Kollektiv Zerforschung

Datenleck in Corona-Testzentrum

9. April 2021, 13:10 Uhr | Selina Doulah
Das Kollektiv Zerforschung hat ein Datenleck in Corona-Testzentren entdeckt.
© Pixabay

In mehreren Testzentren sind personenbezogene Daten einschließlich der Testergebnisse abrufbar gewesen. Zwar wurde die Sicherheitslücke inzwischen geschlossen, doch ob alle 14.000 Betroffenen bereits davon erfahren haben, ist bislang unklar.

Das Kollektiv Zerforschung hat ein Datenleck in Corona-Testzentren entdeckt.

Der Anbieter Eventus Media International (EMI) betreibt unter anderem in Leipzig, Berlin, Hamburg, Schwerte und Dortmund Corona-Testzentren unter der Marke »testcenter-corona.de« und bietet Software und Infrastruktur als Franchise-Modell an.

Das Unternehmen nutzt für seine Website den Open-Source-Anbieter Wordpress, auf der sich Kunden zum Testen auf Covid-19 registrieren können. Darüber erhalten sie auch die Ergebnisse – verschlüsselt. Jedoch ließ sich diese Verschlüsselung, ein zehnstelliger Abrufcode, auslesen. Grund dafür ist eine API-Schnittstelle, die EMI auf der Wordpress-Seite für die Registration selbst eingebaut und die Zugriffsmöglichkeit darauf aktiviert ließ. So sind die Codes zu den Registrierungen abrufbar gewesen, wodurch man auch auf die Ergebnisse und die dahinterstehenden personenbezogenen Daten manuell zugreifen konnte. Auch eine Massenabfrage der Daten aufgrund fehlendem Rate-Limiting sei laut dem Kollektiv möglich gewesen.

Anbieter zum Thema

zu Matchmaker+

Härtere Strafen gefordert

Nachdem das Kollektiv aus IT-Forschenden das Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte, benachrichtigte dieses wiederrum den Datenschutzbeauftragten von EMI.

Die Sicherheitslücke wurde am gleichen Tag, den 6. April geschlossen. Bis dahin waren laut Zerforschung 14.000 getestete Personen betroffen gewesen. Das Kollektiv, das auf die Lücke gestoßen ist, weil ein Forscher dieser IT-Gruppe selbst in einem der Testzentren Kunde war, ist sich sicher, dass noch immer nicht alle Betroffenen über diesen Vorfall unterrichtet wurden.

Das Kollektiv Zerforschung fordert Datenschutzbehörden zu härteren Strafen gegen solche Verstöße auf und zum Zwang von Unternehmen zur Aufklärung jedes einzelnen Betroffenen.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu WEKA FACHMEDIEN GmbH

Weitere Artikel zu Betriebs-Sicherheit

Weitere Artikel zu ARD Play Out Center Potsdam ARD Digital Kommunikation & Marketing

Matchmaker+