Durch eine ungeschützte Online-Schnittstelle, die mehrere Berliner Corona-Testanbieter gemeinsam nutzten, waren persönliche Daten von mehreren hunderttausend Personen im Internet offen abrufbar. Von dem massiven Datenleck betroffen waren personenbezogene Informationen wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und das Ergebnis der Getesteten. In einigen Fällen waren auch die Nummern von Personalausweis oder Pass der Betroffenen dabei.
Die Sicherheitslücke bei den Zentren, die sich unter dem Namen "Schnelltest Berlin" zusammengeschlossen hatten, entdeckte das IT-Kollektiv "Zerforschung". Diesem zufolge prüfte der Server über https://corona-api.de/ nicht, ob ein abgerufenes Testergebnis das der zugehörigen Person ist. Anhand der Personenliste schätzen die IT-Sicherheitsexperten, dass fast 700.000 Testergebnisse von rund 400.000 Kunden abrufbar gewesen seien. Die Berliner Landesdatenschutzbehörde ging auf Nachfrage des rbb zunächst von über 200.000 Betroffenen aus.
Die Firma WeCare Services betreibt die IT-Infrastruktur für die Anbieter von "Schnelltest Berlin". Die Sicherheitslücken seien inzwischen geschlossen, erklärte das Unternehmen. Man plane Ende kommender Woche, die Betroffenen zu informieren. Neben 15 Testzentren in der Hauptstadt, die unter dem Verbundnamen auftreten, gehören zu dem Zusammenschluss auch mobile Corona-Bike-Testpunkte, auf die oft Event-Veranstalter und Clubs setzen. Die Zerforscher hatten zuvor bei einigen anderen Testanbietern ebenfalls Schwachstellen aufgedeckt.
Quelle: heise
Die Sicherheitslücke bei den Zentren, die sich unter dem Namen "Schnelltest Berlin" zusammengeschlossen hatten, entdeckte das IT-Kollektiv "Zerforschung". Diesem zufolge prüfte der Server über https://corona-api.de/ nicht, ob ein abgerufenes Testergebnis das der zugehörigen Person ist. Anhand der Personenliste schätzen die IT-Sicherheitsexperten, dass fast 700.000 Testergebnisse von rund 400.000 Kunden abrufbar gewesen seien. Die Berliner Landesdatenschutzbehörde ging auf Nachfrage des rbb zunächst von über 200.000 Betroffenen aus.
Impf-Zertifikat für Robert Koch
Im Quellcode entdeckten die Experten zudem die Endpunkte, über die Mitarbeiter einen neuen Test im System anlegen und das Testergebnis speichern können. Der Server überprüfte auch hier keine Berechtigung. Die Hacker machten die Probe aufs Exempel und generierten einen PCR-Test mit negativem Ergebnis für den 177-jährigen Robert Koch. Das ausgegebene Zertifikat enthielt sogar einen BärCODE als vermeintliches Sicherheitsmerkmal, der bei einem Scan mit der zugehörigen Prüf-App auch als gültig erkannt wurde.Die Firma WeCare Services betreibt die IT-Infrastruktur für die Anbieter von "Schnelltest Berlin". Die Sicherheitslücken seien inzwischen geschlossen, erklärte das Unternehmen. Man plane Ende kommender Woche, die Betroffenen zu informieren. Neben 15 Testzentren in der Hauptstadt, die unter dem Verbundnamen auftreten, gehören zu dem Zusammenschluss auch mobile Corona-Bike-Testpunkte, auf die oft Event-Veranstalter und Clubs setzen. Die Zerforscher hatten zuvor bei einigen anderen Testanbietern ebenfalls Schwachstellen aufgedeckt.
Quelle: heise