Datenleck: 130.000 ungeschützte Corona-Testergebnisse

Das deutsche IT-Kollektiv Zerforschung hat eine Sicherheitslücke aufgedeckt, bei der über 130.000 Datensätze aus über 100 Corona-Schnelltestzentren auslesbar im Netz abrufbar waren.

Vor allem deutsche Testzentren in Berlin, München und Mannheim waren betroffen. Sensible Benutzerdaten (Testergebnisse, Name, Adresse, Staatsbürgerschaft, Geburtsdatum, Handynummer, E-Mail und auch die Nummer von Pass- oder Personalausweis) aus Corona-Tests waren offen einsehbar. Die Sicherheitslücke wurde mittlerweile geschlossen.

Die Datenpanne entstand durch eine Software des Wiener Start-ups Medicus AI. Die Firma stellt für viele der Corona-Schnelltestzentren in Deutschland und Österreich die IT-Infrastruktur zur Buchung von Terminen sowie dem Abruf der Testergebnisse zur Verfügung.

Entdeckt wurde die Schwachstelle bereits am 10. März. Das Kollektiv machte die Lücke gemeinsam mit dem Chaos Computer Club und der Grundrechts-NGO Epicenter Works öffentlich und meldete diese dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Wo war das Problem?

Der Zugriff für Nutzer war nicht auf die ihnen zugewiesenen Tests beschränkt. Angemeldete Nutzer konnten über eine Identifikationsnummer (eine fünfstellige Zahl) den eigenen Testbericht in der Datenbank einsehen. Eine Änderung der Identifikationsnummer reichte aus, um die die Daten anderer Personen aufzurufen. Die so einsehbaren Ergebnisse konnten zudem als PDF heruntergeladen werden.

Hinzu kommt, dass – mit etwas größerem technischen Verständnis – auch die Änderung der bereits generierten Testergebnisse möglich war. So konnten die Teammitglieder des Kollektivs Zerforschung beispielsweise den Namen und die Befunde der bereits stattgefundenen und hochgeladenen Tests verändern. Die Tests waren somit also vollständig manipulierbar.

Darüber hinaus konnten die Sicherheitsforscher auch Zugriff auf Bilder von Testergebnissen nehmen. „Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte“, so eine gemeinsame Mitteilung von Zerforschung, Chaos Computer Club und der Grundrechts-NGO Epicenter Works. „Daraus ließ sich sehr einfach die URL eines Beweisbildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde.“

Stellungnahme von Medicus AI

Der Hersteller der Software Medicus AI weist die Vorwürfe zurück. Es habe „keinerlei unerlaubten Zugriffe, bis auf die des BSI“ gegeben, heißt es in einer Stellungnahme von Medicus AI an „Süddeutsche“, RBB und den STANDARD. Das Unternehmen erklärte zunächst, dass die Lücke nur von „technisch sehr versierten Personen mit den entsprechenden Werkzeugen“ hätte ausgenutzt werden können. Tatsächlich war eine einfache Bearbeitung in den Entwicklertools des jeweiligen Browsers den Sicherheitsforschern zufolge ausreichend. Medicus AI erklärte auf Nachfrage, dass es für den Zugriff einer API, also einer Schnittstelle zur Anwenderprogrammierung, und gewisser Entwicklerfähigkeiten bedürfe.

Die Sicherheitsforscher von Zerforschung kritisieren in einem Interview: „die fehlende Datensicherheit. Derart weitreichende Information müssten gar nicht im Netz gespeichert werden– so würde es reichen, wenn eine ID und die Information, ob man positiv oder negativ war, verarbeitet würden. Überhaupt handle es sich um Lücken, die es für derart sensible Gesundheitsdaten nicht geben sollte.“

Quellen:

Artikel von Muzayen Al-Youssef und Georg Pichler auf DerStandard vom 18.3.2021: Datenleck bei Wiener Start-up: Tausende Testdaten frei im Netz zugänglich

Artikel des Kollektivs Zerforschung vom 18.03.2021: Wir wissen, wie du diesen Winter getestet wurdest. Ein Corona-Drama in sechs Akten

Artikel von Markus Reuter Netzpolitik.org vom 18.03.2021: Mehr als 130.000 Corona-Testergebnisse waren frei im Netz abrufbar