136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar

Das wird in einem Beitrag vom 18.03.2021 auf der Homepage des Chaos Computer Club e. V. mitgeteilt. Einige Auszüge:

Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen…

Das Wiener Unternehmen medicus.ai stellt unter dem Namen safeplay eine ‚Rundum-Sorglos-Website‘ für Testzentren zur Verfügung: Von der Terminbuchung bis zum Online-Testzertifikat ist an alles gedacht — außer an angemessene IT-Sicherheit: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzerinnen einsehen.

Sicherheitsforscherinnen der Chaosgruppe Zerforschung haben die Schwachstelle nach einem Besuch im einem Berliner Testzentrum der Betreiberin 21dx entdeckt. Das Unternehmen bezeichnet sich als ‚größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie.‘

Die Software safeplay von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Kundinnen bei über 100 Testzentren und mobilen Test-Teams. Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas

Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die ‚Testzertifikate‘ anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen…“


Eine Übersicht über weitere Datenpannen im Gesundheitswesen in Deutschland finden Sie hier.

Schreibe einen Kommentar