Über 100.000 Corona-Testergebnisse waren im Netz frei einsehbar
In der Corona-Pandemie gelten möglichst flächendeckende Tests als eines der wichtigsten Werkzeuge zu deren Eindämmung, entsprechend zahlreich sind diese auch. Nun kommt aber heraus, dass es in Deutschland und Österreich eine schwere Datenschutzpanne gegeben hat.
Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer und Corona-Testergebnis: All diese sensiblen Daten waren laut dem Chaos Computer Club (CCC), der die Schwachstelle umgehend den zuständigen Behörden gemeldet hat, aufgrund einer Sicherheitslücke unzureichend geschützt über das Internet abrufbar. Betroffen waren demnach mehrere Corona-Testzentren in Deutschland und Österreich, konkret geht es um mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen.
In Sachen Sicherheit gab es aber offenbar erhebliche Mängel, so der CCC: "Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogene Daten anderer Nutzer_innen einsehen." Entdeckt wurde die Schwachstelle über ein Berliner Testzentrum, die Lösung von Medicus.ai kam nicht nur in öffentlichen Einrichtungen der deutschen Hauptstadt, sondern auch in München und Kärnten zum Einsatz, betroffen waren auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.
Das "Hacken" war eigentlich keines, denn die fremden Ergebnisse konnten über eine simple Manipulation der URL gefunden werden. "Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die 'Testzertifikate' anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", so das CCC.
Laut den CCC-Sicherheitsexperten konnte man mit einem Konto auch ungehindert auf ein Dashboard zugreifen und "sekundengenau" für jedes Testzentrum einsehen, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Medicus.ai hat eigenen Angaben nach diese Schwachstelle mittlerweile geschlossen. Ob es einen unerlaubten Zugriff auf die Daten gegeben hat, ist unklar und auch kaum feststellbar.
"Digitale Schnellschüsse" schuld
Die Erklärung ist banal und erschreckend zugleich, denn laut CCC waren Digitalisierungsmängel und "digitale Schnellschüsse" dafür verantwortlich. Im Mittelpunkt der aktuellen Angelegenheit steht das Wiener Unternehmen Medicus.ai. Dieses stellt unter dem Namen Safeplay eine "Rundum-Sorglos-Website" für Testzentren bereit, darüber lassen sich Termine buchen und Online-Testzertifikate ausstellen.In Sachen Sicherheit gab es aber offenbar erhebliche Mängel, so der CCC: "Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogene Daten anderer Nutzer_innen einsehen." Entdeckt wurde die Schwachstelle über ein Berliner Testzentrum, die Lösung von Medicus.ai kam nicht nur in öffentlichen Einrichtungen der deutschen Hauptstadt, sondern auch in München und Kärnten zum Einsatz, betroffen waren auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.
Das "Hacken" war eigentlich keines, denn die fremden Ergebnisse konnten über eine simple Manipulation der URL gefunden werden. "Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die 'Testzertifikate' anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen", so das CCC.
Laut den CCC-Sicherheitsexperten konnte man mit einem Konto auch ungehindert auf ein Dashboard zugreifen und "sekundengenau" für jedes Testzentrum einsehen, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Medicus.ai hat eigenen Angaben nach diese Schwachstelle mittlerweile geschlossen. Ob es einen unerlaubten Zugriff auf die Daten gegeben hat, ist unklar und auch kaum feststellbar.
Thema:
Videos zum Thema Coronavirus
-
Lieferprobleme auch bei Foto-Produkten: Das sind die Hintergründe
-
Super Bowl 2021: Ford macht Mut im Kampf gegen Corona
-
Gut sicht- und hörbar: Razer präsentiert Hightech-Gesichtsmaske
-
Clever gegen Corona: Stadion setzt Drohnen zum Desinfizieren ein
-
Corona-Warn-App: Rundgang durch die Tracing-App des Bundes
Neue Downloads zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Windows Recovery: Microsoft veröffentlicht Updates für Windows 11
- Bastler bringt Windows 11 auf 20 Jahre altem DDR1-System zum Laufen
- Apple sperrt russische Apps - und die Regierung rät nun zu Android
- Anthropic: US-Regierung gibt Claude Mythos 5 teilweise wieder frei
- Tote Lithium-Akkus: Neue Methode regeneriert Kapazität fast vollständig
- Microsoft-CEO Nadella warnt vor gefährlicher KI-Monopolbildung
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen