Sie sind hier: Home > Digital > Corona-Krise >

Datenpanne bei Corona-Testanbieter: Tausende persönliche Datensätze abrufbar

Persönliche Datensätze abrufbar  

Erneut Datenleck bei Corona-Testanbieter

09.04.2021, 08:14 Uhr | jnm, t-online

Datenpanne bei Corona-Testanbieter: Tausende persönliche Datensätze abrufbar. Improvisierte Testzentren entstehen gerade überall: Oft wird dabei die IT-Sicherheit aber außer Acht gelassen (Quelle: imago images/Patrick Schreiber)

Improvisierte Testzentren entstehen gerade überall: Oft wird dabei die IT-Sicherheit aber außer Acht gelassen (Quelle: Patrick Schreiber/imago images)

IT-Aktivisten haben eine eklatante Sicherheitslücke in der Datenbank eines Corona-Testzentren-Betreibers gefunden. Damit waren persönliche Daten wie Adresse und Telefonnummer von Getesteten frei abrufbar.

"Testen, Testen, Testen" – diese Devise hört man derzeit überall, wenn es um die erfolgreiche Bekämpfung der Corona-Pandemie geht. Entsprechend entstehen seit einigen Wochen immer mehr private Testzentren, wo Bürger sich schnell und unkompliziert auf eine Covid-19-Infektion testen lassen können.

Wer sich testen lassen will, meldet sich meist mit Namen, Adresse und Telefonnummer an, das Ergebnis gibt es oft direkt per E-Mail. Damit liegen bei den Zentren etliche sensible Daten ihrer Kunden vor. Doch während die Schutzmaßnahmen gegen eine Corona-Infektion vor Ort meist vorbildlich sind, sieht es bei den Schutzmaßnahmen der sensiblen Daten oft katastrophal aus.

Das beweist aktuell wieder eine Entdeckung, die die IT-Aktivisten der Gruppe "Zerforschung" eher zufällig gemacht haben. Ein Mitglied machte selbst einen Corona-Test, erhielt per E-Mail einen Link zum Testergebnis – und wurde misstrauisch.

Eine Analyse des Links zeigte erschreckend schnell: Offenbar hatten die Betreiber – Eventus Media International (EMI) – bei der Umsetzung der Ergebnisabrufmöglichkeiten grob geschlampt.

Wer sich ein wenig mit der weit verbreiteten WordPress-Architektur auskennt, konnte mit wenig Aufwand die komplette Liste der zehnstelligen Abrufcodes für die Testergebnisse herunterladen.

Diese Codes ließen sich auf der Website eingeben um daraufhin nicht nur das Testergebnis, sondern in einem zweiten Schritt auch alle dazu gespeicherten Daten abrufen zu können – darunter Name, Adresse, Geburtsdatum, E-Mail-Adresse und Telefonnummer.

Betroffen sind offenbar Tausende

Tatsächlich sollen laut "Zerforschung" 25.000 Registrierungen aus Berlin, Dortmund, Hamburg, Leipzig und Schwerte betroffen sein, bei 14.000 davon war zudem das bereits vorliegende Testergebnis abrufbar.

Aufgrund der höchst sensiblen Daten, die von Betroffenen hier offen lagen, wendete sich das IT-Kollektiv direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches den Betreiber EMI umgehend informierte.

Laut "Zerforschung" war die Sicherheitslücke nach der Meldung durch das BSI noch am selben Tag geschlossen. Zudem können Testergebnisse nicht mehr nur mit Hilfe des zehnstelligen Codes abgerufen werden. Es muss jetzt zusätzlich auch der zugehörige Name und die passende E-Mail-Adresse eingegeben werden, damit die Ergebnisse abgerufen werden können.

Angesichts der großen Zahl neu entstehender Testanbieter, steht zu befürchten, dass dies längst nicht der letzte derartige Fall gewesen sein wird.

Verwendete Quellen:

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Alba Modatchibo.deOTTODeichmannbonprix.deLIDLBabistadouglas.deamazon.de

shopping-portal