Sicherheitslücke: Testzentren leaken 136.000 Corona-Tests

Eine triviale Sicherheitslücke ermöglichte den Zugriff auf die Corona-Testergebnisse von über 100 Testzentren - inklusive persönlicher Daten.

Artikel veröffentlicht am ,
Gegen Datenlecks hilft ein Mund-Nasen-Schutz leider nicht.
Gegen Datenlecks hilft ein Mund-Nasen-Schutz leider nicht. (Bild: cromaconceptovisual/Pixabay)

Mehrere Corona-Testzentren in Deutschland und Österreich haben die Daten ihrer Patienten nicht geschützt. Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Staatsbürgerschaft, Ausweisnummer und Corona-Testergebnis von mehr als 80.000 Personen waren abrufbar. Insgesamt konnte auf 136.000 Covid-19-Testergebnisse zugegriffen werden. Teilweise mitsamt der Reisepass- oder Ausweisnummer.

Stellenmarkt
  1. Manager Testautomation (m/w/d)
    Techniker Krankenkasse, Hamburg
  2. IT-Systemadministrator:in (m/w/d)
    Beratungs- und Prüfungsgesellschaft BPG MBH, Krefeld
Detailsuche

Entdeckt hatte das Datenleck die Projektgruppe Zerforschung bei einem Besuch des Berliner Corona-Testzentrums. Der dort durchgeführte Test war negativ, Datenschutz und IT-Sicherheit allerdings ebenfalls. So sollten sich die getesteten Personen bei einem Online-Dienst registrieren, um ihre Testergebnisse abrufen zu können.

Covid-19-Testergebnisse durch Sicherheitslücke-as-a-Service

Unter der Domain 21dx.medicus.ai konnten sie anschließend ihre Testergebnisse einsehen und als PDF herunterladen. Doch die ID zum Herunterladen des PDFs wurde einfach aufsteigend durchnummeriert, entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden - inklusive ihrer persönlicher Daten. Um die Daten einzusehen, reichte es aus, einen Account zu registrieren; ein Covid-19-Test musste nicht durchgeführt werden.

Die Sicherheitslücke befand sich laut Zerforschung in der Software Safeplay, eine Komplettlösung für Testzentren, die als Software-as-a-Service vom Wiener Startup Medicus.ai angeboten und vom Testzentrenbetreiber 21dx verwendet wird. Letztere betreibt insgesamt 15 Testzentren in Deutschland und Österreich sowie ein Impfzentrum.

Golem Akademie
  1. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
Weitere IT-Trainings

Laut dem Chaos Computer Club (CCC) sind jedoch insgesamt über 100 Testzentren sowie mobile Testteams betroffen. "Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas", heißt es in einer Pressemitteilung, mit welcher Zerforschung, CCC und die Datenschutz-NGO Epicenter.works aus Österreich das Datenleck öffentlich bekanntmachen.

Nicht die erste Sicherheitslücke in hastig erstellter Corona-IT

Die Sicherheitslücke wurde zuvor an Medicus.ai gemeldet, das sie mittlerweile geschlossen haben will. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das CERT.at wurden informiert. "Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden", sagte Karl aus dem Team Zerforschung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", sagte CCC-Sprecher Linus Neumann mit Verweis auf Schwachstellen in digitalen Corona-Listen im vergangenen Jahr. "Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als Nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt", kritisierte Neumann.

"Ein Teil des Vertrauens würde sich auch wieder gewinnen lassen, wenn staatliche Stellen nicht alles einfach nur deswegen einkaufen, weil AI oder Blockchain draufsteht", schreibt Zerforschung. Diese Hype-Begriffe seien eben keine Labels, die Lösungen besonders vertrauenswürdig machen würden - sondern eher ein Indikator dafür, wer sich besonders leicht über den Tisch ziehen lasse.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Trollversteher 19. Mär 2021

Haha, ein guter, charakterstarker Lehrer hätte Dir nach etwas Grummeln dafür ne eins...

goggi 19. Mär 2021

Also bei https://test-to-go.berlin/datenschutz/ ist Verantwortlich die "Senatsverwaltung...

goggi 19. Mär 2021

Berlin und BB wollen MV aber nicht allein das Feld von Steuerverschwendung überlassen...

Maddix 19. Mär 2021

Wenn ich in der Privatwirtschaft solche stark sensiblen Daten handhabe, dann muss ich...

smonkey 18. Mär 2021

Danke für diese klaren Worte! Ganz mein Verständnis.



Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /