Blogheim.at Logo
Start Aktuelles Datenleck: 136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar!

Datenleck: 136.000 Corona-Testergebnisse samt persönlicher Daten frei einsehbar!

Aktuelles Titelthema

Ich habe keine Lust mehr auf Lockdown! [Ein Kommentar]

„Ich will keinen Lockdown mehr. Ich werde so müde all des Ganzen. Es ist un-menschlich." „Und ich will kein Corona bekommen, verbreiten und keine Menschen...

Schauen wir zu sehr auf Virologen und Inzidenzzahlen? [Titelthema Lockdown]

Mit Blick auf die Aussagen der PsychologInnen stellt sich nun die Frage, ob in den letzten Monaten das Problem psychischer Erkrankungen im Lockdown nicht...

Kernteil: Kritische Betrachtung [Titelthema Lockdown]

Fehlende Strukturen, nicht vorhandene Linien, sich ständig ändernde Situationen im Lockdown. Die Coronakrise ist nicht einfach. Sicherlich, niemand von uns will mit entscheidenden Politikern und...

Kernteil – Psychologische Auswirkungen [Titelthema Lockdown]

Wie sieht die psychologische Komponente aus? Wir alle gehen unterschiedlich mit der Situation im Lockdown um. Es gibt Menschen, die reiben sich auf, andere...

Facebook-Themen

Gesetzespaket zwingt Facebook zur Löschung von Hass- und Hetzpostings

Hass- und Hetzpostings kommen viel zu häufig vor. Allerdings zwingt das Gesetz die sozialen Netzwerke zu Veränderungen. Auf Facebook und Instagram gibt es eine neue...

Der Mythos, dass Facebook deine Beiträge nur 25 Freunden anzeigen würde.

Und da ist er wieder: Der Mythos, dass Facebook deine Beiträge nur 25 Freunden anzeigen würde. Diesen Mythos gibt es nun mittlerweile schon seit...

Facebook will Pro-Impfung bevorzugen!

Mit neuen Rahmen für Profilbilder zum Thema Corona-Impfung will Facebook Menschen ermutigen, sich impfen zu lassen. Auch soll eine Zusammenfassung im Newsfeed gezeigt werden,...

Schlaganfall erkennen: „Kettenbrief“ kursiert erneut auf Facebook

Bereits seit 2007 ist dieser "Kettenbrief" bekannt, in dem es darum geht, wie man einen Schlaganfall erkennen und rasch darauf reagieren kann. Aktuell wird wieder...
-WERBUNG-

epicenter.works veröffentlichte zusammen mit Zerforschung und dem Chaos Computer Club Informationen zu einem Datenleck von über 100 Covid-19-Testzentren in Deutschland und Österreich!

- Werbung -

epicenter.works schreibt…[Berlin, Wien] Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer, Corona-Testergebnis: Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen. Wir haben die Schwachstelle den zuständigen Behörden gemeldet.

Die Herausforderungen der COVID19-Pandemie offenbaren vielerorts Digitalisierungsmängel. Der akute Bedarf an digitalen Lösungen motiviert viele Unternehmen zu digitalen Schnellschüssen. Während am Horizont schon fragwürdige Konzepte für digitale Impfnachweise lauern, mussten chaotische Sicherheitsforscherinnen erst einmal zehntausende Testergebnisse samt persönlicher Daten in Sicherheit bringen.

136.000 Testergebnisse von mehr als 80.000 Betroffenen

Das Wiener Unternehmen medicus.ai stellt unter dem Namen safeplay eine „Rundum-Sorglos-Website“ für Testzentren zur Verfügung: Von der Terminbuchung bis zum Online-Testzertifikat ist an alles gedacht – außer an angemessene IT-Sicherheit: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzerinnen einsehen.

Sicherheitsforscherinnen der Chaosgruppe „Zerforschung“ haben die Schwachstelle nach einem Besuch im einem Berliner Testzentrum der Betreiberin 21dx entdeckt. Das Unternehmen bezeichnet sich als „größter Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie.“

Die Software safeplay von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Kundinnen bei über 100 Testzentren und mobilen Test-Teams. Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kindergärten.

Wer zählen kann, konnte die Ergebnisse abrufen

Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die „Testzertifikate“ anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.

Auch Statistiken der Testzentren sekundengenau einsehbar

Doch damit nicht genug: Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte auch sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Photos waren auch wiederum die Namen der Patientinnen vermerkt.

Zugriff blieb unbemerkt

Laut eigener Aussage hat das verantwortliche Unternehmen medicus.ai die Schwachstellen als Reaktion auf unsere Meldung inzwischen behoben. Zum jetzigen Zeitpunkt ist unklar, ob die Schwachstellen ggf. von anderen früher entdeckt wurden und wie viele Daten auf diese Weise in fremde Hände gelangt sind. Die Zusicherungen des betroffenen Unternehmens medicus.ai, es habe kein unberechtigter Zugriff stattgefunden, lassen sich nicht unabhängig prüfen. Weiterhin behauptet medicus.ai, betroffene Nutzerinnen informiert zu haben. Für Testergebnisse von Freundinnen, auf die wir unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten.

