Leak: 136.000 Corona-Testergebnisse frei im Netz
Mangelnde Sicherheitsvorkehrungen bei einem von vielen Corona-Testzentren genutzten Online-Portal haben dazu geführt, dass sensible Daten von mehr als 80.000 Personen offen im Netz standen: Darunter Namen, Adressen, Geburtsdaten, Staatsbürgerschaft, Ausweisnummern – und das individuelle Corona-Testergebnis. Geschützt waren die Daten auf der Internetseite nicht – jeder, der die richtigen Internet-Adressen kannte oder sie erriet, sah die Informationen.
Entdeckt wurde die Lücke vom Chaos Computer Club. Den Sicherheitsforschern war die mangelhafte Software nach einem Besuch in einem Berliner Testzentrum des privaten Anbieters 21dx aufgefallen. Laut eigener Aussage ist die Firma “größter Betreiber von Corona-Teststationen in Deutschland”. Die CCC-Mitglieder fanden 136.000 Testergebnisse von 80.000 Betroffenen aus deutschen und österreichischen Testzentren. Darunter befinden sich laut CCC sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch Teststationen in Unternehmen, Schulen und sogar Kindertagesstätten.
Jeder hatte auf alles Zugriff
21dx setzt die Software safeplay des Wiener Unternehmens medicus.ai ein. Mit ihr wird unter anderem die Terminbuchung der Testzentren verwaltet, sie stellt den Besucherinnen und Besuchern auch digitale Testzertifikate aus. Wer einen Account bei dem Portal angelegt hatte, konnte allerdings auch die Testergebnisse und persönlichen Daten anderer Nutzerinnen und Nutzer einsehen.
Die jeweilige Webadresse jedes Testergebnisses enthielt nämlich die Nummer des Tests. Gab man andere Nummern ein, gelangte man ohne Hindernisse zu den Testzertifikaten anderer Personen. In diesen stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.
Ebenso für jeden Account offen zugänglich war ein sogenanntes Dashboard. Über dieses konnte sekundengenau beobachtet werden, in welchem Testzentrum, wann ein Covid-19-Test gemacht wurde und wie das Ergebnis lautete. Aus diesen Informationen ließ sich laut CCC leicht jeweils eine Webadresse ableiten, unter der ein Foto des Teststreifens zu finden war. In vielerlei Fällen konnte man auf dem Bild auch den Namen des Patienten erkennen. Auch zeigte das Dashboard Statistiken zu den Testergebnissen pro Impfzentrum.
Schlamperei
“Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT”, sagte Linus Neumann vom Chaos Computer Club. Schon im vergangenen Jahr hatten Mitglieder des CCC mehrfach eklatante Schwachstellen in Corona-Systemen gemeldet. “Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt”, so Neumann weiter.
Der Plattformbetreiber medicus.ai hat gegenüber dem CCC beteuert, dass das Sicherheitsproblem mittlerweile behoben sei. Ob die offen im Netz stehenden Daten von Dritten abgefischt wurden, ist unklar. Es habe kein unberechtigter Zugriff stattgefunden, sagt medicus.ai. Der CCC weist aber darauf hin, dass diese Behauptung nicht nachprüfbar ist.
Auch erklärte medicus.ai, betroffene Nutzerinnen informiert zu haben. Laut CCC trifft das aber auf dem Verein nahestehende Betroffene nicht zu; diese hätten bisher noch keine Nachricht erhalten.
Außer medicus.ai hat der CCC auch das Bundesamt für Sicherheit in der Informationstechnik, den Bundesdatenschutzbeauftragten und die Landesdatenschutzbeauftragten in Deutschland über das Problem informiert. Ob Konsequenzen folgen, ist noch unklar. (hcz)