80.000 Betroffene: Ergebnisse von 136.000 COVID-19-Tests frei einsehbar
136.000 COVID-19-Testergebnisse sowie die zugehörigen persönlichen Daten wie Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer aus Deutschland und Österreich waren nur unzureichend geschützt und deshalb für jedermann frei einsehbar. Die Sicherheitslücke steckt in der Software SafePlay von Medicus AI.
Unzureichende Sicherheitsmaßnahmen
Wie der Chaos Computer Club (CCC) auf seiner Website berichtet, wurde die Schwachstelle, welche die persönlichen Daten und COVID-19-Testergebnisse sowie zugehörige Zertifikate von rund 80.000 Betroffenen für jedermann frei zugänglich machte, den zuständigen Behörden gemeldet.
Demnach habe der Anbieter, die Medicus AI Gmbh aus Wien, „an alles gedacht – außer an angemessene IT-Sicherheit“, wie der Chaos Computer Club in seiner Meldung ausführt.
Während eines Besuchs in einem Berliner Testzentrum des Betreibers 21dx, einem der größten Betreiber von Corona-Teststationen in Deutschland, entdeckten Sicherheitsforscher des Chaos Computer Clubs die Sicherheitslücke.
Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und außerdem personenbezogene Daten anderer Nutzer/innen einsehen.
Chaos Computer Club (CCC)
Auch Schulen und Kitas betroffen
Neben der 21dx GmbH aus München, die zudem Testzentren in Mannheim, Frankfurt, Berlin und Mühlheim am Inn betreibt, nutzen weitere Testzentren, Institute, Schulen sowie Kindertagesstätten SafePlay von Medicus AI.
Die Software SafePlay von medicus.ai kommt aber nicht nur in Berlin zum Einsatz. Betroffen sind über 136.000 Testergebnisse von mehr als 80.000 Menschen bei über 100 Testzentren und mobilen Test-Teams. Darunter befinden sich sowohl öffentliche Einrichtungen in München, Berlin und Kärnten als auch feste und temporäre Teststationen in Unternehmen, Schulen und sogar Kitas.
Chaos Computer Club (CCC)
Doch damit noch nicht genug: Wie die Gruppe „Zerforschung“ des Chaos Computer Clubs feststellen musste, konnte über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard auch auf die Sekunde genau eingesehen werden, „wann dort ein COVID-19-Test gemacht wurde und welches Ergebnis dieser hatte“ und das für jedes einzelne Testzentrum.
Zugriff blieb unbemerkt
Nachdem der Zugriff auf die Testergebnisse vom Betreiber unbemerkt blieb, hat der Chaos Computer Club diesen und die zuständigen Behörden nach eigenen Angaben umgehend informiert. Medicus AI habe angegeben, die Sicherheitslücken in der Zwischenzeit behoben zu haben.
Nicht die erste Schwachstelle in der Corona-IT
Die Sicherheitslücke in SafePlay „ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT“ so Linus Neumann vom Chaos Computer Club.
Unter „Wir wissen, wie du diesen Winter getestet wurdest. Ein Corona-Drama in sechs Akten“ legt der Chaos Computer Club den gesamten Sachverhalt noch einmal detailliert dar.