Foto von Korhan Erdol von Pexels
Wie der Chaos Comuter Club berichtete waren aufgrund einer Sicherheitslücke sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt und über das Internet abrufbar. Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummern, Corona-Testergebnisse waren für Nutzer ohne technische Expertise und weitere Sicherung im Internet frei zugänglich. Betroffen sind mehr als 136.000 Covid-19-Testergebnisse von mehr als 80.000 Personen. Die Schwachstelle wurde durch den CCC den zuständigen Behörden gemeldet.
Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die „Testzertifikate“ anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.
Doch damit nicht genug: Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte auch sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Photos waren auch wiederum die Namen der Patientinnen vermerkt.
„Es ist jetzt an den betroffenen Firmen und zuständigen Datenschutzbehörden, diesen Skandal aufzuklären. Diese unverantwortliche Fahrlässigkeit zeigt wie leichtfertig mit unseren Gesundheitsdaten umgegangen wird. Was ständig auf der Strecke bleibt, ist das Vertrauen der Bevölkerung in die angemessene Bewältigung dieser Krise.“, sagte Thomas Lohninger von der Datenschutz-NGO epicenter.works in Wien.
Quelle: Chaos Computer Club