Meldung an zuständige Behörden

Zerforschung und Chaos Computer Club haben das Bundesamt für Sicherheit in der Informationstechnik, den Bundesdatenschutzbeauftragten und die zuständigen Landesdatenschutzbeauftragten in Deutschland über die Schwachstellen bei medicus.ai informiert. Die österreichische NGO epicenter.works übernahm die Kommunikation mit dem für das Wiener Unternehmen zuständigen CERT.at. Ziel war die schnelle Behebung, um die Daten der Kundinnen nicht weiter in Gefahr zu bringen.

Unverantwortliche Fahrlässigkeit

„Die Schwachstellen waren offensichtlich und wir hoffen, dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte Karl aus dem Team Zerforschung.

„Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“, sagte Linus Neumann vom Chaos Computer Club. Schon im vergangenen Jahr haben Mitglieder des CCC immer wieder eklatante Schwachstellen in Corona-Systemen gemeldet. „Wenn schon bei so einfachen Aufgaben katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen erstmal ihre Hausaufgaben machen. Stattdessen werden als nächstes mehrere Millionen Euro für fragwürdige Blockchain-Impfnachweise versenkt.“, so Neumann weiter.

„Es ist jetzt an den betroffenen Firmen und zuständigen Datenschutzbehörden, diesen Skandal aufzuklären. Diese unverantwortliche Fahrlässigkeit zeigt wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird. Was ständig auf der Strecke bleibt, ist das Vertrauen der Bevölkerung in die angemessene Bewältigung dieser Krise.“, sagte Thomas Lohninger von der Datenschutz-NGO epicenter.works in Wien.

Hintergrund

Medicus.ai ist eine Dienstleisterin, deren System safeplay von mehreren Testzentren verwenden wird, um Registrierungen für Covid-19-Tests und die Übermittlung der Testergebnisse an die getesteten Personen vorzunehmen. Die unter anderem betroffene Testzentrenbetreiberin 21dx wurde von der Berliner Senatsverwaltung für kostenlose Bürgerinnen-Tests in großen Testzentren beauftragt. Das Unternehmen bezeichnet sich als „größten Betreiber von Corona-Teststationen in Deutschland und Betreiber eines Impfzentrums und mobiler Impfteams im Kampf gegen die Pandemie.“

Quelle: epicenter.works
Artikelbild: Shutterstock / Drazen Zigic
- Werbung -
Mimikama-Buch „Angriff auf die Demokratie"
Mimikama-Buch „Angriff auf die Demokratie"

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.

Die Corona-Krise! Wir brauchen deine Unterstützung! Die Corona-Krise stellt uns alle vor großen Herausforderungen und bringt uns an unsere Grenzen. Jeder gibt seinen Teil dazu bei um zu Unterstützen. Gegenüber anderen Medien haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle offen halten. Wenn jeder, der unsere Faktenchecks liest, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben und wir können gemeinsam gegen Fakenews vorgehen. Unterstütze uns und tragen auch Du dazu bei, die Zukunft von Mimikama zu sichern. Hier kannst Du unterstützen: via PayPal, Steady oderPatreon

Viraler Hit: „Lufthansa Flight Two Two Two Two to Toulouse“

Eine Flugnummer, die sich mal wirklich einfach zu merken ist und immer wieder für Schmunzler sorgt: der Lufthansa-Flug von München nach Toulouse. Mitarbeiter bei Flugbetrieben...

So muss! 81-Jährige cleverer als Betrüger

Senioren sind leider oft das Opfer von Betrügern. Aber dieses Mal war das Opfer cleverer als der Telefonbetrüger. In den späteren Abendstunden des 07.04.2021 kontaktierten...

Gesetzespaket zwingt Facebook zur Löschung von Hass- und Hetzpostings

Hass- und Hetzpostings kommen viel zu häufig vor. Allerdings zwingt das Gesetz die sozialen Netzwerke zu Veränderungen. Auf Facebook und Instagram gibt es eine neue...

COVID-19 nicht existent? Nein, Drosten behauptet das nicht!

Auf WhatsApp wird derzeit ein Video erneut geteilt, in dem der Virologe Christian Drosten augenscheinlich behauptet, dass COVID-19 nicht existiere. Das Video ist knapp 2...

Mann wollte 5G-Sendemasten sprengen: Terrorverdacht!

In den letzten Monaten ist es recht ruhig in Bezug auf die 5G Mythen und Erzählungen geworden. Doch nun geht es um Terrorverdacht! Können Menschen...
-WERBUNG-
-WERBUNG-