Erneut Sicherheitslücke bei einem Corona-Schnelltestanbieter

Berlin/Dortmund (dpa) - Durch eine Sicherheitslücke in der Software
eines Corona-Schnelltestanbieters konnten erneut Unbefugte auf
Testergebnisse und andere sensible Daten zugreifen. Entdeckt wurde
die Schwachstelle durch das Hackerkollektiv «Zerforschung». Der
betroffene Anbieter Eventus Media International (EMI) aus Dortmund
hat nach Angaben der IT-Experten die Lücke mittlerweile geschlossen.
Über den Vorfall hatten zuerst die ARD-Sender rbb, NDR und MDR
berichtet.

Über die Lücke konnten nach Angaben von «Zerforschung» bundesweit
mindestens 17 000 Registrierungen für Testtermine eingesehen werden.
Außerdem waren die Daten von rund 7000 Testergebnissen ungeschützt im
Netz, darunter auch die Adressdaten der EMI-Kunden. Die Firma
entschuldigte sich für den Fehler und kündigte am, in den nächsten
Tagen die betroffenen Kunden einzeln anzuschreiben und sie über den
Vorfall zu informieren.

Ein Mitglied der Gruppe hatte sich selbst bei EMI auf Corona testen
lassen und in diesem Zusammenhang das System zur Abfrage des eigenen
Testergebnisses unter die Lupe genommen. Dabei stellte sich heraus,
dass die Website technisch auf einer unzulänglich gesicherten
Variante des Open-Source-Systems WordPress aufsetzte. Nach den
Hinweisen der Hacker an das Bundesamt für Sicherheit in der
Informationstechnik (BSI) wurde die Sicherheitslücke von dem
Dortmunder Unternehmen kurzfristig geschlossen.

Mitte März war schon bei der Firma 21DX und ihrem Dienstleister
Medicus Ai eine Sicherheitslücke entdeckt worden, über die Daten von
rund 130 000 Betroffenen abgerufen werden konnten.