IT-Sicherheitsforscher decken massives Datenleck beim Online-Abruf von Corona-Testergebnissen auf
Die IT-Sicherheitsforscher des IT-Kollektivs „Zerforschung“ haben herausgefunden, dass in Berlin mehrere Betreiber von Corona-Teststationen eine unsichere Datenbank-Anwendung eingesetzt hatten. Infolgedessen waren die Testergebnisse und weitere persönliche Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse sowie in vielen Fällen auch Daten zum Personalausweis und Reisepass von hunderttausenden Getesteten offen im Netz zugänglich.
Auf Nachfrage des Nachrichtenportals Rundfunk Berlin-Brandenburg bestätigte die Landesdatenschutzbeauftragte Berlins eine Zahl von mehr als 200.000 Betroffenen. Die Sicherheitsforscher beziffern die Zahl der Betroffenen zwischen 200.000 bis 400.000 Personen.
Betroffene sollen Kunden sein, die sich bei den Teststationen des Anbieters „Schnelltest Berlin“ oder bei den „Corona-Testbikes“ haben testen lassen. Ebenfalls konnten die Sicherheitsforscher beliebige Testzertifikate für PCR-Tests erstellen und ein negatives Testergebnis für einen von ihnen frei gewählten Namen ausstellen.
Der Betreiber der betroffenen Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem Rundfunk Berlin Brandenburg die Datenpanne eingestanden und versichert, die aufgedeckte Sicherheitslücke zwischenzeitlich geschlossen zu haben. Derzeit arbeite man mit IT-Forensikern zusammen, um das genaue Ausmaß der Panne zu erörtern.
Hierbei handelt es sich sicher nicht um den letzten Fall unzureichend geschützter persönlicher Daten (Datenleck bei Software für Corona-Testzentren), die sich ohne besondere Hürden via Internet abrufen lassen. Es besteht bei vielen Institutionen und Firmen akuter Nachholbedarf in Sachen IT-Sicherheit und standesgemäßer Absicherung von Kunden- oder auch Patientendaten.
Quelle(n):
https://zerforschung.org/posts/meinschnelltest
https://www.tagesschau.de/newsticker/liveblog-coronavirus-mittwoch-259.html
https://www.rbb24.de/panorama/thema/corona/beitraege/2021/11/schnelltest-berlin-pcr-gefaelscht-datenleck.html
https://www.presseportal.de/pm/51580/5068769