Coronapandemie: Neues Datenleck bei Corona-Testzentren

Die Ergebnisse der Corona-Tests inklusive persönlicher Daten von Tausenden Menschen konnten einfach abgerufen werden.

Artikel veröffentlicht am ,
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks.
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks. (Bild: Hatice EROL/Pixabay)

Wieder hat es ein Datenleck bei einem Anbieter von Corona-Schnelltests gegeben. Entdeckt wurde die Sicherheitslücke erneut von der Projektgruppe Zerforschung. Demnach waren Daten wie Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Testdatum und Testergebnisse von Tausenden Personen abrufbar.

Stellenmarkt
  1. (Junior) IT-Projektleiter (m/w/d) Vertrieb
    Stadtwerke Duisburg AG, Duisburg
  2. Backend-Entwickler (m|w|d)
    ECC European Clearingcenter GmbH & Co. KG, Bergkamen
Detailsuche

Allein in Berlin und Hamburg waren jeweils rund 3.000 Datensätze abrufbar, in Leipzig gar 5.800. Insgesamt konnten am 6. April über 14.000 Tests von 10 Testzentren in verschiedenen Städten über die Webseite testcenter-corona.de abgerufen werden.

Der Anbieter Eventus Media International (EMI) hat diese Seite nicht von Grund auf selbst entwickelt, sondern setzt auf das bekannte Content Management System (CMS) Wordpress. Dabei lassen sich die Testergebnisse mit einer zufällig erzeugten 10-stelligen, alphanumerischen ID abrufen.

Bei dem zuvor ebenfalls von Zerforschung aufgedeckten Datenleck beim Testzentrenbetreiber 21dx waren die IDs einfach aufsteigend durchnummeriert. Entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden.

Testergebnisse konnten über Wordpress-API abgerufen werden

Golem Karrierewelt
  1. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Allerdings bietet Wordpress eine API, über die viele Inhalte einer Webseite maschinenlesbar abgerufen werden können. Das ermöglicht etwa die Nutzung einer Wordpress-App. Zu den standardmäßig vorhandenen Inhaltstypen wie Blogposts, Seiten oder Kommentare können auch eigene definiert werden, die dann ebenfalls über die API abgerufen werden können.

EMI habe den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher für Terminbuchungen und Testzertifikate genutzt werde, erklärt Zerforschung. Für diese habe EMI aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Entsprechend könnten alle Registrierungen inklusive der jeweils verwendeten zehnstelligen ID abgerufen werden.

Mit der Liste aller IDs lassen sich anschließend auch alle Testergebnisse inklusive der persönlichen Daten der Betroffenen abrufen. Ein Ratelimiting, also eine Begrenzung der Abfragen, habe es nicht gegeben, schreibt Zerforschung. Entsprechend sei es möglich gewesen, alle Testergebnisse abzurufen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Forschergruppe meldete die Sicherheitslücke über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Unternehmen schloss die Lücke noch am selben Tag. Alle aktuellen Kunden hätten daraufhin neue IDs per E-Mail zugesandt bekommen, schreibt Zerforschung. Bis zur Veröffentlichung der Sicherheitslücke seien jedoch dem Projekt bekannte Kunden noch nicht über das Datenleck informiert worden.

Mit großer Eile hochgezogene Testcenter

Der Tagesschau sagte ein Unternehmenssprecher, man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können". Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid.

"Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden", betont die Forschergruppe. "Unternehmen müssen hier ihrer Schutz- und Sorgfaltspflicht vor dem Start nachkommen - und wenn sie dies nicht können, dann haben sie in diesem Bereich nichts verloren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektro-Kombi
Opel Astra setzt auf Effizienz statt großem Akku

Mit dem Opel Astra Sports Tourer kommt der erste vollelektrische Kombi eines deutschen Herstellers auf den Markt.

Elektro-Kombi: Opel Astra setzt auf Effizienz statt großem Akku
Artikel
  1. Berlin: Tier stellt E-Roller-Angebot wieder ein
    Berlin
    Tier stellt E-Roller-Angebot wieder ein

    Die E-Roller von Tier werden zum Jahreswechsel aus dem Stadtbild verschwinden. Sie sind im Unterhalt zu teuer gewesen.

  2. App-Store-Rauswurfdrohung: Musk attackiert Apple
    App-Store-Rauswurfdrohung
    Musk attackiert Apple

    Apple hat angeblich seine Werbeaktivitäten auf Twitter weitgehend eingestellt und mit einem App-Store-Rauswurf gedroht.

  3. Kryptografie: Warum Kaiser Karls Geheimcode fast 500 Jahre geheim blieb
    Kryptografie
    Warum Kaiser Karls Geheimcode fast 500 Jahre geheim blieb

    War Kaiser Karl V. ein kryptografisches Genie? Wir werfen einen Blick auf seinen Geheimcode und klären, warum er erst jetzt entschlüsselt wurde.
    Eine Analyse von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /