IT-Aktivisten haben eine eklatante Sicherheitslücke in der Datenbank eines Corona-Testzentren-Betreibers gefunden. Damit waren persönliche Daten wie Adresse und Telefonnummer von Getesteten frei abrufbar.

Testen, Testen, Testen – diese Devise hört man derzeit überall, wenn es um die erfolgreiche Bekämpfung der Corona-Pandemie geht. Entsprechend entstehen seit einigen Wochen immer mehr private Testzentren, wo Bürger sich schnell und unkompliziert auf eine Covid–Infektion testen lassen können.

Wer sich testen lassen will, meldet sich meist mit Namen, Adresse und Telefonnummer an, das Ergebnis gibt es oft direkt per E-Mail. Damit liegen bei den Zentren etliche sensible Daten ihrer Kunden vor. Doch während die Schutzmaßnahmen gegen eine Corona-Infektion vor Ort meist vorbildlich sind, sieht es bei den Schutzmaßnahmen der sensiblen Daten oft katastrophal aus.

Das beweist aktuell wieder eine Entdeckung, die die IT-Aktivisten der Gruppe Zerforschung eher zufällig gemacht haben. Ein Mitglied machte selbst einen Corona-Test, erhielt per E-Mail einen Link zum Testergebnis – und wurde misstrauisch.

Eine Analyse des Links zeigte erschreckend schnell: Offenbar hatten die Betreiber – Eventus Media International EMI – bei der Umsetzung der Ergebnisabrufmöglichkeiten grob geschlampt.

Wer sich ein wenig mit der weit verbreiteten WordPress-Architektur auskennt, konnte mit wenig Aufwand die komplette Liste der zehnstelligen Abrufcodes für die Testergebnisse herunterladen.

Diese Codes ließen sich auf der Website eingeben um daraufhin nicht nur das Testergebnis, sondern in einem zweiten Schritt auch alle dazu gespeicherten Daten abrufen zu können – darunter Name, Adresse, Geburtsdatum, E-Mail-Adresse und Telefonnummer.

Tatsächlich sollen laut Zerforschung . Registrierungen aus Berlin, Dortmund, Hamburg, Leipzig und Schwerte betroffen sein, bei . davon war zudem das bereits vorliegende Testergebnis abrufbar.

Aufgrund der höchst sensiblen Daten, die von Betroffenen hier offen lagen, wendete sich das IT-Kollektiv direkt an das Bundesamt für Sicherheit in der Informationstechnik BSI, welches den Betreiber EMI umgehend informierte.

Laut Zerforschung war die Sicherheitslücke nach der Meldung durch das BSI noch am selben Tag geschlossen. Zudem können Testergebnisse nicht mehr nur mit Hilfe des zehnstelligen Codes abgerufen werden. Es muss jetzt zusätzlich auch der zugehörige Name und die passende E-Mail-Adresse eingegeben werden, damit die Ergebnisse abgerufen werden können.

Angesichts der großen Zahl neu entstehender Testanbieter, steht zu befürchten, dass dies längst nicht der letzte derartige Fall gewesen sein wird.