Sicherheitslücke: Daten von 136.000 Corona-Tests ungeschützt im Netz

(2 Bewertungen, 5.00 von 5)

Wochenlang konnten die Ergebnisse von Schnelltests zusammen mit den persönlichen Daten der Patienten online eingesehen werden. Dafür waren weder ein Passwort noch besondere IT-Kenntnisse notwendig. Mittlerweile ist die Sicherheitslücke geschlossen. Ob Daten abgegriffen wurden, ist derzeit unklar.

Anzeige

Kein Abstrich ohne Online-Account

Entdeckt haben das Datenleck Mitglieder des Chaos Computer Clubs (kurz: CCC) beim Besuch einer Berliner Teststation. Vor dem Abstrich mussten sie sich zunächst online registrieren, und zwar mit einer Software namens „Safeplay“. Diese ist auch bei über 100 weiteren Testzentren in Deutschland und Österreich im Einsatz. Angegeben werden unter anderem Vor- und Nachname, Geburtsdatum, vollständige Adresse, E-Mail und Mobilfunknummer, Ausweis-Nummer und der Aufenthaltsort der kommenden zwei Wochen. All diese Daten sowie den positiven oder negativen Befund können die Teilnehmer rund 15 Minuten später in einer PDF-Datei herunterladen. So weit, so gut.

Ergebnis-Seiten für jedermann sichtbar

Ein Blick auf die URL-Adresse ihrer Ergebnisseite allerdings machte die Computer-Hacker stutzig. Sie enthielt den Bestandteil „report_ID=“ gefolgt von einer mehrstelligen Zahlenkombination. Ein Versuch zeigte: Durch das Herauf- oder Herunterzählen dieser ID-Nummer ließen sich jede Menge fremder Ergebnisseiten abrufen - einschließlich persönlicher Daten und Testergebnis. Und zwar nicht nur von IT-Nerds, sondern auch von jedem anderen neugierigen Besucher. Nach Angaben des CCC betrifft das Leck rund 136.000 Testergebnisse von über 80.000 Personen. Genutzt wird das Programm nicht nur in stationären Testzentren. Auch mobile Teams arbeiten damit bei ihren Besuchen in Unternehmen, Schulen oder Kitas.

Foto vom Teststreifen

„Hastig gebastelte Corona-IT“ enthalte häufig Sicherheitslücken, so die Erfahrung des CCC. Man habe die Software der Testzentren daher weiter untersucht und noch eine Sicherheitslücke gefunden. Jeder Account konnte demnach auf ein sogenanntes „Dashboard“ zugreifen. Damit ließ sich sekundengenau nachverfolgen, wann ein Covid-19-Test gemacht wurde. Auch das positive oder negative Resultat war abrufbar. Weiter konnten die Hacker in diesem Zusammenhang die URL eines Fotos mit dem Teststreifen samt Ergebnis ableiten. Teilweise fand sich auf den Bildern auch der Name der getesteten Person.

Fazit

Die Computer-Hacker haben nach ihrer Entdeckung nicht nur den Betreiber informiert, sondern auch Bundes- und Landes-Datenschutzbeauftragte sowie das Bundesamt für die Sicherheit in der Informationstechnik. Inzwischen ist das Datenleck behoben. Laut Chaos Computer Club bestreiten die Verantwortlichen, dass in der Vergangenheit Unbefugte auf die Daten zugegriffen haben. Sie geben außerdem an, alle betroffenen Getesteten informiert zu haben.

 

 

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Cookies: EuGH entscheidet über Opt-In-Pflicht Um User auf die Verwendung von Cookies hinzuweisen, setzen Webseitenbetreiber derzeit auf eine einfache Einblendung. Nutzer müssen diese jedoch nicht aktiv per ...
Weiterlesen...
EuGH-Urteil: Flächendeckende Vorratsdatenspeicherung unzulässig Im begründeten Einzelfall möglich - als pauschale Dauerlösung allerdings rechtswidrig. So hat der EuGH in einem aktuellen Urteil die Vorratsdatenspeicherung ein...
Weiterlesen...
Datenleck: Zehntausende Patientenakten online Circa 30.000 Datensätze von Patienten standen in einer Arztpraxis im norddeutschen Celle frei abrufbar im Internet. Das Datenleck, das nun bekannt wurde, betraf...
Weiterlesen...
Kaspersky: Virenschutz gefährdet Privatsphäre Der russische Anbieter Kaspersky steht seit Jahren für Sicherheitsprogramme und Datenschutz. Wenig erstaunlich, dass die Verkaufszahlen für die entsprechenden S...
Weiterlesen...
DSGVO: Kundendaten bei Amazon in Gefahr Kunden rechnen bei Amazon wohl vergeblich mit einer mustergültigen Umsetzung der europäischen Datenschutzgrundverordnung (kurz: DSGVO). Ex-Mitarbeiter plauderte...
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support