• IT-Karriere:
  • Services:

Sicherheitslücke: Testzentren leaken 136.000 Corona-Tests

Eine triviale Sicherheitslücke ermöglichte den Zugriff auf die Corona-Testergebnisse von über 100 Testzentren - inklusive persönlicher Daten.

Artikel veröffentlicht am ,
Gegen Datenlecks hilft ein Mund-Nasen-Schutz leider nicht.
Gegen Datenlecks hilft ein Mund-Nasen-Schutz leider nicht. (Bild: cromaconceptovisual/Pixabay)

Mehrere Corona-Testzentren in Deutschland und Österreich haben die Daten ihrer Patienten nicht geschützt. Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Staatsbürgerschaft, Ausweisnummer und Corona-Testergebnis von mehr als 80.000 Personen waren abrufbar. Insgesamt konnte auf 136.000 Covid-19-Testergebnisse zugegriffen werden. Teilweise mitsamt der Reisepass- oder Ausweisnummer.

Stellenmarkt
  1. Die Autobahn GmbH des Bundes, Bochum, Münster, Osnabrück
  2. TenneT TSO GmbH, Bayreuth

Entdeckt hatte das Datenleck die Projektgruppe Zerforschung bei einem Besuch des Berliner Corona-Testzentrums. Der dort durchgeführte Test war negativ, Datenschutz und IT-Sicherheit allerdings ebenfalls. So sollten sich die getesteten Personen bei einem Online-Dienst registrieren, um ihre Testergebnisse abrufen zu können.

Covid-19-Testergebnisse durch Sicherheitslücke-as-a-Service

Unter der Domain 21dx.medicus.ai konnten sie anschließend ihre Testergebnisse einsehen und als PDF herunterladen. Doch die ID zum Herunterladen des PDFs wurde einfach aufsteigend durchnummeriert, entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden - inklusive ihrer persönlicher Daten. Um die Daten einzusehen, reichte es aus, einen Account zu registrieren; ein Covid-19-Test musste nicht durchgeführt werden.

Die Sicherheitslücke befand sich laut Zerforschung in der Software Safeplay, eine Komplettlösung für Testzentren, die als Software-as-a-Service vom Wiener Startup Medicus.ai angeboten und vom Testzentrenbetreiber 21dx verwendet wird. Letztere betreibt insgesamt 15 Testzentren in Deutschland und Österreich sowie ein Impfzentrum.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Laut dem Chaos Computer Club (CCC) sind jedoch insgesamt über 100 Testzentren sowie mobile Testteams betroffen. "Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas", heißt es in einer Pressemitteilung, mit welcher Zerforschung, CCC und die Datenschutz-NGO Epicenter.works aus Österreich das Datenleck öffentlich bekanntmachen.

Nicht die erste Sicherheitslücke in hastig erstellter Corona-IT

Die Sicherheitslücke wurde zuvor an Medicus.ai gemeldet, das sie mittlerweile geschlossen haben will. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie das CERT.at wurden informiert. "Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden", sagte Karl aus dem Team Zerforschung.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", sagte CCC-Sprecher Linus Neumann mit Verweis auf Schwachstellen in digitalen Corona-Listen im vergangenen Jahr. "Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als Nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt", kritisierte Neumann.

"Ein Teil des Vertrauens würde sich auch wieder gewinnen lassen, wenn staatliche Stellen nicht alles einfach nur deswegen einkaufen, weil AI oder Blockchain draufsteht", schreibt Zerforschung. Diese Hype-Begriffe seien eben keine Labels, die Lösungen besonders vertrauenswürdig machen würden - sondern eher ein Indikator dafür, wer sich besonders leicht über den Tisch ziehen lasse.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Sandisk Ultra 3D 2TB SATA-SSD für 159,00€, LG OLED65CX9LA für 1.839,00€, Trust Trino...
  2. (Spring Sale u. a. Anno 1800 für 26,99€, Middle-earth: Shadow of War für 6,80€ und Dying...
  3. (aktuelll u. a. Samsung QLED-TVs)
  4. 159€

Trollversteher 19. Mär 2021 / Themenstart

Haha, ein guter, charakterstarker Lehrer hätte Dir nach etwas Grummeln dafür ne eins...

goggi 19. Mär 2021 / Themenstart

Also bei https://test-to-go.berlin/datenschutz/ ist Verantwortlich die "Senatsverwaltung...

goggi 19. Mär 2021 / Themenstart

Berlin und BB wollen MV aber nicht allein das Feld von Steuerverschwendung überlassen...

Maddix 19. Mär 2021 / Themenstart

Wenn ich in der Privatwirtschaft solche stark sensiblen Daten handhabe, dann muss ich...

smonkey 18. Mär 2021 / Themenstart

Danke für diese klaren Worte! Ganz mein Verständnis.

Kommentieren


Folgen Sie uns
       


Monster Hunter Rise - Fazit

Das nur für Nintendo Switch (und später für PC) verfügbare Monster Hunter Rise schickt Spieler ins alte Japan.

Monster Hunter Rise - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /