Sicherheitslücke auf Testplattform: Hunderttausende Nutzerdaten abrufbar

Schlagzeilen

Alle

Schauspieler Dabney Coleman ist tot

Flughafen zum Ferienbeginn blockiert

Schwerer Schicksalsschlag für Bayern-Star

Kultmoderator muss neu laufen lernen

BVB sortiert zwei Spieler aus

Sylvester Stallone feiert 27. Hochzeitstag

FC Bayern: Neuer Trainer-Favorit?

Seltene Aufnahmen von Tiefseekreatur

So reagiert Mats Hummels auf sein EM-Aus

Probleme bei Ausstellung von Reisepässen

"Let's Dance": Dieser Star ist raus

RTL-Star: brutale Bilanz nach Show-Aus

Ihre Stimme zählt! Versicherung bewerten

Alle Schlagzeilen anzeigen

Plattform von Berliner Testzentren
Datenleck erlaubte Erstellung gültiger Corona-Testergebnisse

Von t-online, jnm

Aktualisiert am 10.11.2021Lesedauer: 2 Min.

Menschen stehen bei einem Testzentrum in Berlin an (Symbolbild). (Quelle: KH via www.imago-images.de)

News folgen

Die gemeinsam von mehreren Testanbietern genutzte IT-Plattform wies offenbar eklatante Sicherheitslücken auf: So konnten die Testergebnisse Hunderttausender eingesehen oder eigene beliebig erstellt werden.

Corona-Testzentren spielten in den vergangenen Wochen zwar nur noch eine untergeordnete Rolle, doch in den Monaten zuvor wurden diese bundesweit millionenfach genutzt. So kommt es, dass viele der Anbieter in ihren IT-Systemen einen erheblichen Datenbestand von persönlichen Daten und Testergebnissen gesammelt haben.

In den zurückliegenden Monaten kam es dabei immer wieder vor, dass diese Daten höchst unsicher gespeichert waren und von Dritten abgerufen werden konnten. Daraus haben offenbar längst nicht alle Anbieter gelernt.

Wie das Sicherheitskollektiv "Zerforschung" auf seinem Blog berichtet, fanden sich auch auf der IT-Plattform eines Zusammenschlusses mehrerer Berliner Testanbieter erschreckende Sicherheitslücken.

Abfrage der Daten gelang ganz einfach über den Browser

So genügte offenbar eine simple Datenbankabfrage über die Softwareschnittstelle im Browser, um in einem ersten Schritt eine Liste von rund 400.000 registrierten Nutzern abrufen zu können – mit Namen, E-Mail-Adresse, Geburtsdatum, Telefonnummer und teilweise noch Pass- oder Ausweisnummer.

Allein das ist bereits ein gefundenes Fressen für Kriminelle. Sie können mit solchen Informationen bereits viel Unheil anrichten – oder sie schlicht für nicht unerhebliche Summen im Darknet an Dritte verkaufen.

Hinterlegt war in jedem Profileintrag außerdem eine ID, mit der eingeloggte Nutzer dann auch die jeweiligen Testergebnisse abrufen konnten. Etwa 700.000 Testergebnisse sollen auf diese Weise einsehbar gewesen sein.

Noch erschreckender: Den Sicherheitsforschern gelang es sogar mit ihrem einfachen Nutzeraccount, ein neues Profil samt Testergebnis anzulegen. Dabei wurde auch ein QR-Code erzeugt (BärCODE), der den angelegten Negativ-Test als gültig anzeigt. Kriminellehätten auf diese Weise also vermutlich auch unbemerkt negative Tests ausstellen können, die als gültig anerkannt worden wären.

Datenleck in Corona-Testzentren: Befunde und Kontaktdaten von Getesteten lagen ungeschützt im Netz

Hinweis per Mail : Hacker verschafft sich Personendaten von Impfportal

Vorallem für Booster-Impfungen: Berliner Corona-Impfzentren bauen Angebot wieder aus

Mit den Ergebnissen wandte sich "Zerforschung" mehrere Wochen vor der Veröffentlichung auch direkt an die Anbieter. Das Datenleck wurde mitlerweile zwar offenbar geschlossen, die betroffenen Kunden wurden bislang jedoch noch nicht über das bis vor kurzem bestehende Datenleck informiert.

Verwendete Quellen