Die Gruppe Zerforschung hat mehrere schwere Sicherheitslücken bei einem Anbieter für Covid-19-Tests aufgedeckt. Bei „Schnelltest Berlin“ funktionierten demnach sämtliche API-Funktionen weitgehend ohne Berechtigungsprüfung. Mit einem einfachen Benutzeraccount konnte man über einen API-Endpunkt die Daten aller Nutzer sowie deren Testergebnisse herunterladen. Die Adressen von knapp 400.000 Benutzern, inklusive Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie deren Testergebnisse – knapp 700.000 –konnte man einfach herunterladen.

Doch damit nicht genug: Es gelang den Mitgliedern von Zerforschung auch, sich selbst ein Testergebnis auszustellen. Zu Testzwecken erstellten sie einen negativen Coronatest für Robert Koch. Zerforschung hatte in der Vergangenheit bereits häufiger Sicherheitslücken bei Corona-Testzentren aufgedeckt. Die Gruppe zeigt sich sichtlich frustriert über den Umgang mit persönlichen Benutzerdaten.

„Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren – auch das ist ein wichtiger Teil des Datenschutzes“, schreibt Zerforschung in einem Blogpost. „Uns ist bewusst, dass die Datenschutzbehörden der Länder völlig überlastet sind und sich freuen, wenn die Firma, gegen die sie ermitteln, auch am Ende der Ermittlung noch existiert. Allerdings sind sie auch unsere letzte Hoffnung: Bitte verhängt endlich Strafen bei grob fahrlässigen Datenabflüssen – insbesondere im Gesundheitssektor.“

Autor des Artikels ist Hanno Böck.