Im Internet waren wohl mehrere Zehntausend Daten von Corona-Getesteten zu finden. Das berichtet ein Recherche-Netzwerk. Die Sicherheitslücken sollen mittlerweile geschlossen sein.
Mehr als 130.000 Corona-Testergebnisse und die dazugehörigen persönlichen Daten haben - einem Bericht zufolge - ungeschützt im Internet gestanden.
Testergebnisse und persönliche Daten abrufbar
Es seien mindestens 136.000 Datensätze betroffen gewesen, berichteten die "Süddeutsche Zeitung" (Online), der RBB und die Wiener Zeitung "Der Standard" am Donnerstag. Sie beriefen sich auf eine Analyse eines Kollektivs von IT-Experten namens Zerforschung und des Chaos Computer Clubs (CCC).
Zusammen mit den Ergebnissen der Schnelltests waren demnach jeweils eindeutig identifizierende Daten wie
- Name,
- Adresse,
- Staatsbürgerschaft,
- Mobilfunknummer,
- Geschlecht,
- E-Mail-Adresse und
- in einigen Fällen die Ausweisnummer
im Internet zu finden.
Unbefugte hätten die Daten als PDF herunterladen können. Dazu mussten sie sich den Berichten zufolge nur ein Konto bei einem Testzentrum erstellen und ihren Internet-Browser trickreich nutzen.
Über eine zweite Sicherheitslücke waren demnach Statistiken über die
- aktuellen Zahlen der positiven und negativen Ergebnisse in den Zentren einsehbar, sowie mit etwas Aufwand
- Fotos der QR-Codes, die Getestete erhalten,
- samt Testergebnis.
Beide Sicherheitslücken zwischenzeitlich geschlossen
Beide Sicherheitslücken seien in der vergangenen Woche geschlossen worden, berichteten die drei Medien. Die Sicherheitslücken klafften demnach in der Software Safeplay des österreichischen Unternehmens Medicus AI. Das Programm werde in Testzentren benutzt, um Termine zu vergeben und den Getesteten ihre Ergebnisse digital zugänglich zu machen.
In Berlin können sich ab sofort alle Bürgerinnen und Bürger einmal pro Woche kostenlos auf das Coronavirus testen lassen. Doch zum Start hakte es vor allem bei der Online-Terminvergabe.
Betroffen seien vor allem Testzentren eines bestimmten Betreibers, unter anderem in München, Berlin, Mannheim und im österreichischen Klagenfurt. Nach der Entdeckung der Lücken schalteten die IT-Experten von Zerforschung und CCC den Berichten zufolge das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein, das wiederum Medicus AI informiert habe.
Die "Süddeutsche Zeitung" zitierte das Unternehmen mit den Worten, die Sicherheitslücke sei "durch einen Fehler in einem Update der Software von Mitte Februar" entstanden. Das BSI erklärte dem Blatt zufolge, ihm lägen "derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist".