Coronapandemie: Neues Datenleck bei Corona-Testzentren

Die Ergebnisse der Corona-Tests inklusive persönlicher Daten von Tausenden Menschen konnten einfach abgerufen werden.

Artikel veröffentlicht am ,
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks.
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks. (Bild: Hatice EROL/Pixabay)

Wieder hat es ein Datenleck bei einem Anbieter von Corona-Schnelltests gegeben. Entdeckt wurde die Sicherheitslücke erneut von der Projektgruppe Zerforschung. Demnach waren Daten wie Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Testdatum und Testergebnisse von Tausenden Personen abrufbar.

Stellenmarkt
  1. Inhouse IT-Consultant (m/w/d) für Kassen- und Warenwirtschaftsprozesse
    HIT Handelsgruppe GmbH & Co. KG, Grünen
  2. Leiter IT Business Applications (m/w/d)
    SCHÜTZ GmbH & Co. KGaA, Selters (Westerwald)
Detailsuche

Allein in Berlin und Hamburg waren jeweils rund 3.000 Datensätze abrufbar, in Leipzig gar 5.800. Insgesamt konnten am 6. April über 14.000 Tests von 10 Testzentren in verschiedenen Städten über die Webseite testcenter-corona.de abgerufen werden.

Der Anbieter Eventus Media International (EMI) hat diese Seite nicht von Grund auf selbst entwickelt, sondern setzt auf das bekannte Content Management System (CMS) Wordpress. Dabei lassen sich die Testergebnisse mit einer zufällig erzeugten 10-stelligen, alphanumerischen ID abrufen.

Bei dem zuvor ebenfalls von Zerforschung aufgedeckten Datenleck beim Testzentrenbetreiber 21dx waren die IDs einfach aufsteigend durchnummeriert. Entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden.

Testergebnisse konnten über Wordpress-API abgerufen werden

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
Weitere IT-Trainings

Allerdings bietet Wordpress eine API, über die viele Inhalte einer Webseite maschinenlesbar abgerufen werden können. Das ermöglicht etwa die Nutzung einer Wordpress-App. Zu den standardmäßig vorhandenen Inhaltstypen wie Blogposts, Seiten oder Kommentare können auch eigene definiert werden, die dann ebenfalls über die API abgerufen werden können.

EMI habe den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher für Terminbuchungen und Testzertifikate genutzt werde, erklärt Zerforschung. Für diese habe EMI aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Entsprechend könnten alle Registrierungen inklusive der jeweils verwendeten zehnstelligen ID abgerufen werden.

Mit der Liste aller IDs lassen sich anschließend auch alle Testergebnisse inklusive der persönlichen Daten der Betroffenen abrufen. Ein Ratelimiting, also eine Begrenzung der Abfragen, habe es nicht gegeben, schreibt Zerforschung. Entsprechend sei es möglich gewesen, alle Testergebnisse abzurufen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Forschergruppe meldete die Sicherheitslücke über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Unternehmen schloss die Lücke noch am selben Tag. Alle aktuellen Kunden hätten daraufhin neue IDs per E-Mail zugesandt bekommen, schreibt Zerforschung. Bis zur Veröffentlichung der Sicherheitslücke seien jedoch dem Projekt bekannte Kunden noch nicht über das Datenleck informiert worden.

Mit großer Eile hochgezogene Testcenter

Der Tagesschau sagte ein Unternehmenssprecher, man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können". Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid.

"Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden", betont die Forschergruppe. "Unternehmen müssen hier ihrer Schutz- und Sorgfaltspflicht vor dem Start nachkommen - und wenn sie dies nicht können, dann haben sie in diesem Bereich nichts verloren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

  3. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /