Name, Adresse und alle Daten von Getesteten im Netz

Ein Datenleck legte die privaten Daten Tausender Corona-Getesteter frei.
Ein Datenleck legte die privaten Daten Tausender Corona-Getesteter frei.Jens Büttner / dpa / picturedesk.com
Ein massives Datenleck hat so gut wie alle persönlichen Informationen von Corona-Getesteten ins Internet gespült. Betroffen sind über 80.000 Bürger.

Experten sprechen von einer "unverantwortlichen Fahrlässigkeit": Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer und das Corona-Testergebnis landeten aufgrund einer Sicherheitslücke offen im Internet. Betroffen sind mehr als 136.000 Corona-Testergebnisse von mehr als 80.000 Personen in österreichischen und deutschen Testzentren. Schuld sei laut den Sicherheitsforschern der Chaosgruppe "Zerforschung" das Wiener Start-up medicus.ai.

Dessen Dienst safeplay solle eigentlich eine "Rundum-Sorglos-Website" für Testzentren zur Verfügung stellen, die von der Terminbuchung bis zum Online-Testzertifikat alles beinhalte. Allerdings: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzer einsehen, sagen die Sicherheitsexperten. Die URL für das Testergebnis enthielt die Nummer des Tests – wer einfach eine andere Nummern eintrug, bekam damit alle Daten des jeweils Getesteten serviert.

"Ziel war die schnelle Behebung, um die Daten der Kundinnen nicht weiter in Gefahr zu bringen"

Ebenso konnte laut Experten "sekundengenau" eingesehen werden, wann in welchem Testzentrum ein Corona-Test gemacht wurde und was dabei herauskam. Das betroffene Start-up sprach gegenüber dem "Standard" zuerst von "lediglich sechs Personen", die betroffen waren, später von 5.774 Ergebnissen. Einen "weitreichenderen Zugriff" habe man unterbinden können, hieß es, die Zehntausenden Fälle wollte man nicht bestätigen. Und: Betroffene Nutzer sollen informiert worden sein.

"Für Testergebnisse von Freundinnen, auf die wir unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten", sagt allerdings die Chaosgruppe "Zerforschung". Die österreichische NGO epicenter.works übernahm die Kommunikation mit dem für das Wiener Unternehmen zuständigen CERT.at: "Ziel war die schnelle Behebung, um die Daten der Kundinnen nicht weiter in Gefahr zu bringen", so die Experten.

CommentCreated with Sketch. Jetzt kommentieren Arrow-RightCreated with Sketch.
Nav-Account rfi Time| Akt:
Corona-MutationCorona-ImpfungCorona-AmpelCoronatestCoronavirus

ThemaCreated with Sketch.Weiterlesen