Hacker-Team nimmt IT-System hinter Corona-Schnelltests auseinander

Erneut müssen sich ehrenamtliche Sicherheitsforscher darum kümmern, dass sensible medizinische Daten aus den Corona-Tests nicht an Unbefugte gelangen. Denn beim Zusammenschluss "Schnelltest Berlin" wurde ein riesiges Datenleck aufgespürt. Einmal mehr haben die Hacker des Kollektivs Zerforschung die IT-Systeme eines Dienstleisters im großen Pandemie-Komplex unter die Lupe genommen. Was sich dabei zeigte, ist ziemlich dramatisch. Denn in diesem Fall konnten nicht nur die persönlichen Daten von Getesteten frei aus dem Netz heraus abgerufen werden. Man konnte sich auch eigene Test-Ergebnisse nach Wunsch zusammenbauen.

Es genügten hier minimale technische Fertigkeiten, um an die Informationen zu kommen. Die Hacker schilderten, dass sie einfach auf die Webseite des Test-Anbieters, mein-schnelltest.com, gingen, um ganz normal die Ergebnisse ihres Tests abzurufen. Ein Blick in die Netzwerkverbindungen des Browsers zeigte dabei, dass die Daten hier mit einem Aufruf von https://corona-api.de/persons/owner/{USER_ID} abgerufen wurden. Selbst gebautes Test-Zertifikat

Robert Koch hat Glück

Als man die URL etwas kürzte und erst https://corona-api.de/persons/owner/ und anschließend https://corona-api.de/persons/ ausprobierte, kamen regulär Fehlermeldungen zurück - hier lief also alles, wie es sollte. Dann aber probierte man es noch einmal mit einem fehlenden Schrägstrich am Ende: https://corona-api.de/persons/owner. "Uns fällt eine Liste mit den Personen, die auf der Plattform registriert sind, entgegen. Insgesamt fast 400.000 mit allen Daten, die bei einem Corona-Test eben so erfasst werden", berichten die Zerforschung-Mitglieder. Das umfasste Namen, Anschriften, Geburts- und Kontaktdaten sowie oft auch Ausweisnummern. Und natürlich letztlich die jeweils zugehörigen Testergebnisse.

Da die Neugier auf das System nun geweckt war, fanden die Hacker im Quellcode auch noch die Endpunkte, über die von den Mitarbeitern der Testzentren neue Datensätze angelegt werden. Probehalber legten sie einen Test für einen gewissen Robert Koch an, der im hohen Alter von inzwischen 177 Jahren glücklicherweise ein negatives Ergebnis erhielt.

Siehe auch:

Test, Virus, Coronavirus, Corona, Covid-19, Coronakrise, SARS-CoV-2, Forscher, BioWare, Corona-Virus, Pandemie, Covid-2019, Covid, Covid19, Zelle, Krank, Erkrankung, Pandemic, Biologie, Viruszelle, Biohacking, Covid-19-Tracker, Grippe, SARS, Virustest