Antigen-Schnelltest (Symbolbild): Testcenter mit großer Eile hochgezogen
Foto: Sebastian Gollnow / dpaDurch eine Sicherheitslücke in der Software eines Corona-Schnelltestanbieters konnten erneut Unbefugte auf Testergebnisse und andere sensible, personenbezogene Daten zugreifen. Entdeckt wurde die Schwachstelle durch das Hackerkollektiv »Zerforschung«. Der betroffene Anbieter Eventus Media International (EMI) aus Dortmund hat nach Angaben der IT-Experten die Lücke am 6. April geschlossen. Über den Vorfall hatten zuerst die ARD-Sender rbb, NDR und MDR berichtet.
Über die Lücke konnten nach Angaben von »Zerforschung« bundesweit mehr als 14.000 Registrierungen für Testtermine und die dazugehörigen Testergebnisse eingesehen werden, wie die Sicherheitsexpertinnen und -experten in einem Blog-Beitrag schreiben. In jeweils rund 3000 Fällen handelte es sich dabei demnach um Registrierungen inklusive hinterlegtem Testergebniss für Testzentren in Hamburg und Berlin, in knapp 5800 Fällen waren Leipziger Testergebnisse einsehbar.
Zusammen mit den Testergebnissen hätten Angreifer laut den IT-Experten auch ein PDF mit Daten wie Name, Anschrift oder Telefonnummer herunterladen können. In den ersten Medienberichten war von insgesamt rund 7000 einsehbaren Testergebnissen die Rede.
Diese Zahl konnte auch EMI bisher bestätigen, berichtet die ARD. Die Firma kündigte an, in den nächsten Tagen die betroffenen Kunden einzeln anzuschreiben und sie über den Vorfall zu informieren. Ein Unternehmenssprecher sagte, man habe »Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können.« Dass Hacker dennoch auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid, und man entschuldige sich bei den betroffenen Kunden, erklärte der Sprecher im Gespräch mit der ARD.
Sicherheitsforscher entdecken Lücke nach eigenem Corona-Test
Ein Mitglied von »Zerforschung« hatte sich selbst bei EMI auf Corona testen lassen und in diesem Zusammenhang das System zur Abfrage des eigenen Testergebnisses unter die Lupe genommen. Dabei stellte sich heraus, dass die Website technisch auf einer unzulänglich gesicherten Variante des Open-Source-Systems WordPress aufsetzte. Nach den Hinweisen des Hackerkollektivs an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde die Sicherheitslücke von dem Dortmunder Unternehmen kurzfristig geschlossen.
Mitte März war schon bei der Firma 21DX und ihrem Dienstleister Medicus AI eine Sicherheitslücke entdeckt worden, über die Daten von rund 130.000 Betroffenen abgerufen werden konnten.
hpp/dpa
