Schnelltestzentrum mit Datenleck: 136.000 Corona-Tests ungeschützt

Zehntausende Corona-Testergebnisse standen zusammen mit Personendaten wochenlang ungeschützt im Netz. Der Chaos Computer Club hat das Leck aufgedeckt.

Abgesperrter Gehweg vor der Corona-Schnelltest-Station Lehrter Straße in Berlin. Zwei maskierte Mitarbeiter:innen stehen mit Abstand hinter einem Schild, auf dem "Bürger-Schnelltest" steht

Die Betreiber von Berliner Gratis-Schnelltestzentren gingen recht sorglos mit Daten um Foto: dpa

BERLIN taz | Rund 136.000 Corona-­schnell­testergebnisse von 80.000 Personen aus Deutschland und Österreich waren wochenlang mitsamt persönlichen Daten frei einsehbar auf dem Schnelltest-Portal „Test-to-go.berlin“. Das Portal von der Betreiberin „21dx“ wird auch von einem Testzentrum im Osten Berlins benutzt, wie die Gesundheitsverwaltung von Dilek Kalayci (SPD) der taz mitteilte. Man habe vom Betreiber eine externe Sicherheitsprüfung gefordert. Wie der RBB berichtet, waren die Daten Tausender Ber­li­ne­r:in­nen gefährdet. Mittlerweile sei die Lücke behoben. Betrieben wird die Website von der Wiener Firma Medicus AI, das als Produkt unter der Namen „Safeplay“ eine „Rundum-Sorglos-Website“ zur Verfügung stellt.

Sorglos war allerdings vor allem der Umgang der Firma mit IT-Sicherheit: Jede Person, die sich auf der Website einen Account anlegte, konnte laut den Hacker-Gruppen Chaos Computer Club (CCC) und Zerforschung problemlos an sämtliche Daten anderer Getesteter gelangen. Jedem Test­ergebnis war demzufolge eine aufsteigende Nummer zugeordnet. Änderte man diese Zahl in der Browser-Adresszeile, konnte man sensible Daten anderer Getesteter einsehen: Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer sowie ein herunterladbares Testergebnis.

Mit simplen Änderungen im Profil ließen sich offenbar sogar negative oder positive Testbefunde fälschen. Ebenso sei es mit ein bisschen Know-how möglich gewesen, Anzahl, Ausgang und den sekundengenauen Zeitpunkt von Tests auszulesen. Selbst Fotos von Teststreifen mit handschriftlichen Namen drauf seien herunterladbar gewesen.

Die Website ist offenkundig nur schnell zusammen gestrickt worden, wie die Ha­cke­r:in­nen zufällig nach einem Corona-Schnelltest in Berlin festgestellt haben. Sie meldeten die schweren Sicherheits­lücken umgehend den zuständigen Behörden.

Sicherheitslücke bestand seit Februar

Mittlerweile sollen die Lücken behoben worden sein, wie das für die Website zuständige Unternehmen Medicus AI auf taz-Anfrage mitteilte. Die Lücke habe nach einem „unglücklichen Bug“ seit dem 14. Februar bestanden. Die Firma habe sechs Zugriffe feststellen können, die sie auf Ha­cke­r:in­nen zurückführte, welche die Lücke entdeckten. Darüber hinaus habe es keine unberechtigten Zugriffe gegeben, wie die Firma behauptet. Alle Betroffenen seien informiert worden.

Die Ha­cke­r:in­nen vom CCC haben da Zweifel: Getestete Freund:innen, deren Daten sie mit deren Einverständnis auf die beschriebene Weise einsahen, seien bisher nicht informiert worden, wie es in der CCC-Mitteilung vom Donnerstag heißt. „Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte ein Aktivist aus der Gruppe Zerforschung.

Linus Neumann vom CCC sagte: „Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Schon im vergangenen Jahr seien immer wieder eklatante Schwachstellen in Corona-Systemen bekannt geworden – „wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen“, kritisierte Neumann angesichts geplanter digitaler Impfnachweise.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Mit der taz Bewegung bleibst Du auf dem Laufenden über Demos, Diskussionen und Aktionen in Berlin & Brandenburg. Erfahre mehr

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de