Kein Abstrich ohne Online-Account
Entdeckt haben das Datenleck Mitglieder des Chaos Computer Clubs (kurz: CCC) beim Besuch einer Berliner Teststation. Vor dem Abstrich mussten sie sich zunächst online registrieren, und zwar mit einer Software namens „Safeplay“. Diese ist auch bei über 100 weiteren Testzentren in Deutschland und Österreich im Einsatz. Angegeben werden unter anderem Vor- und Nachname, Geburtsdatum, vollständige Adresse, E-Mail und Mobilfunknummer, Ausweis-Nummer und der Aufenthaltsort der kommenden zwei Wochen. All diese Daten sowie den positiven oder negativen Befund können die Teilnehmer rund 15 Minuten später in einer PDF-Datei herunterladen. So weit, so gut.
Ergebnis-Seiten für jedermann sichtbar
Ein Blick auf die URL-Adresse ihrer Ergebnisseite allerdings machte die Computer-Hacker stutzig. Sie enthielt den Bestandteil „report_ID=“ gefolgt von einer mehrstelligen Zahlenkombination. Ein Versuch zeigte: Durch das Herauf- oder Herunterzählen dieser ID-Nummer ließen sich jede Menge fremder Ergebnisseiten abrufen - einschließlich persönlicher Daten und Testergebnis. Und zwar nicht nur von IT-Nerds, sondern auch von jedem anderen neugierigen Besucher. Nach Angaben des CCC betrifft das Leck rund 136.000 Testergebnisse von über 80.000 Personen. Genutzt wird das Programm nicht nur in stationären Testzentren. Auch mobile Teams arbeiten damit bei ihren Besuchen in Unternehmen, Schulen oder Kitas.
Foto vom Teststreifen
„Hastig gebastelte Corona-IT“ enthalte häufig Sicherheitslücken, so die Erfahrung des CCC. Man habe die Software der Testzentren daher weiter untersucht und noch eine Sicherheitslücke gefunden. Jeder Account konnte demnach auf ein sogenanntes „Dashboard“ zugreifen. Damit ließ sich sekundengenau nachverfolgen, wann ein Covid-19-Test gemacht wurde. Auch das positive oder negative Resultat war abrufbar. Weiter konnten die Hacker in diesem Zusammenhang die URL eines Fotos mit dem Teststreifen samt Ergebnis ableiten. Teilweise fand sich auf den Bildern auch der Name der getesteten Person.
Fazit
Die Computer-Hacker haben nach ihrer Entdeckung nicht nur den Betreiber informiert, sondern auch Bundes- und Landes-Datenschutzbeauftragte sowie das Bundesamt für die Sicherheit in der Informationstechnik. Inzwischen ist das Datenleck behoben. Laut Chaos Computer Club bestreiten die Verantwortlichen, dass in der Vergangenheit Unbefugte auf die Daten zugegriffen haben. Sie geben außerdem an, alle betroffenen Getesteten informiert zu haben.
Alles, was Sie wissen müssen