CCC: 136.000 Corona-Testergebnisse waren samt persönlicher Daten frei abrufbar
Wer zählen konnte, konnte Ergebnisse und persönliche Daten Fremder abrufen. Über 80.000 Deutsche und Österreicher waren gefährdet. Nun ist das Leck abgedichtet.
(Bild: triocean/Shutterstock.com)
Nach Angaben des Chaos Computer Clubs (CCC) gab es eine Sicherheitslücke in einer Software namens Safeplay für Test- und Impfzentren. Safeplay wird in Deutschland und Österreich im Rahmen der Coronavirus-Bekämpfung genutzt. Durch einfache Veränderung der URL konnten registrierte Nutzer auf Corona-Testergebnisse und persönliche Daten anderer Anwender zugreifen. Betroffen waren laut CCC 136.000 Testergebnisse und Daten von mehr als 80.000 Personen.
Der Software-Anbieter, die Wiener Firma Medicus, hat die Sicherheitslücke nach eigenen Angaben mittlerweile geschlossen. Dank Safeplay können online Termine gebucht und Ergebnisse eingesehen werden. Sobald sich ein Interessent registriert hat, kann er seine Daten abrufen – und bislang auch Daten anderer.
Anfängerfehler war leicht auszunutzen
Wie der CCC nach einem Besuch eines Berliner Testzentrums entdeckt hat, ließen sich die Daten und Corona-Testergebnisse auch von anderen registrierten Kunden durch eine einfache, manuelle Änderung der Safeplay-Internetadresse abrufen. Die URL für die sogenannten "Testzertifikate" enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, waren die Ergebnisse und Daten anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.
Darüber hinaus ließ sich ein mit jedem Account ungehindert zugängliches Dashboard für jedes Testzentrum einsehen. Dort wird verzeichnet, wann ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Fotos waren auch die Namen der Testpersonen vermerkt.
Das Berliner Testzentrum wird von der 21dx GmbH betrieben, die von der Berliner Senatsverwaltung mit der Durchführung gebührenfreier Tests beauftragt wurde. 21dx arbeitet mit Medicus zusammen und setzt dementsprechend die Safeplay-Software ein. 21dx betreibt außerdem Testzentren in München, Mannheim, Frankfurt und Mühldorf am Inn sowie ein Impfzentrum in Schweinfurt.
Sicherheitslücke nach CCC-Alarm abgedichtet
Nachdem Medicus über die Schwachstellen informiert wurde, hat das Unternehmen nach eigenen Angaben die Schwachstellen behoben. Es ist allerdings nicht bekannt, ob diese Sicherheitslücke zuvor bereits von anderen Personen ausgenutzt wurde. Medicus versichert zwar, dass kein unberechtigter Zugriff stattgefunden habe, aber überprüfen lässt sich das nicht.
"Dies ist nicht die erste und sicherlich nicht die letzte Sicherheitslücke in hastig gebastelter Corona-IT", erklärte Linus Neumann vom Chaos Computer Club. Er wirft Gesetzgebern, Behörden sowie Unternehmen Fahrlässigkeit vor: "Wenn schon bei so einfachen Aufgaben katastrophale Anfängerfehler passieren, sollten die Verantwortlichen erst mal ihre Hausaufgaben machen."
(fds)