Sicherheitslücke: Daten von 136.000 Corona-Tests ungeschützt im Netz

(2 Bewertungen, 5.00 von 5)

Worum geht's?

Wochenlang konnten die Ergebnisse von Schnelltests zusammen mit den persönlichen Daten der Patienten online eingesehen werden. Dafür waren weder ein Passwort noch besondere IT-Kenntnisse notwendig. Mittlerweile ist die Sicherheitslücke geschlossen. Ob Daten abgegriffen wurden, ist derzeit unklar.

Anzeige

Kein Abstrich ohne Online-Account

Entdeckt haben das Datenleck Mitglieder des Chaos Computer Clubs (kurz: CCC) beim Besuch einer Berliner Teststation. Vor dem Abstrich mussten sie sich zunächst online registrieren, und zwar mit einer Software namens „Safeplay“. Diese ist auch bei über 100 weiteren Testzentren in Deutschland und Österreich im Einsatz. Angegeben werden unter anderem Vor- und Nachname, Geburtsdatum, vollständige Adresse, E-Mail und Mobilfunknummer, Ausweis-Nummer und der Aufenthaltsort der kommenden zwei Wochen. All diese Daten sowie den positiven oder negativen Befund können die Teilnehmer rund 15 Minuten später in einer PDF-Datei herunterladen. So weit, so gut.

Ergebnis-Seiten für jedermann sichtbar

Ein Blick auf die URL-Adresse ihrer Ergebnisseite allerdings machte die Computer-Hacker stutzig. Sie enthielt den Bestandteil „report_ID=“ gefolgt von einer mehrstelligen Zahlenkombination. Ein Versuch zeigte: Durch das Herauf- oder Herunterzählen dieser ID-Nummer ließen sich jede Menge fremder Ergebnisseiten abrufen - einschließlich persönlicher Daten und Testergebnis. Und zwar nicht nur von IT-Nerds, sondern auch von jedem anderen neugierigen Besucher. Nach Angaben des CCC betrifft das Leck rund 136.000 Testergebnisse von über 80.000 Personen. Genutzt wird das Programm nicht nur in stationären Testzentren. Auch mobile Teams arbeiten damit bei ihren Besuchen in Unternehmen, Schulen oder Kitas.

Foto vom Teststreifen

„Hastig gebastelte Corona-IT“ enthalte häufig Sicherheitslücken, so die Erfahrung des CCC. Man habe die Software der Testzentren daher weiter untersucht und noch eine Sicherheitslücke gefunden. Jeder Account konnte demnach auf ein sogenanntes „Dashboard“ zugreifen. Damit ließ sich sekundengenau nachverfolgen, wann ein Covid-19-Test gemacht wurde. Auch das positive oder negative Resultat war abrufbar. Weiter konnten die Hacker in diesem Zusammenhang die URL eines Fotos mit dem Teststreifen samt Ergebnis ableiten. Teilweise fand sich auf den Bildern auch der Name der getesteten Person.

Fazit

Die Computer-Hacker haben nach ihrer Entdeckung nicht nur den Betreiber informiert, sondern auch Bundes- und Landes-Datenschutzbeauftragte sowie das Bundesamt für die Sicherheit in der Informationstechnik. Inzwischen ist das Datenleck behoben. Laut Chaos Computer Club bestreiten die Verantwortlichen, dass in der Vergangenheit Unbefugte auf die Daten zugegriffen haben. Sie geben außerdem an, alle betroffenen Getesteten informiert zu haben.

 

 

Anzeige

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO: Microsoft kündigt Verarbeitung von Kundendaten in Europa an
Weiterlesen...
Schrems II: Datenschutzbehörden kündigen Unternehmenskontrollen an
Weiterlesen...
Pegasus: BSI warnt vor Spionageangriffen auf deutsche Ziele
Weiterlesen...
Datenschutz mangelhaft: Abmahnung für Betreiber der Clubhouse-App
Weiterlesen...
Neue WhatsApp-AGB: Datenschützer Caspar leitet Dringlichkeitsverfahren ein     
Weiterlesen...
Cookie-Banner: Datenschützer reichen Hunderte formale Beschwerden ein
Weiterlesen...
Zoom: Videokonferenzdienst schickt heimlich Daten an Facebook
Weiterlesen...
Rekordschäden: Cyberangriffe kosten deutsche Wirtschaft pro Jahr über 200 Milliarden Euro
Weiterlesen...
Abmahnung Seitenbetreiber: Versteckte Datenschutzerklärung kann abgemahnt werden
Weiterlesen...
Handy-Überwachung: Diskussion um Kontrolle von Corona-Regeln
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support