Schnelltestzentrum mit Datenleck: 136.000 Corona-Tests ungeschützt

Berlin taz | Rund 136.000 Corona-­schnell­testergebnisse von 80.000 Personen aus Deutschland und Österreich waren wochenlang mitsamt persönlichen Daten frei einsehbar auf dem Schnelltest-Portal „Test-to-go.berlin“. Das Portal von der Betreiberin „21dx“ wird auch von einem Testzentrum im Osten Berlins benutzt, wie die Gesundheitsverwaltung von Dilek Kalayci (SPD) der taz mitteilte. Man habe vom Betreiber eine externe Sicherheitsprüfung gefordert. Wie der RBB berichtet, waren die Daten Tausender Ber­li­ne­r:in­nen gefährdet. Mittlerweile sei die Lücke behoben. Betrieben wird die Website von der Wiener Firma Medicus AI, das als Produkt unter der Namen „Safeplay“ eine „Rundum-Sorglos-Website“ zur Verfügung stellt.

Sorglos war allerdings vor allem der Umgang der Firma mit IT-Sicherheit: Jede Person, die sich auf der Website einen Account anlegte, konnte laut den Hacker-Gruppen Chaos Computer Club (CCC) und Zerforschung problemlos an sämtliche Daten anderer Getesteter gelangen. Jedem Test­ergebnis war demzufolge eine aufsteigende Nummer zugeordnet. Änderte man diese Zahl in der Browser-Adresszeile, konnte man sensible Daten anderer Getesteter einsehen: Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer sowie ein herunterladbares Testergebnis.

Mit simplen Änderungen im Profil ließen sich offenbar sogar negative oder positive Testbefunde fälschen. Ebenso sei es mit ein bisschen Know-how möglich gewesen, Anzahl, Ausgang und den sekundengenauen Zeitpunkt von Tests auszulesen. Selbst Fotos von Teststreifen mit handschriftlichen Namen drauf seien herunterladbar gewesen.

Die Website ist offenkundig nur schnell zusammen gestrickt worden, wie die Ha­cke­r:in­nen zufällig nach einem Corona-Schnelltest in Berlin festgestellt haben. Sie meldeten die schweren Sicherheits­lücken umgehend den zuständigen Behörden.

Sicherheitslücke bestand seit Februar

Mittlerweile sollen die Lücken behoben worden sein, wie das für die Website zuständige Unternehmen Medicus AI auf taz-Anfrage mitteilte. Die Lücke habe nach einem „unglücklichen Bug“ seit dem 14. Februar bestanden. Die Firma habe sechs Zugriffe feststellen können, die sie auf Ha­cke­r:in­nen zurückführte, welche die Lücke entdeckten. Darüber hinaus habe es keine unberechtigten Zugriffe gegeben, wie die Firma behauptet. Alle Betroffenen seien informiert worden.

Die Ha­cke­r:in­nen vom CCC haben da Zweifel: Getestete Freund:innen, deren Daten sie mit deren Einverständnis auf die beschriebene Weise einsahen, seien bisher nicht informiert worden, wie es in der CCC-Mitteilung vom Donnerstag heißt. „Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte ein Aktivist aus der Gruppe Zerforschung.

Linus Neumann vom CCC sagte: „Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Schon im vergangenen Jahr seien immer wieder eklatante Schwachstellen in Corona-Systemen bekannt geworden – „wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen“, kritisierte Neumann angesichts geplanter digitaler Impfnachweise.