2574958

CCC: 136.000 Corona-Tests waren im Web frei einsehbar

18.03.2021 | 11:31 Uhr | René Resch

Der CCC hat herausgefunden, dass hunderttausende Covid-19-Testergebnisse samt persönlicher Daten mit einfachsten Mitteln öffentlich einsehbar waren.

Aufgrund einer schweren Sicherheitslücke waren Daten einiger Corona-Testzentren aus Deutschland und Österreich über das Internet einsehbar. Darunter waren sensible Daten wie Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer sowie den dazugehörigen Corona-Testergebnissen abrufbar. Betroffen waren dabei mehr als 136.000 Corona-Testergebnisse von mehr als 80.000 Personen, wie der Chaos Computer Club (CCC) berichtet .

Testergebnisse waren frei einsehbar

Durch die Sicherheitslücke hätte praktisch jeder mit einem angelegtem Nutzeraccount auf die Daten zugreifen können. Die URL für das Testergebnis wurde mit Nummern verteilt, die Zahl konnte hoch- oder runtergezählt werden, um Covid-19-Testergebnisse anderer Personen einzusehen. Neben den Covid-19-Testergebnissen waren dazu noch sämtliche weitere sensible Personendaten einsehbar.

Weiterhin konnte mit jedem Account auf ein ungehindert zugängliches Dashboard zugegriffen werden. Hier konnte sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieses hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Fotos waren auch wiederum die Namen der Patienten vermerkt.

Betroffen waren laut dem CCC öffentliche Einrichtungen in München, Berlin und Kärnten sowie weiterer Teststationen in Unternehmen, Schulen und Kitas.

Sicherheitslücke wurde geschlossen

Sicherheitsforscher der Chaosgruppe "Zerforschung" haben die Schwachstelle nach einem Besuch in einem Berliner Testzentrum des Betreibers 21dx entdeckt. Das Unternehmen bezeichnet sich selbst als "größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie." Die eingesetzte Software stamme vom Wiener Unternehmen "medicus.ai".

Wie der CCC weiterhin mitteilt, wurden die Schwachstellen von medicus.ai inzwischen behoben. Ob andere die Schwachstellen schon früher bemerkten und ausnutzten, ist unklar. Die Zusicherungen des betroffenen Unternehmens medicus.ai, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen.

"Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden",  sagte Karl aus dem CCC-Zerforschung-Team.

Passend dazu: Datenschutzkrise durch Corona: Schlittern wir in die nächste globale Krise?

Macwelt Marktplatz

2574958