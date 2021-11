Denise Bergert

Beim Schnelltestanbieter „Schnelltest Berlin“ sorgten schwere Sicherheitslücken dafür, dass Daten von privaten Nutzern eingesehen werden konnten.

Vergrößern Die Daten auf mein-schnelltest.com waren ungeschützt.

Die Sicherheitsexperten von Zerforschung haben mehrere schwere Sicherheitslücken im Online-System mein-schnelltest.com aufgedeckt , das in Berlin unter anderem von den Schnelltestanbietern schnelltestberlin.de oder den sogenannten Coronabikes genutzt wird.

Zerforschung hat sich das Online-System, über das Nutzer die Ergebnisse ihrer Corona-Schnelltests abrufen können, in Hinblick auf Sicherheitsvorkehrungen näher angeschaut. Mit wenigen Handgriffen gelang es den Sicherheitsexperten, das Online-System dazu zu bringen, eine Liste mit allen Personen auszuspucken, die auf der Plattform registriert sind, um ihr Testergebnis einzusehen. Von fast 400.000 Nutzern konnte das Zerforschung-Team so persönliche Daten wie Name, Geburtsdatum, Geschlecht, E-Mail-Adresse, Telefonnummer, Adresse und Pass- oder Ausweisnummer anzeigen lassen.

Mehr als 700.000 Testergebnisse offen im Internet

In einem zusätzlichen Feld ist zudem die Ordernummer hinterlegt, über die der Coronatest der jeweiligen Person bearbeitet wurde. Wird diese Ordernummer an die URL zum Download der Testergebnisse angehängt, können theoretisch die Testergebnisse von allen in der Datenbank registrierten Personen eingesehen werden. Auf diese Weise waren zeitweise bis zu 700.000 Testergebnisse offen im Internet zugänglich. Das Problem: Obwohl der Nutzer eingeloggt ist, überprüft der Server nicht, ob er berechtigt ist, nur seine eigenen Testergebnisse oder auch die der anderen Nutzer abzurufen.

Doch nicht nur das Abrufen von persönlichen Daten aller registrierten Nutzer sowie deren Testergebnisse war für die Sicherheitsexperten kein Problem – auch das Ausstellen neuer Testergebnisse gelang im Handumdrehen – komplett mit Name, Passnummer und gültigem BärCODE.

Entwickler informiert Nutzer nicht über Sicherheitslücken

Zerforschung hat nach den alarmierenden Entdeckungen umgehend den Entwickler des Online-Systems informiert. Die Sicherheitslücken wurden daraufhin innerhalb kurzer Zeit geschlossen. Das gefälschte Testergebnis von den Sicherheitsexperten wurde dabei jedoch schlicht übersehen und benachrichtigt wurden die betroffenen Kunden über die Sicherheitslücken ebenfalls noch nicht.

Zerforschung zeigt sich eigenen Angaben zufolge „fassungslos, wie fahrlässig hier mit den persönlichen Daten von hunderttausenden Menschen umgegangen wird.“ Erklären die Sicherheitsexperten in einem Blog-Beitrag. „Wer eine solche Software anbietet, muss dafür sorgen, dass diese läuft, ohne Daten zu verlieren – auch das ist ein wichtiger Teil des Datenschutzes. Wenn eine Software marktreif genug ist, um Kunden-Daten zu speichern, muss sie auch reif genug sein, diese Daten für sich zu behalten.“