Über 100.000 Corona-Testergebnisse waren im Netz frei einsehbar

In der Corona-Pandemie gelten möglichst flächendeckende Tests als eines der wichtigsten Werkzeuge zu deren Eindämmung, entsprechend zahl­reich sind diese auch. Nun kommt aber heraus, dass es in Deutschland und Österreich eine schwere Datenschutzpanne gegeben hat.
Sicherheit, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Coronavirus, Schadsoftware, Corona, Covid-19, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, SARS-CoV-2, Darknet, Hacker Angriff, Hacken, Pandemie, Attack, Ransom, Corona-Virus, Zelle, Covid19, Viruszelle, SARS
Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer und Corona-Test­er­gebnis: All diese sensiblen Daten waren laut dem Chaos Computer Club (CCC), der die Schwachstelle umgehend den zuständigen Behörden gemeldet hat, aufgrund einer Sicher­heits­lücke unzureichend geschützt über das Internet abrufbar. Betroffen waren demnach mehrere Corona-Testzentren in Deutschland und Österreich, konkret geht es um mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen.

"Digitale Schnellschüsse" schuld

Die Erklärung ist banal und erschreckend zugleich, denn laut CCC waren Digitalisierungs­mängel und "digitale Schnellschüsse" dafür verantwortlich. Im Mittelpunkt der aktuellen Angelegenheit steht das Wiener Unternehmen Medicus.ai. Dieses stellt unter dem Namen Safeplay eine "Rundum-Sorglos-Website" für Testzentren bereit, darüber lassen sich Termine buchen und Online-Testzertifikate ausstellen.

In Sachen Sicherheit gab es aber offenbar erhebliche Mängel, so der CCC: "Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogene Daten anderer Nutzer_innen einsehen." Entdeckt wurde die Schwach­stelle über ein Berliner Testzentrum, die Lösung von Medicus.ai kam nicht nur in öffentlichen Einrichtungen der deutschen Hauptstadt, sondern auch in München und Kärnten zum Einsatz, betroffen waren auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.

Das "Hacken" war eigentlich keines, denn die fremden Ergebnisse konnten über eine simple Manipulation der URL gefunden werden. "Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die 'Testzertifikate' anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", so das CCC.

Laut den CCC-Sicherheitsexperten konnte man mit einem Konto auch ungehindert auf ein Dashboard zugreifen und "sekundengenau" für jedes Testzentrum einsehen, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Medicus.ai hat eigenen Angaben nach diese Schwachstelle mittlerweile geschlossen. Ob es einen unerlaubten Zugriff auf die Daten gegeben hat, ist unklar und auch kaum feststellbar.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!