Sicherheitslücke: Daten von 136.000 Corona-Tests ungeschützt im Netz

(2 Bewertungen, 5.00 von 5)

Worum geht's?

Wochenlang konnten die Ergebnisse von Schnelltests zusammen mit den persönlichen Daten der Patienten online eingesehen werden. Dafür waren weder ein Passwort noch besondere IT-Kenntnisse notwendig. Mittlerweile ist die Sicherheitslücke geschlossen. Ob Daten abgegriffen wurden, ist derzeit unklar.

Anzeige

Kein Abstrich ohne Online-Account

Entdeckt haben das Datenleck Mitglieder des Chaos Computer Clubs (kurz: CCC) beim Besuch einer Berliner Teststation. Vor dem Abstrich mussten sie sich zunächst online registrieren, und zwar mit einer Software namens „Safeplay“. Diese ist auch bei über 100 weiteren Testzentren in Deutschland und Österreich im Einsatz. Angegeben werden unter anderem Vor- und Nachname, Geburtsdatum, vollständige Adresse, E-Mail und Mobilfunknummer, Ausweis-Nummer und der Aufenthaltsort der kommenden zwei Wochen. All diese Daten sowie den positiven oder negativen Befund können die Teilnehmer rund 15 Minuten später in einer PDF-Datei herunterladen. So weit, so gut.

Ergebnis-Seiten für jedermann sichtbar

Ein Blick auf die URL-Adresse ihrer Ergebnisseite allerdings machte die Computer-Hacker stutzig. Sie enthielt den Bestandteil „report_ID=“ gefolgt von einer mehrstelligen Zahlenkombination. Ein Versuch zeigte: Durch das Herauf- oder Herunterzählen dieser ID-Nummer ließen sich jede Menge fremder Ergebnisseiten abrufen - einschließlich persönlicher Daten und Testergebnis. Und zwar nicht nur von IT-Nerds, sondern auch von jedem anderen neugierigen Besucher. Nach Angaben des CCC betrifft das Leck rund 136.000 Testergebnisse von über 80.000 Personen. Genutzt wird das Programm nicht nur in stationären Testzentren. Auch mobile Teams arbeiten damit bei ihren Besuchen in Unternehmen, Schulen oder Kitas.

Foto vom Teststreifen

„Hastig gebastelte Corona-IT“ enthalte häufig Sicherheitslücken, so die Erfahrung des CCC. Man habe die Software der Testzentren daher weiter untersucht und noch eine Sicherheitslücke gefunden. Jeder Account konnte demnach auf ein sogenanntes „Dashboard“ zugreifen. Damit ließ sich sekundengenau nachverfolgen, wann ein Covid-19-Test gemacht wurde. Auch das positive oder negative Resultat war abrufbar. Weiter konnten die Hacker in diesem Zusammenhang die URL eines Fotos mit dem Teststreifen samt Ergebnis ableiten. Teilweise fand sich auf den Bildern auch der Name der getesteten Person.

Fazit

Die Computer-Hacker haben nach ihrer Entdeckung nicht nur den Betreiber informiert, sondern auch Bundes- und Landes-Datenschutzbeauftragte sowie das Bundesamt für die Sicherheit in der Informationstechnik. Inzwischen ist das Datenleck behoben. Laut Chaos Computer Club bestreiten die Verantwortlichen, dass in der Vergangenheit Unbefugte auf die Daten zugegriffen haben. Sie geben außerdem an, alle betroffenen Getesteten informiert zu haben.

 

 

Anzeige

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
DSGVO-Urteil: Bei Veröffentlichung journalistischer Fotos gilt Kunsturhebergesetz
Weiterlesen...
DSGVO: Auskunftspflicht wird mit Link zum Online-Abruf der Daten erfüllt
Weiterlesen...
Schrems II: Datenschutzbehörden kündigen Unternehmenskontrollen an
Weiterlesen...
Neue WhatsApp-AGB: Datenschützer Caspar leitet Dringlichkeitsverfahren ein     
Weiterlesen...
Update des eRecht24 Datenschutz-Generators auf Version 1.18
Weiterlesen...
Unzulässige Cookie-Banner: Letzte Warnung für 50 Seitenbetreiber in Berlin
Weiterlesen...
DSGVO: Privatmann zahlt 2500,- Euro Strafe für offenen Email-Verteiler
Weiterlesen...
US-Klage: Google soll ePrivacy verzögert haben
Weiterlesen...
DSGVO: Datenschutz-Organisation geht gegen rechtswidrige Cookie-Banner vor 
Weiterlesen...
GayRomeo: Schwule Kontaktbörse zwischen Blind Date und Jugendschutz
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht hat sich 2018 vollständig geändert. Haben Sie die DSGVO umgesetzt? Sichern Sie jetzt Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support