20210318 Schnelltests legen persönliche Daten offen

18.03.2021 Schnelltests legen persönliche Daten offen

"Daten sammeln mit Corona"

Eigentlich wollte man nur ein wenig mehr Gewissheit, dass man "negativ" sei - aber man wolte eigentlich nicht, dass das die ganze Welt erfährt. Vor allem sollen sicher nicht alle erfahren, wie ängstlich man ist und wie oft man so einen Schnelltest in den letzten Wochen gemacht hat.

Dazu kommt die unangenehme Tatsache, dass man mit einem großen Berg seiner persönlichen Daten im Netz sichtbar geworden ist:

Vorname
Nachname
Geschlecht
Adresse
- Straße
- Hausnummer
- Postleitzahl
- Ort
Geburtsdatum
Staatsbürgerschaft
Mobilfunknummer
E-Mail-Adresse
Probentyp
Datum und Uhrzeit der Probenahme
Datum und Uhrzeit der Ergebnisbereitstellung
Befund
Optional: Reisepass/Ausweis-Nummer
Optional: Abweichender Aufenthaltsort in den nächsten zwei Wochen
- Straße
- Hausnummer
- Postleitzahl
- Ort

Wo gibt es denn diese vielen Daten zu sehen?

Wie das Bundesamt für Sicherheit in der Informationstechnik(BSI) feststellte, konnte man mit etwas Browser-Wissen alle diese Daten aus dem Browser auslesen, wenn man auf die Seite des Berliner Schnelltest-Zentrums 21dx ging. Mit einer kleinen Veränderung der UUID in der URL war es dann möglich, für andere getestete Person diese Art Attest abzurufen.

Sicherheitsforscher von "Zerforschung" und dem CCC sind der Meinung, dass man auf Ergebnisse und die zugehörigen Daten von bis zu 136.000 Tests zugreifen konnte. Denn 21DX betreibt auch Standorte in anderen Teilen Deutschlands. Außerdem stammt die fehlerhafte Datenbank wohl von der Firma Medicus AI, die auch in Österreich tätig ist.

Dieser Fehler ist inzwischen behoben - warten wir auf die nächste Datenpanne ...

Mehr dazu bei https://www.rbb24.de/politik/thema/corona/beitraege/2021/03/berlin-datenleck-schnelltests-21dx-medicus-ai.html
und https://zerforschung.org/posts/medicus