Sicherheitslücke: 136.000 persönliche Corona-Testdaten online zugänglich

Coronavirus

Aufgrund eines Datenlecks waren 136.000 Corona-Schnelltest-Ergebnisse online zeitweise für Unbefugte zugänglich. Auch persönliche Daten wie Name, Anschrift oder Mailadresse.

München/Wien

19.03.2021, 05:00 Uhr / Lesedauer: 2 min
Aufgrund eines Datenlecks waren 136.000 Corona-Schnelltest-Ergebnisse online zeitweise für Unbefugte zugänglich.

Aufgrund eines Datenlecks waren 136.000 Corona-Schnelltest-Ergebnisse online zeitweise für Unbefugte zugänglich. © picture alliance/dpa

Aufgrund eines Datenlecks waren 136.000 Corona-Schnelltest-Ergebnisse und persönliche Daten von rund 80.000 Menschen online zeitweise für Unbefugte zugänglich. Betroffen seien laut der Süddeutschen Zeitung (SZ) Testzentren in Berlin, München, Mannheim und im österreichischen Klagenfurt.

Aufgefallen ist diese Sicherheitslücke IT-Experten des Kollektivs „Zerforschung“ und dem Chaos Computer Club (CCC). Die Firma Medicus AI, in deren Software das Datenleck gefunden worden war, bestätigt die Panne gegenüber dem RBB und betont gleichzeitig, die Sicherheitslücke mittlerweile geschlossen zu haben.

Sensible Daten mit leichten Tricks einsehbar

Betreiber der betroffenen Testzentren ist 21Dx, laut eigener Webseite „einer der größten Betreiber von Corona-Teststationen in Deutschland“. Das Münchener Unternehmen arbeitet mit einer Software namens „Safeplay“ der Firma Medicus AI aus Wien.

Der Name war hier wohl nicht Programm: Wie die öffentlich einsehbare Analyse des „Zerforschung“-Kollektivs zeigt, konnte sich jeder mit ein wenig IT-Kenntnissen und Logik Zugriff auf die Daten verschaffen. Nötig sei dafür laut CCC nur eine Mailadresse zur Registrierung eines Kundenkontos bei Medicus AI gewesen.

„Mindestens alle Kundinnen und Kunden der betroffenen Testzentren hätten die Ergebnisse aller anderen einsehen können“, schreibt der „Spiegel“. Unter den Daten seien laut „Zerforschung“ so sensible Informationen wie Name, Anschrift, Geburtsdatum, Mailadresse oder Telefonnummer gewesen. Auch die Ausweisnummer oder einen abweichenden Aufenthaltsort in den kommenden zwei Wochen habe man bei der Registrierung angeben können.

URL von Dateien nicht sicher verschlüsselt

Schwachpunkt sei die PDF-Datei mit dem Testergebnis, die man downloaden kann. Darin sind auch die oben genannten Daten verzeichnet. Die Web-Adresse, über die das persönliche PDF heruntergeladen wurde, enthielt am Ende eine kurze Zahlenkombination, wie die Gruppe „Zerforschung“ herausfand.

Schon das sei unüblich, normalerweise verwende man hier einen langen, zufälligen Wert. „Leider stellte sich heraus: Ändert man die Zahl im Parameter, hat man Zugriff auf die Testergebnis-PDFs anderer Menschen. Dazu muss man noch nicht mal eine bestimmte Test-ID erraten, da die Tests einfach aufsteigend durchnummeriert sind“, schreiben die IT-Experten in ihrer Analyse.

Linus Neumann vom CCC ordnet diese Schwachstelle als Klassiker ein, vor dem immer wieder gewarnt werden würde. „Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinander setzt, macht solche Fehler einfach nicht“, sagt der Spezialist für IT-Sicherheit.

Keine Anhaltspunkte für Missbrauch

Im Gegensatz zu „Zerforschung“ und dem CCC spricht Software-Betreiber Medicus AI gegenüber der SZ von maximal 5774 von dem Datenleck Betroffenen. Denn so viele Zugriffe habe es auf Corona-Schnelltest-Ergebnisse gegeben, während die Sicherheitslücke bestanden habe.

Dass 136.000 Testergebnisse zeitweise für Unbefugte zugänglich waren, dementiere das Unternehmen allerdings nicht. „Die Zusicherungen des betroffenen Unternehmens Medicus AI, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen“, schreibt der CCC in einer Pressemitteilung.

„Zerforschung“ und der CCC haben unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Datenpanne informiert. „Die Schwachstelle konnte in Zusammenarbeit mit dem Unternehmen kurzfristig geschlossen werden. Dem BSI liegen derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist“, teilte die Behörde gegenüber der SZ mit.

Schlagworte:
Lesen Sie jetzt