SICON GmbH

Von Patrick KnafBeitrag gepostet am Beitrag gepostet in Neuigkeiten

136.000 Testergebnisse frei im Internet abrufbar

Die österreichische Softwarefirma Medicus hatte in ihrer Software „Safeplay“ eine Sicherheitslücke.  Safeplay wird in deutschen und österreichischen Corona-Testzentren eingesetzt. Mit ihr kann man online Termine buchen und die Ergebnisse seines Test anschließend auch online einsehen – und die anderer! Insgesamt waren 136.000 Testergebnisse von 80.000 Personen betroffen.

Die Sicherheitslücke wurde mittlerweile geschlossen. Aufgefallen ist diese Sicherheitslücke bei einem Besuch des Chaos Computer Clubs (CCC) in einem Berliner Testzentrum. Und erstaunlicherweise waren zur Einsicht der Testergebnisse und den hinterlegten Personendaten keine speziellen Kenntnisse notwendig. Man musste einfach nur die Internetadresse abändern. Damit die Test eindeutig zugeordnet werden können, wird diesen eine Nummer zugeordnet. Sein Testergebnis konnte man bequemerweise mit einer URL im Browser aufrufen. Die URL enthält dabei die Nummer des Test. Wurde diese Nummer jedoch manuell nach oben oder unten geändert, gelangte man auch zu anderen Testergebnissen. Neben dem Testergebnis waren auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer einsehbar.

Zudem ließ sich mit jedem Account ungehindert ein Dashboard für jedes Testzentrum einsehen. Dort wird verzeichnet, wann ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte. Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Fotos waren auch die Namen der Testpersonen vermerkt.

Betrieben wird der Berliner Testzentrum von 21dx, die von der Berliner Senatsverwaltung mit der Durchführung gebührenfreier Tests beauftragt wurde. 21dx arbeitet mit Medicus zusammen und setzt dementsprechend die Safeplay-Software ein. 21dx betreibt außerdem Testzentren in München, Mannheim, Frankfurt und Mühldorf am Inn sowie ein Impfzentrum in Schweinfurt.

Medicus versichert zwar, dass kein Zugriff stattgefunden habe. Überprüfen oder geschweigen denn beweisen, lässt sich diese Aussage nicht.

 

Quelle: https://www.heise.de/news/CCC-136-000-Corona-Testergebnisse-waren-samt-persoenlicher-Daten-frei-abrufbar-5991090.html

136.000 Testergebnisse frei im Internet abrufbar
Nach oben scrollen
error: Der Inhalt ist geschützt