Sicherheitslücke in Testzentren: Über 136.000 Ergebnisse einsehbar

, Uhr

Berlin - In über 100 Corona-Testzentren und mobilen Test-Teams in Deutschland und Österreich gab es offenbar massive Sicherheitslücken beim Datenschutz: Der Chaos Computer Club (CCC) konnte nach eigenen Angaben mittels einfachster Methoden über 136.000 Testergebnisse von über 80.000 Personen einsehen. Der betroffene Testzentrumsbetreiber 21dx hat diese nach eigener Aussage behoben – doch der CCC zieht das in Zweifel.

Die Covid-19-Pandemie offenbare vielerorts Digitalisierungsmängel, beklagt der CCC: „Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen.“ Ein solcher Schnellschuss war demnach die Testcenter-Software „Safeplay“ des Wiener Unternehmens Medicus.ai. Dabei handelt es sich nach Unternehmensangaben um eine „Rundum-Sorglos-Website“, über die von der Terminbuchung bis zum Online-Testzertifikat der gesamte Testprozess abgebildet werden kann.

Allerdings hat Medicus.ai dabei laut CCC den Datenschutz arg vernachlässigt: Die Mitglieder der CCC-Gruppe „Zerforschung“ haben sich die Seite vorgenommen und mussten dabei nach eigener Darstellung „erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen“. Denn von über 80.000 Menschen seien so ziemlich alle sensiblen Daten vollkommen ungeschützt über das offene Internet einsehbar: Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis.

Besonders erschreckend sei dabei gewesen, wie einfach es möglich war, an die Daten zu gelangen: Den CCC-Mitgliedern sei die Sicherheitslücke nach einem eigenen Besuch in einem Berliner Testzentrum aufgefallen. Demnach reiche es, sich für einen eigenen Test einen Account auf der Seite anzulegen, um alle örtlichen Testergebnisse samt personenbezogener Daten mit einem äußerst einfachen Trick einzusehen. Denn die URL der Seite, auf der man sein Ergebnis einsehen kann, enthält die Nummer des Tests. Man musste dann einfach nur jene Nummer hoch- oder runterzählen und dann in der URL ändern, um die anderen Testzertifikate einzusehen. Die Testzertifikate enthalten neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen. Sie waren nicht weiter geschützt. Doch das war nicht die einzige Sicherheitslücke.

  • 1
  • 2

APOTHEKE ADHOC Debatte

Weiteres
Callmyapo und deine Apotheke werden abgelöst
Gesund.de: Die Konditionen»
Akne, Neurodermitis & Co.
Welchen Einfluss hat der pH-Wert?»
Hormone, Schwangerschaft & Co.
Dehnungsstreifen: Irreparable Hautschäden»
Ausschlag ohne eindeutige Ursache
Update: Dyshidrose»
Copyright © 2007 - 2021, APOTHEKE ADHOC ist ein Dienst der EL PATO Medien GmbH / Pariser Platz 6A / 10117 Berlin Geschäftsführer: Patrick Hollstein, Thomas Bellartz / Amtsgericht Berlin Charlottenburg / HRB 204 379 B