Sicherheitslücke: 136.000 persönliche Corona-Test-Daten online zugänglich
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/75AVTBBFM5E7HCFIWGOGF4MUVE.jpg)
Die Ergebnisse von Corona-Schnelltests lassen sich online abrufen – im aktuellen Fall aber zeitweise auch von Unbefugten (Symbolbild).
© Quelle: imago images/Sabine Gudath
München/Wien. Aufgrund eines Datenlecks waren 136.000 Corona-Schnelltest-Ergebnisse und persönliche Daten von rund 80.000 Menschen online zeitweise für Unbefugte zugänglich. Betroffen seien laut der „Süddeutschen Zeitung“ (SZ) Testzentren in Berlin, München, Mannheim und im österreichischen Klagenfurt.
Aufgefallen ist diese Sicherheitslücke IT-Experten des Kollektivs „Zerforschung“ und dem Chaos Computer Club (CCC). Die Firma Medicus AI, in deren Software das Datenleck gefunden worden war, bestätigt die Panne gegenüber dem RBB und betont gleichzeitig, die Sicherheitslücke mittlerweile geschlossen zu haben.
Sensible Daten mit leichten Tricks einsehbar
Betreiber der betroffenen Testzentren ist 21Dx, laut eigener Website „einer der größten Betreiber von Corona-Teststationen in Deutschland“. Das Münchner Unternehmen arbeitet mit einer Software namens Safeplay der Firma Medicus AI aus Wien. Der Name war hier wohl nicht Programm: Wie die öffentlich einsehbare Analyse des „Zerforschung“-Kollektivs zeigt, konnte sich jeder mit ein wenig IT-Kenntnissen und Logik Zugriff auf die Daten verschaffen. Nötig sei dafür laut CCC nur eine Mailadresse zur Registrierung eines Kundenkontos bei Medicus AI gewesen.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/2MV6X56CHVAULJRV6CSZY7WO7U.jpeg)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/DMD72GA2BBGZJK2EJ6ZQHKU7GQ.jpeg)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/LWZSC2HE2ZBKJKT3J32QL6EJE4.jpg)
„Mindestens alle Kundinnen und Kunden der betroffenen Testzentren hätten die Ergebnisse aller anderen einsehen können“, schreibt der „Spiegel“. Unter den Daten seien laut „Zerforschung“ so sensible Informationen wie Name, Anschrift, Geburtsdatum, Mailadresse oder Telefonnummer gewesen. Auch die Ausweisnummer oder einen abweichenden Aufenthaltsort in den kommenden zwei Wochen habe man bei der Registrierung angeben können.
URL von Dateien nicht sicher verschlüsselt
Schwachpunkt sei die PDF-Datei mit dem Testergebnis, die man downloaden kann. Darin sind auch die oben genannten Daten verzeichnet. Die Webadresse, über die das persönliche PDF heruntergeladen wurde, enthielt am Ende eine kurze Zahlenkombination, wie die Gruppe „Zerforschung“ herausfand.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZBUMAKXIEVG55G5MXAL23UX25Y.jpg)
Die Pandemie und wir
Der neue Alltag mit Corona: In unserem Newsletter ordnen wir die Nachrichten der Woche, erklären die Wissenschaft und geben Tipps für das Leben in der Krise – jeden Donnerstag.
Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.
Schon das sei unüblich, normalerweise verwende man hier einen langen, zufälligen Wert. „Leider stellte sich heraus: Ändert man die Zahl im Parameter, hat man Zugriff auf die Testergebnis-PDFs anderer Menschen. Dazu muss man noch nicht mal eine bestimmte Test-ID erraten, da die Tests einfach aufsteigend durchnummeriert sind“, schreiben die IT-Experten in ihrer Analyse.
Linus Neumann vom CCC ordnet diese Schwachstelle als Klassiker ein, vor dem immer wieder gewarnt werden würde. „Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht“, sagt der Spezialist für IT-Sicherheit.
Keine Anhaltspunkte für Missbrauch
Im Gegensatz zu „Zerforschung“ und dem CCC spricht Softwarebetreiber Medicus AI gegenüber der „SZ“ von maximal 5774 von dem Datenleck Betroffenen. Denn so viele Zugriffe habe es auf Corona-Schnelltest-Ergebnisse gegeben, während die Sicherheitslücke bestanden habe. Dass 136.000 Testergebnisse zeitweise für Unbefugte zugänglich waren, dementiere das Unternehmen allerdings nicht. „Die Zusicherungen des betroffenen Unternehmens Medicus AI, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen“, schreibt der CCC in einer Pressemitteilung.
„Zerforschung“ und der CCC haben unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Datenpanne informiert. „Die Schwachstelle konnte in Zusammenarbeit mit dem Unternehmen kurzfristig geschlossen werden. Dem BSI liegen derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist“, teilte die Behörde gegenüber der „SZ“ mit.
RND/saf
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/L2RA5DVSRZBGDANM7PFO7CZ6FE.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/QMZCW5QGHVBYVEMZ5ZSJYCXMOQ.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3W2UBW4GYBBKRBDWKAFZBBUOMA.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VHF5GQI6SBF4TJHSUSXJB5IMZU.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZDN3252EUND7JJAPH7H42VWJPY.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/NXJ7JZFYFRDKHDPVHAEVI7KX7E.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/5D65JJ55TFCT7PP32KTUL4P3FY.png)