Datenpanne bei Corona-Testanbieter: Tausende persönliche Datensätze abrufbar

Schlagzeilen

Alle

TV-Moderatorin nach Versprecher bedroht

Discounter ruft Brot zurück

Greta Thunberg vor Gericht verurteilt

Tuchel macht Ansage zu Bayern-Star

Angriff auf AfD-Abgeordnete in Stuttgart

Ex-Bayern-Trainer greift Uli Hoeneß an

Durchsuchung bei CDU-Politiker

Diese Gäste begrüßt Markus Lanz heute

Lotto: Die aktuellen Gewinnzahlen

Raab: Das ist eine echte Überraschung

Thomas Müllers Ehefrau entfolgt ihm

Urlaub: Tödlicher Trend immer beliebter

Anzeige: Im Rollstuhl durch die Welt

Alle Schlagzeilen anzeigen

Persönliche Datensätze abrufbar
Erneut Datenleck bei Corona-Testanbieter

Von t-online, jnm

09.04.2021Lesedauer: 2 Min.

Improvisierte Testzentren entstehen gerade überall: Oft wird dabei die IT-Sicherheit aber außer Acht gelassen (Quelle: Patrick Schreiber/imago-images-bilder)

News folgen

IT-Aktivisten haben eine eklatante Sicherheitslücke in der Datenbank eines Corona-Testzentren-Betreibers gefunden. Damit waren persönliche Daten wie Adresse und Telefonnummer von Getesteten frei abrufbar.

"Testen, Testen, Testen" – diese Devise hört man derzeit überall, wenn es um die erfolgreiche Bekämpfung der Corona-Pandemie geht. Entsprechend entstehen seit einigen Wochen immer mehr private Testzentren, wo Bürger sich schnell und unkompliziert auf eine Covid-19-Infektion testen lassen können.

Wer sich testen lassen will, meldet sich meist mit Namen, Adresse und Telefonnummer an, das Ergebnis gibt es oft direkt per E-Mail. Damit liegen bei den Zentren etliche sensible Daten ihrer Kunden vor. Doch während die Schutzmaßnahmen gegen eine Corona-Infektion vor Ort meist vorbildlich sind, sieht es bei den Schutzmaßnahmen der sensiblen Daten oft katastrophal aus.

Das beweist aktuell wieder eine Entdeckung, die die IT-Aktivisten der Gruppe "Zerforschung" eher zufällig gemacht haben. Ein Mitglied machte selbst einen Corona-Test, erhielt per E-Mail einen Link zum Testergebnis – und wurde misstrauisch.

Eine Analyse des Links zeigte erschreckend schnell: Offenbar hatten die Betreiber – Eventus Media International (EMI) – bei der Umsetzung der Ergebnisabrufmöglichkeiten grob geschlampt.

Wer sich ein wenig mit der weit verbreiteten WordPress-Architektur auskennt, konnte mit wenig Aufwand die komplette Liste der zehnstelligen Abrufcodes für die Testergebnisse herunterladen.

Diese Codes ließen sich auf der Website eingeben um daraufhin nicht nur das Testergebnis, sondern in einem zweiten Schritt auch alle dazu gespeicherten Daten abrufen zu können – darunter Name, Adresse, Geburtsdatum, E-Mail-Adresse und Telefonnummer.

Betroffen sind offenbar Tausende

Tatsächlich sollen laut "Zerforschung" 25.000 Registrierungen aus Berlin, Dortmund, Hamburg, Leipzig und Schwerte betroffen sein, bei 14.000 davon war zudem das bereits vorliegende Testergebnis abrufbar.

Aufgrund der höchst sensiblen Daten, die von Betroffenen hier offen lagen, wendete sich das IT-Kollektiv direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches den Betreiber EMI umgehend informierte.

Laut "Zerforschung" war die Sicherheitslücke nach der Meldung durch das BSI noch am selben Tag geschlossen. Zudem können Testergebnisse nicht mehr nur mit Hilfe des zehnstelligen Codes abgerufen werden. Es muss jetzt zusätzlich auch der zugehörige Name und die passende E-Mail-Adresse eingegeben werden, damit die Ergebnisse abgerufen werden können.

Aldi-Schnelltest: Corona-Test-Bescheinigung ist ein Desaster

Datenleck in Corona-Testzentren: Befunde und Kontaktdaten von Getesteten lagen ungeschützt im Netz

Update nach Ostern: Schnelltests können bald in Corona-Warn-App eingetragen werden

Angesichts der großen Zahl neu entstehender Testanbieter, steht zu befürchten, dass dies längst nicht der letzte derartige Fall gewesen sein wird.

Verwendete Quellen