Über 100.000 Corona-Testergebnisse waren im Netz frei einsehbar

Von Witold Pryjda am 18.03.2021 10:59 Uhr
8 Kommentare
In der Corona-Pandemie gelten möglichst flächendeckende Tests als eines der wichtigsten Werkzeuge zu deren Eindämmung, entsprechend zahl­reich sind diese auch. Nun kommt aber heraus, dass es in Deutschland und Österreich eine schwere Datenschutzpanne gegeben hat.

Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer und Corona-Test­er­gebnis: All diese sensiblen Daten waren laut dem Chaos Computer Club (CCC), der die Schwachstelle umgehend den zuständigen Behörden gemeldet hat, aufgrund einer Sicher­heits­lücke unzureichend geschützt über das Internet abrufbar. Betroffen waren demnach mehrere Corona-Testzentren in Deutschland und Österreich, konkret geht es um mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen.

"Digitale Schnellschüsse" schuld

Die Erklärung ist banal und erschreckend zugleich, denn laut CCC waren Digitalisierungs­mängel und "digitale Schnellschüsse" dafür verantwortlich. Im Mittelpunkt der aktuellen Angelegenheit steht das Wiener Unternehmen Medicus.ai. Dieses stellt unter dem Namen Safeplay eine "Rundum-Sorglos-Website" für Testzentren bereit, darüber lassen sich Termine buchen und Online-Testzertifikate ausstellen.

In Sachen Sicherheit gab es aber offenbar erhebliche Mängel, so der CCC: "Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogene Daten anderer Nutzer_innen einsehen." Entdeckt wurde die Schwach­stelle über ein Berliner Testzentrum, die Lösung von Medicus.ai kam nicht nur in öffentlichen Einrichtungen der deutschen Hauptstadt, sondern auch in München und Kärnten zum Einsatz, betroffen waren auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.

Das "Hacken" war eigentlich keines, denn die fremden Ergebnisse konnten über eine simple Manipulation der URL gefunden werden. "Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die 'Testzertifikate' anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", so das CCC.

Laut den CCC-Sicherheitsexperten konnte man mit einem Konto auch ungehindert auf ein Dashboard zugreifen und "sekundengenau" für jedes Testzentrum einsehen, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Medicus.ai hat eigenen Angaben nach diese Schwachstelle mittlerweile geschlossen. Ob es einen unerlaubten Zugriff auf die Daten gegeben hat, ist unklar und auch kaum feststellbar.
8 Kommentare lesen & antworten
whatsapp
Jede Woche neu: Top-News per E-Mail
Verwandte Themen
Coronavirus
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies