Wegen einer Sicherheitslücke sind aus Testzentren der Firma Eventus Media International (EMI) in Berlin, Dortmund, Hamburg, Leipzig und Schwerte (NRW) Corona-Testergebnisse und persönliche Daten von mehreren Tausend Kund*innen des Unternehmens ungeschützt ins Netz gelangt. Das Unternehmen betreibt in Deutschland insgesamt neun Einrichtungen in den Städten Berlin, Hamburg, Leipzig, Dortmund und Schwerte. Die Anmeldung für die Tests ist über die Webseite testcenter-corona.de möglich.

Der Grund des Datenlecks war eine Sicherheitslücke. Sicherheitsexperten des IT-Kollektivs Zerforschung (Selbstdarstellung: „Zerforschung ist eine freundliche Gruppe an Menschen, die Spaß daran haben, Technik auseinander zu nehmen um zu verstehen, wie diese funktioniert“) stellten fest: „Es begann ähnlich wie das letzte Mal: Ein zerforschungs-Angehöriger war beim Corona-Schnelltest und bekam danach eine E-Mail mit einem Link zu seinem Ergebnis. Das kam ihm irgendwie fischig vor, also haben wir uns das mal angeschaut…“

Mit folgendem Ergebnis: „EMI hat für die Testzentren-Websites den eigenen Inhaltstypen registration für Schnelltest-Registrierungen angelegt, welcher Terminbuchungen und Testzertifikate abbildet. Da EMI aus uns unerklärlichen Gründen die API-Zugriffsmöglichkeit für diese aktiviert hat, sind alle Registrierungen auch über diese abrufbar. Fragt man nun die Schnittstelle für Registrierungen eines Test-Zentrums an… so erhält man eine Liste… Darin steht unter anderem ein 10-stelliger, alphanumerischer Code… tatsächlich entdecken wir relativ schnell unseren eigenen Abrufcode. Wir haben also eine Liste aller Abrufcodes. Das ist in etwa so, als würde man sich einen Safe einbauen lassen, aber den Code dann direkt daneben legen… Diese Abrufcodes kann man auf der Testergebnisabfrage-Seite eingeben und erhält dann ein fremdes Ergebnis. Auch hier war das Ergebnis wieder mehrstufig – zuerst eine kurze Seite, die das eigentliche Ergebnis (positiv/negativ) anzeigt und dann eine Downloadmöglichkeit für ein PDF, welches deutlich mehr Angaben enthält…“

Nach Entdeckung der Schwachstelle informierte Zerforschung das betroffene Unternehmen, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auch Journalist*innen von MDR, NDR und RBB. Auf Tagesschau.de wird am 09.04.2021 informiert: „Auf der Website wird bei jeder Registrierung ein Code generiert, mit dem Getestete ihr Ergebnis online abrufen können. Offenbar waren diese Codes für mindestens 17.000 Testtermin-Registrierungen im Netz ohne Zugangsbeschränkung aufrufbar und mit ihnen die bereits vorhandenen Ergebnisse von mindestens 7000 Tests. In einer Stichprobe konnten die Reporterinnen und Reporter… Dutzende Test-Zertifikate herunterladen – inklusive Testergebnis und Kontaktdaten der getesteten Person. Die Daten waren zum Teil weniger als eine Stunde alt, andere reichten Wochen zurück…“

Wer die Homepage der Firma Eventus Media International besucht, wird – zum Zeitpunkt dieser Veröffentlichung – vergeblich nach einem Hinweis auf die Datenpanne suchen.

Ist das wieder mal ein Beispiel mehr, dass die Corona-Pandemie von Konjunktur-Rittern genutzt wurde, um kurzfristig auf Kosten tausender Menschen und deren Gesundheits- und Adressdaten „Kohle zu machen“?