Lücke inzwischen geschlossen
BUGA Erfurt: Datenleck in Corona-Teststation
Teilen auf
Datenschutz nicht ganz so ernst genommen: Im Schnelltestzentrum der BUGA Erfurt waren Besucherdaten über Wochen online einsehbar. Mittlerweile ist das Leck geschlossen.
Jena. Wer die BUGA Erfurt 2021 besuchen will, muss einen Negativtest vorweisen. Hierzu wird unter anderem ein Schnelltestzentrum in der Messehalle 3 betrieben. Besucher können vorab über eine Webseite einen Termin buchen und erhalten per SMS sowie über eine E-Mail eine Bestätigung mit einer Buchungsnummer.
Bis Anfang Mai 2021 enthielt diese Buchungsnummer eine fortlaufende Zahl. Mithilfe dieser Zahl konnten Besucher die eigene Buchungsbestätigung einsehen. Wer in der Lage war, eine Addition oder Subtraktion durchzuführen, konnte somit jedoch auch auf andere Buchungsdaten zugreifen.
Auf diese Weise waren alle Daten seit Inbetriebnahme einsehbar. Namen, Termine und die Art des Tests lagen so offen im Web.
„Schon beim ersten Blick auf die SMS und Mail war uns schnell klar, dass es um die IT-Sicherheit nicht gut bestellt war“, sagte Marcel Pennewiß vom Verein zur Förderung von Technikkultur in Erfurt e. V., der die Sicherheitslücke per Zufall entdeckt hatte, als er selbst samt Begleitung die BUGA besuchen wollte.
„Das zeigt erneut, wie fahrlässig mit persönlichen Daten umgegangen wird. Vertrauen in die Maßnahme schafft man so nicht“.
Meldungen beim Betreiber blieben unbeantwortet
Damit aber nicht genug. Auch die PDF-Datei mit dem Ergebnis des Tests ließ sich einfach raten. Die Seriennummer bestand aus zwei Buchstaben und einer sechsstelligen Zahl. Die Zahl wurde wieder einfach nur hochgezählt. Einer der Buchstaben wurde geändert.
Mit diesem Wissen hätte jeder die Testergebnisse mit Angabe der vollständigen Adresse und dem Geburtsdatum von knapp 3000 Menschen einfach so herunterladen können.
Der Verein versuchte, diese Schwachstellen schnellstmöglich an den Betreiber der Webseite sowie an weitere Stellen zu melden. Jedoch führten sowohl die E-Mail-Adresse als auch die Telefonnummer ins Leere. Ein zwischenzeitlich erreichter Fliesenleger sei sich keiner Schuld bewusst gewesen.
Erst die Einschaltung der Datenschutzbehörden schien erfolgreich zu sein. Vier Tage nach der Meldung lagen die Daten nicht mehr offen im Web. Es werden zufällige Werte verwendet und auch die alten Daten wurden entfernt.
„Die Webseite hatte nicht einmal grundlegende Regeln der IT-Sicherheit umgesetzt“, sagt Jens Kubieziel vom Hackspace Jena e. V. „Gerade bei so sensiblen Daten wie Testergebnissen wäre zu erwarten, dass die Betreiber mit besonderer Sorgfalt arbeiten. Leider war hier nichts davon zu erkennen“.
Quelle: Hackspace Jena e. V.
