 |
# taz.de -- Schnelltestzentrum mit Datenleck: 136.000 Corona-Tests ungeschützt |
|
|
|
> Zehntausende Corona-Testergebnisse standen zusammen mit Personendaten |
|
> wochenlang ungeschützt im Netz. Der Chaos Computer Club hat das Leck |
|
> aufgedeckt. |
|
|
 |
Bild: Die Betreiber von Berliner Gratis-Schnelltestzentren gingen recht sorglos… |
|
|
|
Berlin taz | Rund 136.000 Corona-schnelltestergebnisse von 80.000 |
|
Personen aus Deutschland und Österreich waren wochenlang mitsamt |
|
persönlichen Daten frei einsehbar auf dem Schnelltest-Portal |
|
„Test-to-go.berlin“. Das Portal von der Betreiberin „21dx“ wird auch von |
|
einem Testzentrum im Osten Berlins benutzt, wie die Gesundheitsverwaltung |
|
von Dilek Kalayci (SPD) der taz mitteilte. Man habe vom Betreiber eine |
|
externe Sicherheitsprüfung gefordert. Wie der [1][RBB] berichtet, waren die |
|
Daten Tausender Berliner:innen gefährdet. Mittlerweile sei die Lücke |
|
behoben. Betrieben wird die Website von der Wiener Firma Medicus AI, das |
|
als Produkt unter der Namen „Safeplay“ eine „Rundum-Sorglos-Website“ zur |
|
Verfügung stellt. |
|
|
|
Sorglos war allerdings vor allem der Umgang der Firma mit IT-Sicherheit: |
|
Jede Person, die sich auf der Website einen Account anlegte, konnte laut |
|
den Hacker-Gruppen [2][Chaos Computer Club (CCC)] und [3][Zerforschung] |
|
problemlos an sämtliche Daten anderer Getesteter gelangen. Jedem |
|
Testergebnis war demzufolge eine aufsteigende Nummer zugeordnet. Änderte |
|
man diese Zahl in der Browser-Adresszeile, konnte man sensible Daten |
|
anderer Getesteter einsehen: Name, Adresse, Geburtsdatum, |
|
Staatsbürgerschaft, Ausweisnummer sowie ein herunterladbares Testergebnis. |
|
|
|
Mit simplen Änderungen im Profil ließen sich offenbar sogar negative oder |
|
positive Testbefunde fälschen. Ebenso sei es mit ein bisschen Know-how |
|
möglich gewesen, Anzahl, Ausgang und den sekundengenauen Zeitpunkt von |
|
Tests auszulesen. Selbst Fotos von Teststreifen mit handschriftlichen Namen |
|
drauf seien herunterladbar gewesen. |
|
|
|
Die Website ist offenkundig nur schnell zusammen gestrickt worden, wie die |
|
Hacker:innen [4][zufällig nach einem Corona-Schnelltest in Berlin |
|
festgestellt haben]. Sie meldeten die schweren Sicherheitslücken umgehend |
|
den zuständigen Behörden. |
|
|
|
## Sicherheitslücke bestand seit Februar |
|
|
|
Mittlerweile sollen die Lücken behoben worden sein, wie das für die Website |
|
zuständige Unternehmen Medicus AI auf taz-Anfrage mitteilte. Die Lücke habe |
|
nach einem „unglücklichen Bug“ seit dem 14. Februar bestanden. Die Firma |
|
habe sechs Zugriffe feststellen können, die sie auf Hacker:innen |
|
zurückführte, welche die Lücke entdeckten. Darüber hinaus habe es keine |
|
unberechtigten Zugriffe gegeben, wie die Firma behauptet. Alle Betroffenen |
|
seien informiert worden. |
|
|
|
Die Hacker:innen vom CCC haben da Zweifel: Getestete Freund:innen, deren |
|
Daten sie mit deren Einverständnis auf die beschriebene Weise einsahen, |
|
seien bisher nicht informiert worden, wie es in der CCC-[5][Mitteilung vom |
|
Donnerstag] heißt. „Die Schwachstellen waren offensichtlich und wir hoffen, |
|
dass sie nicht von anderen schon längst ausgenutzt wurden“, sagte ein |
|
Aktivist aus der Gruppe Zerforschung. |
|
|
|
Linus Neumann vom CCC sagte: „Dies ist nicht die erste und sicherlich nicht |
|
die letzte Sicherheitslücke in hastig gebastelter Corona-IT“. Schon im |
|
vergangenen Jahr seien immer wieder eklatante Schwachstellen in |
|
Corona-Systemen bekannt geworden – „wenn schon bei so einfachen Aufgaben |
|
katastrophale Anfänger-Fehler passieren, sollten die Verantwortlichen |
|
erstmal ihre Hausaufgaben machen“, kritisierte Neumann angesichts geplanter |
|
digitaler Impfnachweise. |
|
|
|
18 Mar 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.rbb24.de/politik/thema/corona/beitraege/2021/03/berlin-datenlec… |
|
[2] https://www.ccc.de/de/updates/2021/corona-testergebnisse |
|
[3] https://zerforschung.org/posts/medicus/ |
|
[4] https://zerforschung.org/ |
|
[5] https://www.ccc.de/de/updates/2021/corona-testergebnisse |
|
|
|
## AUTOREN |
|
|
|
Gareth Joswig |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Chaos Computer Club |
|
Datenschutz |
|
IT-Sicherheit |
|
Dokumentarfilm |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Datenschutz |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Doku über den Chaos Computer Club: Komputer und Lederhose |
|
|
|
Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des |
|
Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial. |
|
|
|
Dritte Pandemiewelle in Deutschland: AstraZeneca wird wieder verimpft |
|
|
|
Wegen stark steigender Infektionszahlen wächst der Druck, Lockerungen |
|
zurückzunehmen. Arztpraxen könnten früher eingebunden werden. |
|
|
|
Datenschützer über digitalen Impfpass: „Kein Ticket ins normale Leben“ |
|
|
|
Die EU-Kommission glaubt, durch den digitalen Impfpass einen Weg zurück in |
|
die Normalität zu finden. Datenschutzexperte Thomas Lohninger widerspricht. |
|
|
|
Coronapolitik der Bundesregierung: Made in Germany |
|
|
|
Die Deutschen können gut organisieren? In der Coronakrise zeigt sich mal |
|
wieder, dass das Klischee nicht stimmt. Eine Bilanz nach einem Jahr |
|
Pandemie. |
|
|
|
Die Gefahren des digitalen Impfpasses: Zutritt nur für Gesunde |
|
|
|
Was passiert, wenn Gesundheit ausweispflichtig wird? Warum der digitale |
|
Impfpass zu einer verstärkten Biologisierung der Gesellschaft führen |
|
könnte. |
