Erneut Datenleck bei Betreiber von Corona-Testzentren
Wegen unzureichender Sicherheitsvorkehrungen bei einem Betreiber von Corona-Testzentren standen sensible Daten von gut 25.000 Menschen ungeschützt im Netz: Darunter Namen, vollständige Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen sowie teilweise die Testergebnisse. Die Sicherheitslücke soll mittlerweile geschlossen sein; der Anbieter will Betroffene informieren.
Sicherheitsforscher der Gruppe “Zerforschung” hatten die Sicherheitslücke entdeckt: Nach dem Besuch in einem Testzentrum bekam ein Mitglied der Gruppe per E-Mail einen Link zum Testergebnis – die Experten schauten sich die Technik daraufhin näher an. Betroffen ist der Anbieter Eventus Media International, der unter der Marke “testcenter-corona.de” mehrere Einrichtungen in Berlin, Dortmund, Hamburg, Leipzig und Schwerte betreibt. Seine Software und Infrastruktur bietet er auch als Franchise-Modell an.
Ungeschützte WordPress-Schnittstelle
Nach Angaben von Zerforschung nutzt das Unternehmen für seine Webseite die populäre Blog-Software WordPress und regelt darüber auch die Terminbuchungen und den Abruf von Testergebnissen. Zum Abruf der Ergebnisse bekommt jeder Kunde einen zufällig generierten, 10-stelligen Code – allerdings fanden die Sicherheitsexperten eine ungeschützte Schnittstelle, über die sich alle Terminvereinbarungen inklusive der Abrufcodes auslesen ließen. “Das ist in etwa so, als würde man sich einen Safe einbauen lassen, aber den Code dann direkt daneben legen”, urteilt Zerforschung. Die WordPress-Schnittstelle hätte der Anbieter einfach deaktivieren können, um unerlaubte Zugriffe zu unterbinden.
Mit den Codes konnten die Experten auf der Internetseite des Anbieters die Testergebnisse fremder Personen abrufen. Auch ein PDF ließ sich dort herunterladen: Dieses enthielt neben dem Datum und Ergebnis des Tests zusätzlich die persönlichen Daten der jeweiligen Person. Zerforschung spricht von 25.000 Registrierungen aus den einzelnen Standorten, die so zugänglich waren. Bei über 14.000 Datensätzen war auch das Testergebnis hinterlegt.
Sicherheitslücke geschlossen
Die Experten haben das Problem an das Bundesamt für Sicherheit in der Informationstechnik gemeldet, das den Anbieter am 6. April benachrichtigt hat. Nach Angaben von Zerforschung wurde die Sicherheitslücke noch am selben Tag geschlossen. Nun muss man zum Abruf der Ergebnisse außer dem Code auch Vorname, Nachname oder E-Mail-Adresse der getesteten Person eingeben. Für Tests vor dem 7. April wurden neue Codes per E-Mail versendet.
Dem NDR sagte Eventus Media International, man prüfe derzeit noch, wie viele Datensätze unberechtigt abgerufen wurden. Betroffene Personen werde man anschließend informieren. Laut Zerforschung wurden Betroffene allerdings noch nicht über das Datenleck informiert.
Bereits im März hatten die Sicherheitsforscher ein Datenleck bei einem Betreiber von Testzentren gefunden: Damals standen unter anderem Namen, Adressen, Geburtsdaten, Staatsbürgerschaft und Ausweisnummern von mehr als 80.000 Personen offen im Netz. Um an die Daten zu gelangen, reichte es aus, eine Zahl in der Internetadresse hochzuzählen.
Ein Sprecher des Datenschutzbeauftragten in Nordrhein-Westfalen bestätigte dem NDR zudem, dass seine Behörde derzeit Hinweisen auf “ähnliche Datenpannen” bei drei Testzentren nachgehe. Weitere Informationen zu den Fällen sind aber noch nicht öffentlich.
“Der Schutz von Gesundheitsdaten, darf nicht auf die leichte Schulter genommen werden”, schreibt Zerforschung. Datenschutzbehörden sollten solche Vorfälle ernst nehmen und die Anbieter zwingen, allen Kunden Bescheid zu geben. Auch sollten die Behörden “empfindliche Strafen” verhängen. Unternehmen müssten “ihrer Schutz- und Sorgfaltspflicht vor dem Start nachkommen” – andernfalls hätten sie “in diesem Bereich nichts verloren”. (js)