Zehntausende Kundendaten betroffen Hacker stoßen erneut auf Sicherheitslücken bei Corona-Testzentren

Knapp 174.000 Buchungsbestätigungen und Testergebnisse aus 34 Testzentren von Coronapoint ließen sich ohne großen Aufwand von Unbefugten abrufen. Sie enthielten Namen, Adressen und mitunter auch Ausweisnummern.
Corona-Antigentest: »Gravierendes IT-Sicherheits- und Datenschutzproblem«

Corona-Antigentest: »Gravierendes IT-Sicherheits- und Datenschutzproblem«

Foto: Sebastian Gollnow / dpa

Zum mittlerweile fünften Mal hat das Hackerkollektiv »Zerforschung« Schwachstellen in der Software eines Corona-Testzentrumbetreibers entdeckt. So gravierend wie im Fall von Coronapoint war es aber zuvor nie: Die Sicherheitsexpertinnen und -experten konnten rund 174.000 unzureichend gesicherte Buchungsbestätigungen und Testergebnisse aus den 34 Testzentren in vier Bundesländern einsehen – nach eigenen Angaben ohne größeren Aufwand. Die Dokumente enthielten Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, zum Teil sogar Ausweisnummern und auch die Testergebnisse selbst. Solche Daten könnten zum Beispiel für Identitätsdiebstahl und Betrug missbraucht werden.

Der Betreiber der Coronapoint-Testzentren ist die Firma PAS Solutions aus Köln. Sie räumte auf Anfrage der »Süddeutschen Zeitung« und dem WDR auch ein, dass die Sicherheitslücke für zehn Tage bestanden habe . Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge handelte es sich um ein »gravierendes IT-Sicherheits- und Datenschutzproblem«.

Im Detail waren es gleich mehrere Probleme: Die Software von Coronapoint verschickte die Passwörter zum Zugriff auf die Testergebnisse im Klartext. Dabei handelte es sich um vierstellige Passwörter, die nur aus den Ziffern und Buchstaben 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, A, B, C, D, E und F bestanden. Diese wären von Angreifern entsprechend trivial zu knacken gewesen. Die Software vergab zudem einfache, aufsteigende und damit leicht zu erratende Buchungsnummern. Dies erleichterte die massenhafte Abfrage von Kundendaten. Laut »Zerforschung« wurden die Betroffenen auch nach einer Woche noch nicht von PAS über die Schwachstellen informiert. Zudem behauptete der Testzentrumsbetreiber zweimal fälschlich, alle Lücken geschlossen zu haben.

Die Mitglieder von »Zerforschung« schrieben in ihrem Blog : »Aus unserer Sicht darf das nicht sein, dass sich die Mehrheit der Testzentren nicht an Gesetze halten – und dass das von Ehrenamtlichen aufgedeckt werden muss, weil in den zuständigen öffentlichen Stellen die Ressourcen fehlen, um dies zu kontrollieren. Denn wo Kontrollen fehlen, gib es auch keine Konsequenzen, und so scheint der Datenschutz auch die Betreiber der Testzentren nicht zu interessieren.«

pbe
Mehr lesen über
Die Wiedergabe wurde unterbrochen.