Mehr als 130 000 Corona-Testergebnisse standen ungeschützt im Netz

Auf sueddeutsche.de ist am 18.3. zu lesen:

»Wer das Testzentrum Berlin Süd betritt, macht eine Zeitreise zu blau­en Turnmatten und Trillerpfeifen von Sportlehrern. Die vier Teststationen ste­hen mit­ten in der Turnhalle der Carl-von-Ossietzky-Gemeinschaftsschule in Kreuzberg: grau­er Linoleumboden mit bun­ten Linien, Basketballkörbe an den Wänden. Doch statt schwit­zen­der Teenager erwar­ten einen freund­li­che, garan­tiert ste­ril ver­pack­te Erwachsene mit Masken und Handschuhen.

Auf ein Dutzend Mitarbeiterinnen und Mitarbeiter des Testzentrums kom­men an die­sem Nachmittag nur drei Besucher, die sich tes­ten las­sen wol­len. Entsprechend schnell ist alles vor­bei: QR-Code scan­nen, Personalausweis vor­le­gen, wäh­rend des Abstrichs den Würgereiz unter­drü­cken. Drei Minuten spä­ter steht man wie­der drau­ßen im Nieselregen auf dem Pausenhof der Schule. Nach 17 Minuten kommt eine E‑Mail mit dem Ergebnis des Schnelltests an: "Negativer Befund. Es konn­te kein Sars-CoV-2-spe­zi­fi­sches Antigen nach­ge­wie­sen werden."

Das ist die gute Nachricht. Die schlech­te Nachricht: 136 000 die­ser Testergebnisse stan­den wochen­lang unge­schützt im Netz. Das haben Fachleute von Zerforschung – einem Kollektiv von IT-Experten – und dem Chaos Computer Club (CCC) her­aus­ge­fun­den. Sie warn­ten die zustän­di­gen Behörden…«

Beim CCC ist zu erfahren:

»Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sen­si­ble Daten meh­re­rer Corona-Testzentren in Deutschland und Österreich unzu­rei­chend geschützt über das Internet abruf­bar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen…

Das Wiener Unternehmen medicus.ai stellt unter dem Namen saf­e­play eine "Rundum-Sorglos-Website" für Testzentren zur Verfügung: Von der Terminbuchung bis zum Online-Testzertifikat ist an alles gedacht – außer an ange­mes­se­ne IT-Sicherheit: Wer einen Account auf der Plattform ange­legt hat, konn­te unge­hin­dert sämt­li­che Testergebnisse und per­so­nen­be­zo­ge­nen Daten ande­rer Nutzerinnen einsehen.

Sicherheitsforscherinnen der Chaosgruppe Zerforschung haben die Schwachstelle nach einem Besuch im einem Berliner Testzentrum der Betreiberin 21dx ent­deckt. Das Unternehmen bezeich­net sich als "größ­ter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobi­ler Impfteams im Kampf gegen die Pandemie."

Die Software saf­e­play von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Kundinnen bei über 100 Testzentren und mobi­len Test-Teams. Darunter befin­den sich sowohl öffent­li­che Einrichtungen in München, Berlin und Kärnten als auch fes­te und tem­po­rä­re Teststationen in Unternehmen, Schulen und sogar Kitas…

Auch Statistiken der Testzentren sekundengenau einsehbar

Doch damit nicht genug: Über ein eben­falls mit jedem Account unge­hin­dert zugäng­li­ches Dashboard konn­te auch sekun­den­ge­nau für jedes Testzentrum ein­ge­se­hen wer­den, wann dort ein Covid-19-Test gemacht wur­de und wel­ches Ergebnis die­ser hat­te. Daraus ließ sich sehr ein­fach die URL eines Beweis-Bildes ablei­ten, unter der ein Foto des Teststreifens mit dem Ergebnis vor­ge­hal­ten wur­de. Auf meh­re­ren die­ser Photos waren auch wie­der­um die Namen der Patientinnen vermerkt.

Zugriff blieb unbemerkt

Laut eige­ner Aussage hat das ver­ant­wort­li­che Unternehmen medicus.ai die Schwachstellen als Reaktion auf unse­re Meldung inzwi­schen beho­ben. Zum jet­zi­gen Zeitpunkt ist unklar, ob die Schwachstellen ggf. von ande­ren frü­her ent­deckt wur­den und wie vie­le Daten auf die­se Weise in frem­de Hände gelangt sind. Die Zusicherungen des betrof­fe­nen Unternehmens medicus.ai, es habe kein unbe­rech­tig­ter Zugriff statt­ge­fun­den, las­sen sich nicht unab­hän­gig prü­fen. Weiterhin behaup­tet medicus.ai, betrof­fe­ne Nutzerinnen infor­miert zu haben. Für Testergebnisse von Freundinnen, auf die wir mit deren Erlaubnis unter Ausnutzung der Sicherheitslücke zuge­grif­fen haben, haben wir jedoch kei­ne der­ar­ti­ge Nachricht erhalten…

Unverantwortliche Fahrlässigkeit

"Die Schwachstellen waren offen­sicht­lich und wir hof­fen, dass sie nicht von ande­ren schon längst aus­ge­nutzt wur­den", sag­te Karl aus dem Team Zerforschung.

"Dies ist nicht die ers­te und sicher­lich nicht die letz­te Sicherheitslücke in has­tig gebas­tel­ter Corona-IT", sag­te Linus Neumann vom Chaos Computer Club. Schon im ver­gan­ge­nen Jahr haben Mitglieder des CCC immer wie­der ekla­tan­te Schwachstellen in Corona-Systemen gemel­det. "Wenn schon bei so ein­fa­chen Aufgaben kata­stro­pha­le Anfänger-Fehler pas­sie­ren, soll­ten die Verantwortlichen erst­mal ihre Hausaufgaben machen. Stattdessen wer­den als nächs­tes meh­re­re Millionen Euro für frag­wür­di­ge Blockchain-Impfnachweise ver­senkt.", so Neumann wei­ter…«

2 Antworten auf „Mehr als 130 000 Corona-Testergebnisse standen ungeschützt im Netz“

  1. ORF 2: 102.1 >>
    Topstory Chronik
    "Cybercrime" stark gestiegen

    Die Corona-Pandemie hat die Krimina-
    lität im Vorjahr stark sin­ken lassen.
    Laut Kriminalitätsstatistik wurden
    433.800 Delikte ver­zeich­net, 11,3 %
    weni­ger als 2019.
    Einen star­ken Rück-
    gang gab es bei der "klas­si­schen Kri-
    mina­li­tät" wie Einbruchsdiebstählen.

    Explodiert sind hin­ge­gen die Delikte
    im Bereich "Cybercrime". Hier gab
    es 36.000 Anzeigen, ein Anstieg
    von über 26 %. Betroffen waren vor
    allem Online-Betrug, Cyberattacken
    und online Kindesmissbrauch.
    https://text.orf.at/channel/orf2/page/102/1.html

    Deshalb lau­tet die Devise – mehr vom Gefährlichen – das dann natür­lich noch stär­ker über­wacht wer­den muss!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.