Sicherheitslücke: Testzentren leaken 136.000 Corona-Tests

Eine triviale Sicherheitslücke ermöglichte den Zugriff auf die Corona-Testergebnisse von über 100 Testzentren - inklusive persönlicher Daten.

Artikel veröffentlicht am ,
Gegen Datenlecks hilft ein Mund-Nasen-Schutz leider nicht.
Gegen Datenlecks hilft ein Mund-Nasen-Schutz leider nicht. (Bild: cromaconceptovisual/Pixabay)

Mehrere Corona-Testzentren in Deutschland und Österreich haben die Daten ihrer Patienten nicht geschützt. Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Staatsbürgerschaft, Ausweisnummer und Corona-Testergebnis von mehr als 80.000 Personen waren abrufbar. Insgesamt konnte auf 136.000 Covid-19-Testergebnisse zugegriffen werden. Teilweise mitsamt der Reisepass- oder Ausweisnummer.

Stellenmarkt
  1. Digital Marketing Manager (m/w/d)
    EPLAN GmbH & Co. KG, Monheim am Rhein, München, Hamburg, Stuttgart, Dresden
  2. Projektmanager Digitalisierung (m/w/d)
    Villeroy & Boch AG Hauptverwaltung, Mettlach
Detailsuche

Entdeckt hatte das Datenleck die Projektgruppe Zerforschung bei einem Besuch des Berliner Corona-Testzentrums. Der dort durchgeführte Test war negativ, Datenschutz und IT-Sicherheit allerdings ebenfalls. So sollten sich die getesteten Personen bei einem Online-Dienst registrieren, um ihre Testergebnisse abrufen zu können.

Covid-19-Testergebnisse durch Sicherheitslücke-as-a-Service

Unter der Domain 21dx.medicus.ai konnten sie anschließend ihre Testergebnisse einsehen und als PDF herunterladen. Doch die ID zum Herunterladen des PDFs wurde einfach aufsteigend durchnummeriert, entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden - inklusive ihrer persönlicher Daten. Um die Daten einzusehen, reichte es aus, einen Account zu registrieren; ein Covid-19-Test musste nicht durchgeführt werden.

Die Sicherheitslücke befand sich laut Zerforschung in der Software Safeplay, eine Komplettlösung für Testzentren, die als Software-as-a-Service vom Wiener Startup Medicus.ai angeboten und vom Testzentrenbetreiber 21dx verwendet wird. Letztere betreibt insgesamt 15 Testzentren in Deutschland und Österreich sowie ein Impfzentrum.

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    06./07.02.2023, Virtuell
  2. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
Weitere IT-Trainings

Laut dem Chaos Computer Club (CCC) sind jedoch insgesamt über 100 Testzentren sowie mobile Testteams betroffen. "Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas", heißt es in einer Pressemitteilung, mit welcher Zerforschung, CCC und die Datenschutz-NGO Epicenter.works aus Österreich das Datenleck öffentlich bekanntmachen.

Nicht die erste Sicherheitslücke in hastig erstellter Corona-IT

Die Sicherheitslücke wurde zuvor an Medicus.ai gemeldet, das sie mittlerweile geschlossen haben will. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das CERT.at wurden informiert. "Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden", sagte Karl aus dem Team Zerforschung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", sagte CCC-Sprecher Linus Neumann mit Verweis auf Schwachstellen in digitalen Corona-Listen im vergangenen Jahr. "Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als Nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt", kritisierte Neumann.

"Ein Teil des Vertrauens würde sich auch wieder gewinnen lassen, wenn staatliche Stellen nicht alles einfach nur deswegen einkaufen, weil AI oder Blockchain draufsteht", schreibt Zerforschung. Diese Hype-Begriffe seien eben keine Labels, die Lösungen besonders vertrauenswürdig machen würden - sondern eher ein Indikator dafür, wer sich besonders leicht über den Tisch ziehen lasse.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Trollversteher 19. Mär 2021

Haha, ein guter, charakterstarker Lehrer hätte Dir nach etwas Grummeln dafür ne eins...

goggi 19. Mär 2021

Also bei https://test-to-go.berlin/datenschutz/ ist Verantwortlich die "Senatsverwaltung...

goggi 19. Mär 2021

Berlin und BB wollen MV aber nicht allein das Feld von Steuerverschwendung überlassen...

Maddix 19. Mär 2021

Wenn ich in der Privatwirtschaft solche stark sensiblen Daten handhabe, dann muss ich...



Aktuell auf der Startseite von Golem.de
Tesla-Fabrik
In Grünheide soll "totales Chaos" herrschen

Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
Artikel
  1. Elbit Systems Deutschland: Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab
    Elbit Systems Deutschland
    Neue Bundeswehr-Funkgeräte lösen Retrogeräte von 1982 ab

    Vor rund einem Jahr hat das Beschaffungsamt der Bundeswehr für 600 Millionen Euro Tausende Funkgeräte aus dem Jahr 1982 nachbauen lassen. Nun werden ganz neue angeschafft.

  2. Europäischer Rat: Einigung über Bargeldobergrenze von 10.000 Euro
    Europäischer Rat
    Einigung über Bargeldobergrenze von 10.000 Euro

    Der Europäische Rat hat sich auf eine Bargeldobergrenze von 10.000 Euro verständigt. Auch Kryptowährungen sollen streng reguliert werden.

  3. Angespielt: Diablo 4 wird brutal, makaber und ein bisschen eklig
    Angespielt
    Diablo 4 wird brutal, makaber und ein bisschen eklig

    Open-World-Freiheiten, dynamische Events und eine geteilte Spielwelt: Golem.de hat Diablo 4 angespielt und mit den Entwicklern gesprochen.
    Von Olaf Bleich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Asus RTX 4080 1.689,90€, MSI 28" 4K 579€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ • Alternate: Acer Gaming-Monitor 27" 159,90€, Razer BlackWidow V2 Mini 129,90€ • 20% Extra-Rabatt bei ebay • Amazon Last Minute Angebote [Werbung]
    •  /