Zerforschung deckt Lücken auf: Schnittstelle für Coronatests schutzlos im Netz

In Sachen IT-Sicherheit sieht es bei Corona-Testzentren schlecht aus – wie die Gruppe Zerforschung regelmäßig dokumentiert. (Foto: Shutterstock-Jarun Ontakrai)
Die Gruppe Zerforschung hat mehrere schwere Sicherheitslücken bei einem Anbieter für Covid-19-Tests aufgedeckt. Bei „Schnelltest Berlin“ funktionierten demnach sämtliche API-Funktionen weitgehend ohne Berechtigungsprüfung. Mit einem einfachen Benutzeraccount konnte man über einen API-Endpunkt die Daten aller Nutzer sowie deren Testergebnisse herunterladen. Die Adressen von knapp 400.000 Benutzern, inklusive Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie deren Testergebnisse – knapp 700.000 –konnte man einfach herunterladen.
Doch damit nicht genug: Es gelang den Mitgliedern von Zerforschung auch, sich selbst ein Testergebnis auszustellen. Zu Testzwecken erstellten sie einen negativen Coronatest für Robert Koch. Zerforschung hatte in der Vergangenheit bereits häufiger Sicherheitslücken bei Corona-Testzentren aufgedeckt. Die Gruppe zeigt sich sichtlich frustriert über den Umgang mit persönlichen Benutzerdaten.
„Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren – auch das ist ein wichtiger Teil des Datenschutzes“, schreibt Zerforschung in einem Blogpost. „Uns ist bewusst, dass die Datenschutzbehörden der Länder völlig überlastet sind und sich freuen, wenn die Firma, gegen die sie ermitteln, auch am Ende der Ermittlung noch existiert. Allerdings sind sie auch unsere letzte Hoffnung: Bitte verhängt endlich Strafen bei grob fahrlässigen Datenabflüssen – insbesondere im Gesundheitssektor.“
Autor des Artikels ist Hanno Böck.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team