Das Internetz, alles Neuland. Unser Staat und unsere Behörden sind offenbar IT-Analphabeten: Über 130 000 Schnelltest-Ergebnisse ungeschützt im Netz!
“Um die vollständigen Daten aller Getesteten live einzusehen, brauchte man sich nur einen Account für einen Covid-19-Test anzulegen. Die URL für das Testergebnis enthält die Nummer des Tests. Wurde diese Zahl hoch- oder runtergezählt, wurden die “Testzertifikate” anderer Personen frei zugänglich. Im Testzertifikat stehen neben dem Testergebnis auch Name, Geburtsdatum, Anschrift, Staatsbürgerschaft und Ausweisnummer der Betroffenen.”
So einen Fehler können Skriptkiddies ausnutzen und das bei hochsensiblen Gesundheitsdaten.
“Das Testportal von 21Dx bei medicus.ai liegt hinter Cloudflare, d.h. alle Testergebnisse und personenbezogenen Daten werden einmal durch ein US-Unternehmen geleitet.
Ebenfalls sind Tracking-Skripte von sowohl Google als auch dem Zahlungsdienstleister Stripe eingebunden, die jeden Seitenaufruf analysieren.
Alle drei tauchen nicht in der Datenschutzerklärung von 21dx.medicus.ai auf.”
Ich bin ja der Meinung, der Firma medicus gehört eine saftige Strafe aufgebrummt, so dass sich ihre Corona-Gewinne in Verluste umwandeln. Und die zuständigen Gesundheitsbehörden sollten alle mal einen IT-Grundkurs machen. Wie öffne ich einen Browser. Was ist eine URL. Was sind sensible Daten… etc…
Wie wir nur mal kurz einen Corona-Test machen wollten und versehentlich in ein Nest voller Sicherheitslücken gefallen sind.
Seit dem 8. März gibt es in Berlin »kostenlose Bürger*innen-Tests«. Über das Portal test-to-go.berlin kann man ein Testzentrum finden und einen Termin buchen.
Schon kurz nach Veröffentlichung der Testzentren-Übersicht der Berliner Senatsverwaltung für Gesundheit, Pflege und Gleichstellung waren wir irritiert: Alles an diesem Online-Portal machte auf uns den Eindruck, doch etwas hastig zusammengestrickt worden zu sein – und das nach nur einem Jahr Pandemie.
Anscheinend ist Internet für das @SenGPG immer noch Neuland und sie haben noch nie von Domainsquatting gehört, denn jetzttesten.berlin sowie tests-to-go.berlin (& test2go & tests2go & test-togo …) sind noch frei.Das ist besonders bei mündlicher Weitergabe problematisch. pic.twitter.com/Ai9avSldvo— zerforschung (@zerforschung) March 7, 2021
Da wir ohnehin einen Test machen wollten, konnten wir dieses neue Angebot gleich mal ausprobieren.
Am Testzentrum angekommen wunderten wir uns, dass wir sehr energisch auf die Online-Registrierung hingewiesen wurden.
Wir standen doch schon am Eingang!
Aufgrund der Menge persönlicher Daten, die in der WebApp abgefragt wurden, hätten wir eine Online-Erfassung eigentlich gern vermieden.
Nach dem Test freuten wir uns nicht nur über das negative Ergebnis – sondern guckten dabei, wie üblich, auch kurz mit auf den Datenverkehr. Bei einigen URLs hatten wir schon im ersten Moment ein mulmiges Gefühl. Das mulmige Gefühl würde in den nächsten Minuten blankem Entsetzen weichen.
