Schnellteststelle mit Datenleck: Test-Ergebnisse einsehbar und manipulierbar

Fortlaufend informieren wir euch im Blog auch über Neuigkeiten, die sich in der Technik-Welt rund ums Thema „Corona“ ergeben. Aktuell ist das beispielsweise die Corona-Warn-App in Version 2.13, die seit dem letzten Jahr durchaus an einigen Ecken und Enden neue Funktionen dazubekommen hat. Neu mit an Bord ist da nun die Möglichkeit, sich über die Corona-Warn-App mit QR-Codes der luca-App einzuchecken. Eine Neuerung, die ich schon länger ersehnte, um nicht vom „luca-Debakel“ geplagt zu werden. Leider setzen viele Lokalitäten nämlich auch nach wie vor nur auf den Check-in mittels dieser App und haben auch keinen alternativen QR-Code für die Corona-Warn-App parat. Aber was rege ich mich auf, das ist ja inzwischen zum Glück hinfällig – ich schweife ab.

Seitens Zerforschung war man im Zuge der sich verschärfenden vierten Welle auf Recherche-Kurs. Man wollte prüfen, ob bei Testzentren etwas aus vorigen Debakeln gelernt wurde. Fündig wurde man beim Online-System „mein-schnelltest.com“, welches der Bekanntgabe von Testergebnissen dient. Das Ergebnis der Recherche-Arbeit: Ein Datensatz mit knapp 400.000 Personen. Unter anderem enthalten: Namen, E-Mail-Adresse, Geburtsdatum, Geschlecht, Telefonnummer, Adresse und häufig auch eine Ausweisnummer. Ebenfalls im Datensatz enthalten: Order-Ids. Mit jenen konnte man seitens Zerforschung die Testergebnisse als PDF von sämtlichen Personen abfragen. Es gab zu keinem Zeitpunkt eine Prüfung darüber, ob nur das eigene Testzertifikat abgerufen wurde. Mit den knapp 400.000 Datensätzen lassen sich knapp 700.000 Testergebnisse rekonstruieren. Die Ergebnisse „quasi offen im Netz abrufbar“.

Neben dem Datenleck wurde auch die Möglichkeit aufgedeckt, dass sich auch neue Tests mitsamt von Testergebnissen anlegen lassen. Auch hier: Keine Prüfung der Berechtigung. Es lassen sich so beliebige Test-Zertifikate für beliebige Personen ausstellen, wie man eindrucksvoll anhand des (mittlerweile) 177 Jahre alten „Test-Kandidaten Robert Koch“ demonstriert. Da man sich nicht im Klaren ist, ob ein positives Testergebnis entsprechende Automatismen auslöst, beließ man es beim negativen Testzertifikat für Robert Koch.

Das Leck wurde vor knapp drei Wochen aufgedeckt. Betroffene Kunden wurden allerdings noch nicht über jenes in Kenntnis gesetzt, so Zerforschung. Lediglich die Lücken wurden seitens des Herstellers geschlossen – das negative Testergebnis von Robert Koch sowie dessen Account existieren jedoch weiterhin.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Baujahr 1995. Technophiler Schwabe & Studienreferendar. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. Twitter. PayPal-Kaffeespende an den Autor. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Der wohl schlimmste Fall… den notwendigen Test für den Urlaub gemacht, Adressaten, Reisepassnumner/Ausweisnummer und am besten noch Zahlungsdaten zusammen in einem Datensatz…

  2. Wir Leser in diesem Blog bekommen ja die politische, digitale und persönliche Situation ja alle mit (behaupte ich mal – das gendern des Posts darf sich jeder selbst vorstellen). Um es kurz zu fassen:

    @caschy und Rest des Teams: Mich würde es sehr interessieren wie es denn die bisherigen Datenlecks, Verfahren, Strafen o.ä. weiter verhandelt wurden. Wir haben ja gerade zu genau diesem Thema schon genug mitbekommen (auch und gerade hier) und anscheinend ist es bei den Menschen, welche das verunstalten, nicht angekommen was, wie und ob bestraft wird, denn sonst würden sie vllt. mal wenigstens n halben Meter weiter denken (falls ich nen Folgeartikel verpasst habe – sorry).

    Könnt ihr hier vllt. mal vielleicht, bei Verfügbarkeit, für die sehr tagesaktuelle Situation periodisch mal nachforschen?

