Sicherheitslücke: Daten von 136.000 Corona-Tests ungeschützt im Netz

(2 Bewertungen, 5.00 von 5)

Worum geht's?

Wochenlang konnten die Ergebnisse von Schnelltests zusammen mit den persönlichen Daten der Patienten online eingesehen werden. Dafür waren weder ein Passwort noch besondere IT-Kenntnisse notwendig. Mittlerweile ist die Sicherheitslücke geschlossen. Ob Daten abgegriffen wurden, ist derzeit unklar.

Kein Abstrich ohne Online-Account

Entdeckt haben das Datenleck Mitglieder des Chaos Computer Clubs (kurz: CCC) beim Besuch einer Berliner Teststation. Vor dem Abstrich mussten sie sich zunächst online registrieren, und zwar mit einer Software namens „Safeplay“. Diese ist auch bei über 100 weiteren Testzentren in Deutschland und Österreich im Einsatz. Angegeben werden unter anderem Vor- und Nachname, Geburtsdatum, vollständige Adresse, E-Mail und Mobilfunknummer, Ausweis-Nummer und der Aufenthaltsort der kommenden zwei Wochen. All diese Daten sowie den positiven oder negativen Befund können die Teilnehmer rund 15 Minuten später in einer PDF-Datei herunterladen. So weit, so gut.

Ergebnis-Seiten für jedermann sichtbar

Ein Blick auf die URL-Adresse ihrer Ergebnisseite allerdings machte die Computer-Hacker stutzig. Sie enthielt den Bestandteil „report_ID=“ gefolgt von einer mehrstelligen Zahlenkombination. Ein Versuch zeigte: Durch das Herauf- oder Herunterzählen dieser ID-Nummer ließen sich jede Menge fremder Ergebnisseiten abrufen - einschließlich persönlicher Daten und Testergebnis. Und zwar nicht nur von IT-Nerds, sondern auch von jedem anderen neugierigen Besucher. Nach Angaben des CCC betrifft das Leck rund 136.000 Testergebnisse von über 80.000 Personen. Genutzt wird das Programm nicht nur in stationären Testzentren. Auch mobile Teams arbeiten damit bei ihren Besuchen in Unternehmen, Schulen oder Kitas.

Foto vom Teststreifen

„Hastig gebastelte Corona-IT“ enthalte häufig Sicherheitslücken, so die Erfahrung des CCC. Man habe die Software der Testzentren daher weiter untersucht und noch eine Sicherheitslücke gefunden. Jeder Account konnte demnach auf ein sogenanntes „Dashboard“ zugreifen. Damit ließ sich sekundengenau nachverfolgen, wann ein Covid-19-Test gemacht wurde. Auch das positive oder negative Resultat war abrufbar. Weiter konnten die Hacker in diesem Zusammenhang die URL eines Fotos mit dem Teststreifen samt Ergebnis ableiten. Teilweise fand sich auf den Bildern auch der Name der getesteten Person.

Fazit

Die Computer-Hacker haben nach ihrer Entdeckung nicht nur den Betreiber informiert, sondern auch Bundes- und Landes-Datenschutzbeauftragte sowie das Bundesamt für die Sicherheit in der Informationstechnik. Inzwischen ist das Datenleck behoben. Laut Chaos Computer Club bestreiten die Verantwortlichen, dass in der Vergangenheit Unbefugte auf die Daten zugegriffen haben. Sie geben außerdem an, alle betroffenen Getesteten informiert zu haben.

 

 

Anzeige

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Update des eRecht24 Datenschutz-Generators auf Version 1.26
Weiterlesen...
Cyber-Angriff: Hacker infizieren weltweit Microsoft Exchange-Server
Weiterlesen...
Homeschooling: Datenschutzbehörde prüft Verstöße
Weiterlesen...
Facebook: Datenschutzbeauftragter fordert stärkere Regulierung
Weiterlesen...
Datenschutz: Luca-App weiter unter Beschuss – jetzt warnen auch Sicherheitsexperten
Weiterlesen...
300.000 Euro Bußgeld: DSGVO-Verfahren gegen VfB Stuttgart abgeschlossen  
Weiterlesen...
Digitaler Impfnachweis: Schweiz startet mit schweren Sicherheitslücken
Weiterlesen...
Update des eRecht24 Datenschutz-Generators auf Version 1.25
Weiterlesen...
Update des eRecht24 Datenschutz-Generators auf Version 1.32
Weiterlesen...
Datenleck bei Klarna: Was heißt das für Online-Shopper?
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details