Schwerpunkte

Kollektiv Zerforschung

Datenleck in Corona-Testzentrum

12. April 2021, 10:03 Uhr   |  Autorin: Selina Doulah | Kommentar(e)

Datenleck in Corona-Testzentrum
© Romolo Tavani / Adobestock

In mehreren Testzentren sind personenbezogene Daten einschließlich der Testergebnisse abrufbar gewesen. Zwar wurde die Sicherheitslücke inzwischen geschlossen, doch ob alle 14.000 Betroffenen bereits davon erfahren haben, ist bislang unklar.

Das Kollektiv Zerforschung hat ein Datenleck in Corona-Testzentren entdeckt.

Der Anbieter Eventus Media International (EMI) betreibt unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Corona-Testzentren unter der Marke "testcenter-corona.de" und bietet Software und Infrastruktur als Franchise-Modell an.

Das Unternehmen nutzt für seine Website den Open-Source-Anbieter Wordpress, auf der sich Kunden zum Testen auf Covid-19 registrieren können. Darüber erhalten sie auch die Ergebnisse – verschlüsselt. Jedoch ließ sich diese Verschlüsselung, ein zehnstelliger Abrufcode, auslesen. Grund dafür ist eine API-Schnittstelle, die EMI auf der Wordpress-Seite für die Registration selbst eingebaut und die Zugriffsmöglichkeit darauf aktiviert ließ. So sind die Codes zu den Registrierungen abrufbar gewesen, wodurch man auch auf die Ergebnisse und die dahinterstehenden personenbezogenen Daten manuell zugreifen konnte. Auch eine Massenabfrage der Daten aufgrund fehlendem Rate-Limiting sei laut dem Kollektiv möglich gewesen.

Härtere Strafen gefordert

Nachdem das Kollektiv aus IT-Forschenden das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte, benachrichtigte dieses wiederrum den Datenschutzbeauftragten von EMI.

Die Sicherheitslücke wurde am gleichen Tag, den 6. April geschlossen. Bis dahin waren laut Zerforschung 14.000 getestete Personen betroffen gewesen. Das Kollektiv, das auf die Lücke gestoßen ist, weil ein Forscher dieser IT-Gruppe selbst in einem der Testzentren Kunde war, ist sich sicher, dass noch immer nicht alle Betroffenen über diesen Vorfall unterrichtet wurden.

Das Kollektiv Zerforschung fordert Datenschutzbehörden zu härteren Strafen gegen solche Verstöße auf und zum Zwang von Unternehmen zur Aufklärung jedes einzelnen Betroffenen.

Zuerst erschienen auf ict-channel.com.

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen

Das könnte Sie auch interessieren

Verwandte Artikel

funkschau