COVID-19-Testzentren sind momentan wohl die reinste Goldgrube, auf die sich zahlreiche Anwender stürzen. Kein Wunder, dass es jetzt den Verdacht auf Betrug gibt, dem Staatsanwaltschaften nachgehen. Aber auch mit der Sicherheit der Testergebnisse gegen Einsichtnahme durch Unbefugte ist es nicht soweit her.
Anzeige
Kürzlich hatte ich im Blog-Beitrag Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen über einen solchen Fall berichtet. Blog-Leser nook hat mich auf einen neuen Fall hingewiesen. Die White-Hat-Hacker von Zerforschung habe sich erneut Webseiten von COVID-19-Testzentren angesehen und sind nun bereits zum dritten Mal auf kaum geschützte Testergebnisse der Getesteten gestoßen.
Betroffen von dem Datenschutzvorfall sind mehr als 80.000 Testergebnisse von vier verschiedenen Firmen, die COVID-19-Testzentren betreiben. Alle Firmen nutzen die gleiche Software, die es durch Raten ermöglicht, auf Daten anderer Getesteter zuzugreifen. Das Hacker-Kollektiv Zerforschung bekam einen Tipp, sich ein deutschlandweit in Testzentren genutztes System, welches zudem auf der Google-Cloud und einem URL-Linkverkürzer mit Standort in der Karibik aufsetzt, man genauer anzusehen. Die Betreiber setzen dieses System in Berlin und München sowie in Ravensburg, Weingarten, Bad Waldsee und Markdorf ein.
Wer sich dort auf COVID-19 testen lässt, erhält im Anschluss eine SMS mit seinen Testergebnissen zugestellt. Die SMS enthält dabei eine, durch einen Linkverkürzer (URL-Shortlink) umgesetzte, kurze URL, über die sich die Ergebnisse des Tests abrufen lassen. Bei den URLs in der SMS gab es ein Namenschema: is.gd/ABC123, wobei ABC123> eine 6-stellige Kombination von Groß-, Kleinbuchstaben und Ziffern ist.
Die Verwendung von sechs Ziffern für den URL-Code eröffnet die Möglichkeit, die URLs mit vertretbarem Aufwand zu erraten und so auf Testergebnisse Dritter zuzugreifen. Auch die Verwendung des Link-Verkürzers is.gd in den SMS zum Abrufen eines Testergebnisses hat schon eine besondere Note. Da damit auf brisante Daten zugegriffen werden könnte, müsste sichergestellt sein, dass dieser Anbieter den Datenschutz einhält. Ist der Sitz außerhalb der EU, wird das kritisch – is.gd unterliegt dem Recht Großbritanniens. Und in den AGB verbietet der Dienst die Verwendung des Link-Verkürzers in kommerziellen E-Mails. SMS ist zwar etwas anderes, dürfte aber im Geiste in die gleiche Kategorie fallen. Scheint die Entwickler der Software-Lösungen für die Testzenten nicht gestört zu haben.
Bei der Analyse des Quellcodes der Seite für die Terminvereinbarung für COVID-19-Tests wurden das Hackerkollektiv fündig. Im Quellcode der Seite war ein API-Key für den E-Mail-Provider "Sendinblue" im Klartext angegeben. Der E-Mail-Provider "Sendinblue" wurde von den Betreibern der Testzentren zum Versand der Mails verwendet. Mit dem API-Key ließ sich die Liste aller jemals versendeten Mails vom E-Mail-Provider "Sendinblue" samt den E-Mail-Inhalten abrufen.
Eine Auswertung der Sicherheitslücken offenbarte, dass die Betreiber der COVID-19-Testzenten sehr sorglos und leichtsinnig mit dem Datenschutz der sensitiven Personendaten umgingen. Die Ergebnisse der Tests wurden z.B. als PDF in der Google-Cloud gespeichert. In obigem Screenshot wird offenbart, welche Daten über die Testergebnisse zugreifbar waren. Zudem enthält die Tabelle eine Übersicht, welche COVID-19-Testcenter-Betreiber mit wie vielen Datensätzen betroffen waren. Die Schwachstellen sind inzwischen zwar geschlossen, aber die Reaktionen auf die Meldung der Schwachstellen wird vom Hacker-Kollektiv als halbherzig eingestuft. Weitere Details lassen sich diesem Beitrag des Hacker-Kollektivs entnehmen.
2015
Ja. So sowas passiert, wenn man Ali in der Neukölllner Shisha-Bar ein Testcenter eröffnen lässt.