Mehr als 130.000 Corona-Testergebnisse und die dazugehörigen persönlichen Daten haben einem Bericht zufolge ungeschützt im Internet gestanden. Es seien mindestens 136.000 Datensätze betroffen gewesen, berichteten die „Süddeutsche Zeitung“ (Online), der RBB und die Wiener Zeitung „Der Standard“ am Donnerstag. Sie beriefen sich auf eine Analyse eines Kollektivs von IT-Experten namens Zerforschung und des Chaos Computer Clubs (CCC).
Zusammen mit den Ergebnissen der Schnelltests waren demnach jeweils eindeutig identifizierende Daten wie Name, Adresse, Staatsbürgerschaft, Mobilfunknummer, Geschlecht, E-Mail-Adresse und in einigen Fällen die Ausweisnummer im Internet zu finden. Unbefugte hätten die Daten als PDF herunterladen können.
Dazu mussten sie sich den Berichten zufolge nur ein Konto bei einem Testzentrum erstellen und ihren Internet-Browser trickreich nutzen. Über eine zweite Sicherheitslücke waren demnach Statistiken über die aktuellen Zahlen der positiven und negativen Ergebnisse in den Zentren einsehbar, sowie mit etwas Aufwand Fotos der QR-Codes, die Getestete erhalten, samt Testergebnis. Beide Sicherheitslücken seien in der vergangenen Woche geschlossen worden, berichteten die drei Medien.
Die Sicherheitslücken klafften demnach in der Software Safeplay des österreichischen Unternehmens Medicus AI. Das Programm werde in Testzentren benutzt, um Termine zu vergeben und den Getesteten ihre Ergebnisse digital zugänglich zu machen. Betroffen seien vor allem Testzentren eines bestimmten Betreibers, unter anderem in München, Berlin, Mannheim und im österreichischen Klagenfurt.
Nach der Entdeckung der Lücken schalteten die IT-Experten von Zerforschung und CCC den Berichten zufolge das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein, das wiederum Medicus AI informiert habe. Die „Süddeutsche Zeitung“ zitierte das Unternehmen mit den Worten, die Sicherheitslücke sei „durch einen Fehler in einem Update der Software von Mitte Februar“ entstanden. Das BSI erklärte dem Blatt zufolge, ihm lägen „derzeit keine Anhaltspunkte dafür vor, dass die Schwachstelle missbräuchlich ausgenutzt worden ist“.