Name, Adresse und alle Daten von Getesteten im Netz

Experten sprechen von einer "unverantwortlichen Fahrlässigkeit": Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer und das Corona-Testergebnis landeten aufgrund einer Sicherheitslücke offen im Internet. Betroffen sind mehr als 136.000 Corona-Testergebnisse von mehr als 80.000 Personen in österreichischen und deutschen Testzentren. Schuld sei laut den Sicherheitsforschern der Chaosgruppe "Zerforschung" das Wiener Start-up medicus.ai.

Dessen Dienst safeplay solle eigentlich eine "Rundum-Sorglos-Website" für Testzentren zur Verfügung stellen, die von der Terminbuchung bis zum Online-Testzertifikat alles beinhalte. Allerdings: Wer einen Account auf der Plattform angelegt hat, konnte ungehindert sämtliche Testergebnisse und personenbezogenen Daten anderer Nutzer einsehen, sagen die Sicherheitsexperten. Die URL für das Testergebnis enthielt die Nummer des Tests – wer einfach eine andere Nummern eintrug, bekam damit alle Daten des jeweils Getesteten serviert.

Ebenso konnte laut Experten "sekundengenau" eingesehen werden, wann in welchem Testzentrum ein Corona-Test gemacht wurde und was dabei herauskam. Das betroffene Start-up sprach gegenüber dem "Standard" zuerst von "lediglich sechs Personen", die betroffen waren, später von 5.774 Ergebnissen. Einen "weitreichenderen Zugriff" habe man unterbinden können, hieß es, die Zehntausenden Fälle wollte man nicht bestätigen. Und: Betroffene Nutzer sollen informiert worden sein.

"Für Testergebnisse von Freundinnen, auf die wir unter Ausnutzung der Sicherheitslücke zugegriffen haben, haben wir jedoch keine derartige Nachricht erhalten", sagt allerdings die Chaosgruppe "Zerforschung". Die österreichische NGO epicenter.works übernahm die Kommunikation mit dem für das Wiener Unternehmen zuständigen CERT.at: "Ziel war die schnelle Behebung, um die Daten der Kundinnen nicht weiter in Gefahr zu bringen", so die Experten.