  3. „Leider setzen viele Lokalitäten nämlich auch nach wie vor nur auf den Check-in mittels dieser App und haben auch keinen alternativen QR-Code für die Corona-Warn-App parat. Aber was rege ich mich auf, das ist ja inzwischen zum Glück hinfällig – ich schweife ab.“

    Das ist noch lange nicht hinfällig und zeigt, dass du Dich nicht mit sämtlichen Länderverordnungen auseinander gesetzt hast (kein Vorwurf, ist ja auch extrem umfangreich und undurchsichtig). Aber den Lokalitäten vorzuwerfen, weiterhin auf Luca zu setzen, trifft im Zweifel die Falschen. In Niedersachsen ist die CWA zur Kontaktverfolgung z.B. nicht zugelassen. Dass die CWA nun Luca-Codes scannen kann ist zwar echt toll, nützt uns aber leider gar nichts. Wir müssen weiterhin Luca und Zettel anbieten. Im Endeffekt wird es also noch mal komplizierter, weil man den Gästen nun erklären darf, dass die CWA nicht ausreicht und sie das Handy gleich noch mal rausholen dürfen.

    • Klingt wie ein Schildbürgerstreich… oh je…

    • Ich wohne auch in Niedersachsen, aber von mir hat noch nie jemand verlangt, dass ich nachweise, dass ich mich auch tatsächlich bei Luca angemeldet habe. Und selbst wenn, sieht man denn in der CWA nicht genauso die Anmeldung wie in der Luca-App?

      • Dann haben die entsprechenden Lokalitäten schlampig gearbeitet 🙂 Es muss bei entsprechender Inzidenz oder Warnstufe sicher gestellt werden, dass Kontaktdaten hinterlegt sind – entweder über Zettel oder eben über die Luca-App. Dass das ganz häufig eher sehr lasch gehandhabt wird, ist ja eine andere Sache.

        Der Unterschied zwischen CWA und Luca ist, dass die Gesundheitsämter in Niedersachsen (oder: mindestens hier bei uns) über die CWA keine Kontaktverfolgung starten können – mit Zettel und Luca geht dies aber. Genau diese personenbezogene Kontaktverfolgung ist laut nds. Coronaverordnung aber Bedingung; es reicht nicht, dass mit der CWA eingecheckte Besucher einfach die entsprechende Warnung erhalten.

        Übrigens, wir als Veranstalter können NICHT im Luca-Backend sehen, wer da alles bei uns eingelogged ist, die Daten sind nur verschlüsselt einsehbar. Wenn das Gesundheitsamt anfragt, wer zu Zeitpunkt X da war, können wir dem Amt mit unserem privaten Schlüssel den Zugriff gestatten; wir selbst sehen aber trotzdem weiterhin nicht die angemeldeten Besucher (so hab ich das jedenfalls verstanden; konkret ist dieser Fall noch nicht aufgetaucht — und über die Sinnhaftigkeit von Luca wurde ja bereits viel geschrieben…).

      • Hier auch noch mal offiziell als Info von Luca:

        „… ab sofort unterstützen die luca-QR-Codes auch den Event Check-in der Corona-Warn-App (CWA). Das heißt, du musst zukünftig keine separaten CWA-QR-Codes mehr aushängen. Der luca-QR-Code reicht für beides aus. Wichtig ist, dass die CWA keine Kontaktdaten aufnehmen kann. Achte bitte darauf, dass du deine Coronaschutzverordnung einhältst. Musst du Kontaktdaten aufnehmen, reicht der Check-in mit der CWA nicht aus.“

        • OK, dass man in der CWA keine Kontaktdaten hinterlegen kann, macht das Scannen der Luca-Codes natürlich ziemlich überflüssig. Dazu kommt, dass zumindest mein Testcode, den ich eben mit Luca erstellt habe, von der CWA gar nicht erkannt wurde.
          Schade, muss ich also weiterhin beide Apps installiert haben.

  4. Haben wir nicht gerade ganz andere Probleme als Datenschutz?

    • Schon klar, wenn wir zeigen, dass uns der Schutz von Gesundheitsdaten egal ist, wird uns das sicher in der Pandemie voranbringen und die ganzen Skeptiker überzeugen. ‍♂️

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.