Weitere Lücke mit Daten in Corona-Testzentren entdeckt

Nachdem Bekanntwerden von Datenlecks in über 100 Testzentren, ist nun eine weiter Lücke aufgetreten. Es sollen mehr als 14.000 Covid-19-Testergebnisse online frei einsehbar sein.

Nächste Datenlücke

Mitte März hatte der Chaos Computer Club im Netz bereits 136.000 Testergebnisse gefunden. Nun sind wieder Daten von 14.000 COVID-19-Testergebnissen im Netz für jeden einzusehen. Durch die Entdeckung der weiteren Lücken wird klar, dass es mit Datenschutz nicht weit her ist. Nach Informationen trat diese Sicherheitslücke in mehreren Testzentren von testcenter-corona.de auf. Durch die Sicherheitslücke konnten die Sicherheitsforscher der Initiative „Zerforschung“ auf mehr als 25.000 Registrierungen und damit auf über 14.000 Testergebnisse ohne Probleme zugreifen.

Lücke durch WordPress-API

Grund für das Datenleck war eine schwerwiegende Sicherheitslücke in einer WordPress-API, durch welche der Zugriff auf die hochsensiblen Daten spielend einfach möglich war. Nach den Informationen der Sicherheitsforscher ist das Datenleck „hausgemacht“ und folgt durch eine falsche Konfiguration der Custom Post Type. Dieser wurde mit allen Daten für die öffentliche API freigeschaltet. In der Verantwortung steht hier die Eventus Media International GmbH (EMI) als Seitenbetreiber. Für die Webseiten der Testzentren hat EMI den eigenen Inhaltstypen Registration für die Schnelltest-Registrierungen angelegt. Dieser bildet die Terminbuchungen und die Testzertifikate ab. Aus unerklärlichen Gründen für die Sicherheitsforscher war die API-Zugriffsmöglichkeit aktiviert, so waren damit alle Registrierungen einfach darüber abrufbar.

Abgesehen von den Testergebnissen inklusive der Testart und des Datums der Testung von den getesteten Betroffenen, waren unter den öffentlichen Daten unter anderen Name, Vorname, Anschrift, Aufenthaltsort, E-Mail-Adressen, Telefonnummern und die Geburtsdaten einsehbar. Für die Aufdeckung der Datenschutzverletzung haben die Aktivisten mit Journalisten von MDR, NDR und RBB zusammengearbeitet. Die Datenlücke betraf dabei fünf Testzentren von testcenter-corona.de, davon je eines in Berlin, Leipzig, Hamburg, Schwerte und Dortmund.

Datenleck geschlossen

Die Sicherheitsforscher und die Journalisten haben das Bundesamt für Sicherheit und Informationstechnik (BSI) und die EMI über die Lücke informiert, woraufhin diese die Sicherheitslücke am 6. April schließen konnten. Ein Unternehmenssprecher der EMI gab bekannt, das „zwischen 6.000 und 7.000 Datensätze kompromittiert worden seien, die unberechtigt abgerufen bzw. heruntergeladen wurden“ und entschuldigte sich für die Sicherheitslücke. Die betroffenen Personen werden zur Zeit entsprechend informiert.

Das BSI sieht in dem Datenleck eine „gravierende Sicherheitslücke“. Nach dem derzeitigen Wissensstand war die Lücke sehr leicht auszunutzen und es ging eben um hochsensible Daten.