Anzeige
Anzeige
News
Artikel merken

Schon wieder Sicherheitslücken bei Corona-Testzentren

Auf rund 174.000 Buchungsbestätigungen und Testergebnisse aus 34 Testzentren von Coronapoint konnten die Sicherheitsexperten des Teams Zerforschung mit wenig Mühe unbefugt zugreifen. Sie fanden Namen, Adressen und sogar Ausweisnummern.

2 Min. Lesezeit
Anzeige
Anzeige
So schnell wie die Tests gemacht werden, wurde offenbar auch die Software entwickelt. (Bild: Damir Sencar / Shutterstock)

Die Betreiber von Corona-Testzentren arbeiten offenbar mit Software, die mit der heißen Nadel gestrickt ist. Schon zum fünften Mal konnte das Hacker-Kollektiv „Zerforschung“ auf Daten zugreifen, indem sie konzeptionelle Schwächen des jeweiligen Software-Konzepts ausnutzten. Ein echtes „Hacken“ war dazu gar nicht erforderlich. Coronapoint gab die Daten allzu leicht her.

Wenn die Verwaltungs-Software mit der heißen Nadel gestrickt ist

Anzeige
Anzeige

34 Testzentren in vier Bundesländern betreibt die Kölner Firma PAS Solutions unter dem Namen Coronapoint. Entsprechend viel Durchsatz entsteht und entsprechend viele Daten werden gespeichert. Davon konnte sich das Team von Zerforschung unkompliziert selbst überzeugen.

In einem ausführlichen Blogbeitrag schildern die Sicherheitsexpertinnen und -experten ihre Vorgehensweisen und die vielfachen Reaktionen des Betreibers, der – wie sich herausstellte – die gemeldeten Probleme nur zögerlich und wiederum mit der heißen Nadel behoben hatte.

Anzeige
Anzeige

Mangelnder Datenschutz ermöglicht Identitätsdiebstahl und andere Formen von Betrug

Auf insgesamt rund 174.000 unzureichend gesicherte Buchungsbestätigungen und Testergebnisse konnte das Zerforschung-Team zugreifen. Die Dokumente enthielten Namen, Adressen, Geburtsdaten, Telefonnummern und E-Mail-Adressen. Hatten Nutzende das Feld ausgefüllt, was wohl bei vielen der Fall war, fanden sich sogar die Ausweisnummern und letztlich die Testergebnisse selbst. Böswillige Angreifer hätten damit einen stattlichen Datenbestand, anhand dessen sie Identitätsdiebstahl und andere Betrugsdelikte hätten begehen können.

Anzeige
Anzeige

Coronapoint hat inzwischen bestätigt, dass die Sicherheitslücke für zehn Tage bestanden habe. Wer allerdings den Bericht von Zerforschung liest, kommt nicht umhin, hier strukturelle Mängel in der Konzeptionierung der Software zu erkennen. Daher scheint kaum glaubhaft, dass die Lücken nur über zehn Tage bestanden haben sollen.

So unsicher war die Datenhaltung bei Coronapoint

Denn tatsächlich hatte Coronapoint mehrere Probleme. Zuerst hatten die Zerforscher aufgedeckt, dass die verwendeten Passwörter für den Zugriff auf den Nutzer-Account rein vierstellig und rein alphanumerisch waren. Die wären somit einfach zu knacken gewesen. Das aber musste nicht einmal geschehen. Es reichte schon, eine korrekte E-Mail-Adresse einzugeben, auf „Passwort vergessen“ zu klicken und den dann entstehenden Datenverkehr mitzulesen. Coronapoint verschickte die Passwörter unmittelbar im Klartext.

Anzeige
Anzeige

Zudem vergab die Software einfache, aufsteigend gezählte, also leicht zu erratende Buchungsnummern. Damit gelang es den Zerforschern, massenhaft Kundendaten abzufragen. Das funktionierte sowohl für den Bereich der Testergebnisse wie auch für den Bereich der Buchungsbestätigungen und das sogar noch, nachdem die Schwachstellen über das BSI (Bundesamt für Sicherheit in der Informationstechnik) an den Betreiber gemeldet worden waren und dieser bestätigt hatte, alle Probleme beseitigt zu haben.

Zerforscher entsetzt, fordern Politik zum Handeln auf

Vor allem in Anbetracht des laxen Umgangs des Betreibers mit den gemeldeten Problemen, fordert das Zerforschung-Team die Politik auf, für mehr Personal bei den Datenschutzbehörden zu sorgen. So sei etwa in Berlin für über 1.300 Testzentren eine einzelne Person zuständig. Das könne schlicht nicht funktionieren.

Sie beklagen sich: „Aus unserer Sicht darf das nicht sein, dass sich die Mehrheit der Testzentren nicht an Gesetze halten – und dass das von Ehrenamtlichen aufgedeckt werden muss, weil in den zuständigen öffentlichen Stellen die Ressourcen fehlen, um dies zu kontrollieren. Denn wo Kontrollen fehlen, gib es auch keine Konsequenzen, und so scheint der Datenschutz auch die Betreiber der Testzentren nicht zu interessieren.“

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige