Datenleck bei Wiener Startup Medicus AI
Mehr als 100 Corona-Testzentren in Deutschland und Österreich waren kürzlich von einem massiven Datenleck betroffen. Laut dem deutschen IT-Kollektiv zerforschung waren mindestens 136.000 persönliche Datensätze von Menschen, die sich testen ließen, für Angreifer einsehbar. Grund für die Panne war demnach ein Systemfehler in der Software „SafePlay“ des Wiener Startups Medicus AI, das die digitale Infrastruktur für die vom deutschen Unternehmen 21DX betriebenen Testzentren bereitstellt.
Einsicht durch Identifikationsnummer
Bei einem Gratis-Schnelltest in einem 21DX-Zentrum sind bestimmte persönliche Angaben bei der Online-Registrierung nötig. Die Getesteten erhalten im Nachhinein ihr Ergebnis per E-Mail und können es auch als PDF herunterladen. Beim Test erhalten sie auch eine Identifikationsnummer. Laut „zerforschung“ war es durch die Entwicklungstools des verwendeten Webbrowsers möglich, diese Nummer zu ändern und so auf sensible Daten von anderen Einsicht zu nehmen.
„Ändert man die Zahl im Parameter, hat man Zugriff auf die Testergebnis-PDFs anderer Menschen. Dazu muss man noch nicht mal eine bestimmte Test-ID erraten, da die Tests einfach aufsteigend durchnummeriert sind“, heißt es von zerforschung. Zu den sichtbaren Informationen gehörten nicht nur der Name und das Testergebnis, sondern auch der Wohnsitz, die Telefonnummer und die Mail-Adresse.
Persönliche Daten nicht speichern
Entdeckt haben die IT-Analysten das Datenleck am 10. März. Mittlerweile wurde der Systemfehler wieder behoben. Medicus AI bestreitet die Zahlen von zerforschung und gibt an, dass es kaum unerlaubte Zugriffe gegeben hat. Außerdem seien für einen erfolgreichen Angriff bestimmte Entwicklerfähigkeiten und eine Programmierschnittstelle erforderlich gewesen. Laut den Analysten von zerforschung sollten Testeinrichtungen persönliche Daten aber eigentlich gar nicht speichern. Lediglich die Identifikationsnummer und das Testergebnis seien hier längerfristig relevant und dem Datenschutz auch wesentlich zuträglicher.