Coronapandemie: Neues Datenleck bei Corona-Testzentren

Die Ergebnisse der Corona-Tests inklusive persönlicher Daten von Tausenden Menschen konnten einfach abgerufen werden.

Artikel veröffentlicht am ,
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks.
Eine medizinische Schutzmaske schützt leider nicht vor Datenlecks. (Bild: Hatice EROL/Pixabay)

Wieder hat es ein Datenleck bei einem Anbieter von Corona-Schnelltests gegeben. Entdeckt wurde die Sicherheitslücke erneut von der Projektgruppe Zerforschung. Demnach waren Daten wie Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Testdatum und Testergebnisse von Tausenden Personen abrufbar.

Stellenmarkt
  1. Head of Master Data Management (Produktdaten) (m/w/d)
    Einrichtungspartnerring VME GmbH & Co. KG, Bielefeld
  2. DevOps Engineer - Build Pipeline (w/m/d)
    DeepL GmbH, Köln, Paderborn (Home-Office möglich)
Detailsuche

Allein in Berlin und Hamburg waren jeweils rund 3.000 Datensätze abrufbar, in Leipzig gar 5.800. Insgesamt konnten am 6. April über 14.000 Tests von 10 Testzentren in verschiedenen Städten über die Webseite testcenter-corona.de abgerufen werden.

Der Anbieter Eventus Media International (EMI) hat diese Seite nicht von Grund auf selbst entwickelt, sondern setzt auf das bekannte Content Management System (CMS) Wordpress. Dabei lassen sich die Testergebnisse mit einer zufällig erzeugten 10-stelligen, alphanumerischen ID abrufen.

Bei dem zuvor ebenfalls von Zerforschung aufgedeckten Datenleck beim Testzentrenbetreiber 21dx waren die IDs einfach aufsteigend durchnummeriert. Entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden.

Testergebnisse konnten über Wordpress-API abgerufen werden

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Allerdings bietet Wordpress eine API, über die viele Inhalte einer Webseite maschinenlesbar abgerufen werden können. Das ermöglicht etwa die Nutzung einer Wordpress-App. Zu den standardmäßig vorhandenen Inhaltstypen wie Blogposts, Seiten oder Kommentare können auch eigene definiert werden, die dann ebenfalls über die API abgerufen werden können.

EMI habe den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher für Terminbuchungen und Testzertifikate genutzt werde, erklärt Zerforschung. Für diese habe EMI aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Entsprechend könnten alle Registrierungen inklusive der jeweils verwendeten zehnstelligen ID abgerufen werden.

Mit der Liste aller IDs lassen sich anschließend auch alle Testergebnisse inklusive der persönlichen Daten der Betroffenen abrufen. Ein Ratelimiting, also eine Begrenzung der Abfragen, habe es nicht gegeben, schreibt Zerforschung. Entsprechend sei es möglich gewesen, alle Testergebnisse abzurufen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Forschergruppe meldete die Sicherheitslücke über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Unternehmen schloss die Lücke noch am selben Tag. Alle aktuellen Kunden hätten daraufhin neue IDs per E-Mail zugesandt bekommen, schreibt Zerforschung. Bis zur Veröffentlichung der Sicherheitslücke seien jedoch dem Projekt bekannte Kunden noch nicht über das Datenleck informiert worden.

Mit großer Eile hochgezogene Testcenter

Der Tagesschau sagte ein Unternehmenssprecher, man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können". Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid.

"Der Schutz von Gesundheitsdaten darf nicht auf die leichte Schulter genommen werden", betont die Forschergruppe. "Unternehmen müssen hier ihrer Schutz- und Sorgfaltspflicht vor dem Start nachkommen - und wenn sie dies nicht können, dann haben sie in diesem Bereich nichts verloren."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Webcams im Test
Dell und Elgato wollen Razer ablösen

Viele Leute suchen nach guten Webcams. Die Dell Ultrasharp Webcam und die Elgato Facecam sollen helfen. Sie müssen sich aber gegen Razer behaupten.
Ein Test von Oliver Nickel

Neue Webcams im Test: Dell und Elgato wollen Razer ablösen
Artikel
  1. Microsoft Office: BGP-Fehler macht zahlreichen Telekom-Kunden Probleme
    Microsoft Office  
    BGP-Fehler macht zahlreichen Telekom-Kunden Probleme

    Zahlreiche Telekom-Kunden hatten am Morgen Probleme, sich etwa mit Microsofts Online-Diensten zu verbinden. Grund ist wohl ein BGP-Fehler.

  2. Bitcoin, Ethereum & Co.: Ausgerechnet der Wolf of Wallstreet fordert Regulierung
    Bitcoin, Ethereum & Co.
    Ausgerechnet der Wolf of Wallstreet fordert Regulierung

    Jordan Belfort ist der Meinung, dass eine Regulierung von Kryptowährungen wie Bitcoin gut wäre. Seine Einschätzung basiert auf Erfahrung.

  3. China: Apple-Leaker soll Quellen verraten oder die Konsequenzen tragen
    China
    Apple-Leaker soll Quellen verraten oder die Konsequenzen tragen

    Apple geht gegen einen chinesischen Leaker vor und verlangt die Herausgabe seiner Quellen. Andernfalls werde die Polizei eingeschaltet.

Argh 10. Apr 2021

Ich habe die Rufnummer von einem Kollegen übernommen und kann es nicht ausschließen...

_Winux_ 09. Apr 2021

Auch die "normale" Presse schreibt darüber: https://www.tagesspiegel.de/berlin...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • PS5 jetzt bestellbar • EA-Spiele (PC) günstiger (u. a. Battlefield 5 5,99€) • Asus TUF Gaming 23,8" FHD 144Hz 169€ • Acer-Chromebooks zu Bestpreisen • Philips 65" Ambilight 679€ • Bosch Professional günstiger [Werbung]
    •  /