Corona-Testzentren: Ergebnisse von 14.000 COVID-19-Tests frei einsehbar

Sven Bauduin
67 Kommentare
Corona-Testzentren: Ergebnisse von 14.000 COVID-19-Tests frei einsehbar
Bild: Pexels

Grobe Nachlässigkeiten im Datenschutz haben einmal mehr dazu geführt, dass mehr als 14.000 COVID-19-Testergebnisse für jedermann frei zugänglich über das Internet einsehbar waren. Nachdem der Chaos Computer Club bereits Mitte März mehr als 136.000 Testergebnisse aufgespürt hat, macht die nächste Lücke von sich reden.

E-Commerce-Unternehmen betreibt Testzentren

Wie die Aktivisten der Initiative „Zerforschung“, einer dem Chaos Computer Club (CCC) nahestehenden Forschungsgruppe der radforschung GbR aus Ulm, auf ihrer Website mitgeteilt haben, trat die schwere Sicherheitslücke in mehreren Testzentren von testcenter-corona.de auf. Durch eine in der Zwischenzeit geschlossene Sicherheitslücke konnten die Sicherheitsforscher auf insgesamt mehr als 25.000 Registrierungen zugreifen und über 14.000 Testergebnisse frei und völlig ungeschützt einsehen.

WordPress-API als Sicherheitslücke

Eine schwerwiegende Sicherheitslücke in einer WordPress-API machte den Zugriff auf die überaus sensiblen Daten zum Kinderspiel, wie die Gruppe im Detail schildert.

Die Sicherheitslücke ist in diesem Fall „handgemacht“ und resultiert aus einem falsch konfigurierten Custom Post Type, der fäschlicherweise mit allen Daten für die öffentliche API freigeschaltet wurde. Hierbei steht die Eventus Media International GmbH als Seitenbetreiber selbst in der Verantwortung.

EMI hat für die Testzentren-Websites den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher Terminbuchungen und Testzertifikate abbildet. Da EMI aus uns unerklärlichen Gründen die API-Zugriffsmöglichkeit für diese aktiviert hat, sind alle Registrierungen auch über diese abrufbar.

Zerforschung

Neben den eigentlichen Testergebnissen waren folgende Daten der auf COVID-19 getesteten Personen frei zugänglich:

  • Vorname
  • Name
  • Anschrift
    • Straße
    • Hausnummer
    • Postleitzahl
    • Ort
    • Land
  • Anschrift derzeitiger Aufenthaltsort
    • Straße
    • Hausnummer
    • Postleitzahl
    • Ort
    • Land
  • Geburtsdatum
  • Telefonnummer
  • E-Mail-Adresse
  • Test
  • Testdatum
  • Testergebnis

Um diese grobe Nachlässigkeit im Datenschutz aufzudecken und zu dokumentieren, haben die Aktivisten mit Journalisten von NDR, RBB und MDR zusammengearbeitet. Betroffen waren insgesamt fünf Testzentren von testcenter-corona.de. Betroffen waren getestete Personen in folgenden Testzentren:

Testzentrum Betroffene Personen
Berlin 3.000
Dortmund 800
Hamburg 3.100
Leipzig 5.800
Schwerte 1.400
14.100

COVID-19-Testzentren als Franchise-Geschäft

Das ein auf E-Commerce und stationären Handel spezialisiertes und gewinnorientiertes Unternehmen wie die Eventus Media International GmbH, das eigenen Angaben zufolge aus „ehemaligen Führungskräften von Amazon, Groupon und Google“ besteht und sich primär auf „E-Commerce, Vertrieb, Marketing und Sourcing“ spezialisiert, nicht nur die Plattform für die COVID-19-Testergebnisse auflegt und diese Software und Infrastruktur auch als Franchise-Modell anbietet, sondern eigene Corona-Testzentren betreibt, kommentieren die Sicherheitsforscher mit „Die E-Commerce-Bude macht jetzt auch in Testzentren“.

Die Eventus Media International GmbH vermarktet Testzentren als Franchise
Die Eventus Media International GmbH vermarktet Testzentren als Franchise

Nachdem die Forschungsgruppe und die Journalisten von NDR, RBB und MDR das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Eventus Media International GmbH informiert hatten, wurde die Sicherheitslücke am 6. April geschlossen.

Wie tagesschau.de berichtet, habe sich die Eventus Media International GmbH als Betreiber der Testzentren gegenüber den Journalisten wie folgt geäußert:

Wir haben die Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können. Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tut uns leid, und wir entschuldigen uns bei den betroffenen Kunden.

Eventus Media International GmbH

Laut einem Unternehmenssprecher könnten „zwischen 6.000 und 7.000 Datensätze kompromittiert worden seien, die unberechtigt abgerufen bzw. heruntergeladen wurden“. Die betroffenen Kunden werden zurzeit entsprechend informiert.

BSI spricht von gravierender Sicherheitslücke

Der Präsident des BSI, Arne Schönbohm, sprach von einer "gravierenden" Sicherheitslücke, da sie nach derzeitigem Kenntnisstand leicht ausnutzbar gewesen sei und es zugleich um höchst persönliche Daten gehe.