Schnelltestzentrum mit Datenleck: 136.000 Corona-Tests ungeschützt
Zehntausende Corona-Testergebnisse standen zusammen mit Personendaten wochenlang ungeschützt im Netz. Der Chaos Computer Club hat das Leck aufgedeckt.
Die Betreiber von Berliner Gratis-Schnelltestzentren gingen recht sorglos mit Daten um Foto: dpa
BERLIN taz | Rund 136.000 Corona-schnelltestergebnisse von 80.000 Personen aus Deutschland und Österreich waren wochenlang mitsamt persönlichen Daten frei einsehbar auf dem Schnelltest-Portal „Test-to-go.berlin“. Das Portal von der Betreiberin „21dx“ wird auch von einem Testzentrum im Osten Berlins benutzt, wie die Gesundheitsverwaltung von Dilek Kalayci (SPD) der taz mitteilte. Man habe vom Betreiber eine externe Sicherheitsprüfung gefordert. Wie der RBB berichtet, waren die Daten Tausender Berliner:innen gefährdet. Mittlerweile sei die Lücke behoben. Betrieben wird die Website von der Wiener Firma Medicus AI, das als Produkt unter der Namen „Safeplay“ eine „Rundum-Sorglos-Website“ zur Verfügung stellt.
Sorglos war allerdings vor allem der Umgang der Firma mit IT-Sicherheit: Jede Person, die sich auf der Website einen Account anlegte, konnte laut den Hacker-Gruppen Chaos Computer Club (CCC) und Zerforschung problemlos an sämtliche Daten anderer Getesteter gelangen. Jedem Testergebnis war demzufolge eine aufsteigende Nummer zugeordnet. Änderte man diese Zahl in der Browser-Adresszeile, konnte man sensible Daten anderer Getesteter einsehen: Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer sowie ein herunterladbares Testergebnis.
Mit simplen Änderungen im Profil ließen sich offenbar sogar negative oder positive Testbefunde fälschen. Ebenso sei es mit ein bisschen Know-how möglich gewesen, Anzahl, Ausgang und den sekundengenauen Zeitpunkt von Tests auszulesen. Selbst Fotos von Teststreifen mit handschriftlichen Namen drauf seien herunterladbar gewesen.
Die Website ist offenkundig nur schnell zusammen gestrickt worden, wie die Hacker:innen zufällig nach einem Corona-Schnelltest in Berlin festgestellt haben. Sie meldeten die schweren Sicherheitslücken umgehend den zuständigen Behörden.
Sicherheitslücke bestand seit Februar
Mittlerweile sollen die Lücken behoben worden sein, wie das für die Website zuständige Unternehmen Medicus AI auf taz-Anfrage mitteilte. Die Lücke habe nach einem „unglücklichen Bug“ seit dem 14. Februar bestanden. Die Firma habe sechs Zugriffe feststellen können, die sie auf Hacker:innen zurückführte, welche die Lücke entdeckten. Darüber hinaus habe es keine unberechtigten Zugriffe gegeben, wie die Firma behauptet. Alle Betroffenen seien informiert worden.
Die Hacker:innen vom CCC haben da Zweifel: Getestete Freund:innen, deren Daten sie mit deren Einverständnis auf die beschriebene Weise einsahen, seien bisher nicht informiert worden, wie es in der CCC-Mitteilung vom Donnerstag heißt. „Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte ein Aktivist aus der Gruppe Zerforschung.
Linus Neumann vom CCC sagte: „Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Schon im vergangenen Jahr seien immer wieder eklatante Schwachstellen in Corona-Systemen bekannt geworden – „wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen“, kritisierte Neumann angesichts geplanter digitaler Impfnachweise.
