Folgender Artikel ist uns auf Golem.de aufgefallen:

«Wieder hat es ein Datenleck bei einem Anbieter von Corona-Schnelltests gegeben. Entdeckt wurde die Sicherheitslücke erneut von der Projektgruppe Zerforschung. Demnach waren Daten wie Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, Testdatum und Testergebnisse von Tausenden Personen abrufbar.

Allein in Berlin und Hamburg waren jeweils rund 3.000 Datensätze abrufbar, in Leipzig gar 5.800. Insgesamt konnten am 6. April über 14.000 Tests von 10 Testzentren in verschiedenen Städten über die Webseite testcenter-corona.de abgerufen werden.

Der Anbieter Eventus Media International (EMI) hat diese Seite nicht von Grund auf selbst entwickelt, sondern setzt auf das bekannte Content Management System (CMS) WordPress. Dabei lassen sich die Testergebnisse mit einer zufällig erzeugten 10-stelligen, alphanumerischen ID abrufen.

Bei dem zuvor ebenfalls von Zerforschung aufgedeckten Datenleck beim Testzentrenbetreiber 21dx waren die IDs einfach aufsteigend durchnummeriert. Entsprechend konnten durch Abzug und Addition die Testergebnisse von anderen Personen eingesehen werden.

Allerdings bietet WordPress eine API, über die viele Inhalte einer Webseite maschinenlesbar abgerufen werden können. Das ermöglicht etwa die Nutzung einer WordPress-App. Zu den standardmäßig vorhandenen Inhaltstypen wie Blogposts, Seiten oder Kommentare können auch eigene definiert werden, die dann ebenfalls über die API abgerufen werden können.

EMI habe den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher für Terminbuchungen und Testzertifikate genutzt werde, erklärt Zerforschung. Für diese habe EMI aus unerklärlichen Gründen die API-Zugriffsmöglichkeit aktiviert. Entsprechend könnten alle Registrierungen inklusive der jeweils verwendeten zehnstelligen ID abgerufen werden.

Mit der Liste aller IDs lassen sich anschließend auch alle Testergebnisse inklusive der persönlichen Daten der Betroffenen abrufen. Ein Ratelimiting, also eine Begrenzung der Abfragen, habe es nicht gegeben, schreibt Zerforschung. Entsprechend sei es möglich gewesen, alle Testergebnisse abzurufen.

Die Forschergruppe meldete die Sicherheitslücke über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Unternehmen schloss die Lücke noch am selben Tag. Alle aktuellen Kunden hätten daraufhin neue IDs per E-Mail zugesandt bekommen, schreibt Zerforschung. Bis zur Veröffentlichung der Sicherheitslücke seien jedoch dem Projekt bekannte Kunden noch nicht über das Datenleck informiert worden.»

Wir finden das sehr beunruhigend und du?