchungen und Testzertifikate genutzt werde, erklärt Zerforschung. Für diese habe EMI aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Entsprechend könnten alle Registrierungen inklusive der jeweils verwendeten zehnstelligen ID abgerufen werden.

Mit der Liste aller IDs lassen sich anschließend auch alle Testergebnisse inklusive der persönlichen Daten der Betroffenen abrufen. Ein Ratelimiting, also eine Begrenzung der Abfragen, habe es nicht gegeben, schreibt Zerforschung. Entsprechend sei es möglich gewesen, alle Testergebnisse abzurufen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Forschergruppe meldete die Sicherheitslücke über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Unternehmen schloss die Lücke noch am selben Tag. Alle aktuellen Kunden hätten daraufhin neue IDs per E-Mail zugesandt bekommen, schreibt Zerforschung. Bis zur Veröffentlichung der Sicherheitslücke seien jedoch dem Projekt bekannte Kunden noch nicht über das Datenleck informiert worden.

Mit großer Eile hochgezogene Testcenter

Der Tagesschau sagte ein Unternehmenssprecher, man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können". Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid.

"Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden", betont die Forschergruppe. "Unternehmen müssen hier ihrer Schutz- und Sorgfaltspflicht vor dem Start nachkommen - und wenn sie dies nicht können, dann haben sie in diesem Bereich nichts verloren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. für PC, PS4/PS5, Xbox und Switch
  2. 25,99€
  3. 26,99€

Argh 10. Apr 2021 / Themenstart

Ich habe die Rufnummer von einem Kollegen übernommen und kann es nicht ausschließen...

_Winux_ 09. Apr 2021 / Themenstart

Auch die "normale" Presse schreibt darüber: https://www.tagesspiegel.de/berlin...

Kommentieren


Folgen Sie uns
       


Mercedes EQV Probe gefahren

Trotz hohem Stromverbrauch kommt man mit dem EQV gut durch die Republik.

Mercedes EQV Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /