Tausende persönliche Daten betroffen -
Schon zum dritten Mal hat das Hackerkollektiv “Zerforschung“ eine schwere Sicherheitslücke bei einem Berliner Schnelltestanbieter entdeckt. Auch diesmal waren sensible Daten von Tausenden Testpersonen offen einsehbar.
Durch eine Sicherheitslücke in der Software eines Corona-Schnelltestanbieters mit Stationen in München und Berlin konnten Unbefugte auf Testergebnisse und andere sensible Daten zugreifen. Entdeckt wurde die Schwachstelle durch das Hackerkollektiv "Zerforschung".
Der betroffene Anbieter, die MyDerma GmbH mit Sitz in Berlin, teilte am Freitag mit, die "mögliche Schwachstelle" habe einige Tage lang bestanden, sei aber, "wie wir sehen können, von niemandem genutzt" worden.
Betroffene Firma hat Sicherheit inzwischen erhöht
Nach Angaben des Hackerkollektivs waren rund 17.500 Testergebnisse des Berliner Anbieters von der Sicherheitslücke betroffen. Wie viele davon aus der Münchner Station kamen, wisse man nicht, hieß es von der Gruppe auf Nachfrage. Unter anderem seien aber Namen, Adressen und Telefonnummern "mit vertretbarem Aufwand" zugänglich gewesen.
Eine solche Sicherheitslücke habe man auch bei drei weiteren Anbietern in Berlin und im Großraum Ravensburg gefunden. Der Umgang der Firmen mit Gesundheitsdaten sei "extrem verantwortungslos".
Die MyDerma GmbH betonte dagegen, bis auf die Hackergruppe habe niemand Zugang zu den Daten gehabt: "Entsprechend sind auch keine Daten in die Hände unbefugter Dritter gelangt." Das verwendete System weise nun aber "eine nochmals deutlich höhere Sicherheitsstufe" auf, teilte die Firma mit. Details nannte sie dazu nicht.
Zwei weitere Fälle in Berlin
Der neue Fall ist derweil nicht der erste in Berlin. Bereits im April hatte das Hackerkollektiv "Zerforschung" solche Datenlecks bei Berliner Teststellen aufgespürt. Betroffen war das Unternehmen Eventus Media International, das in Berlin vier Teststellen betreibt. Eine Datenbank für die Schnelltests war so schlecht geschützt, dass sich Adressen, Geburtsdaten, Telefonnummern, Mailadressen und Testergebnisse von tausenden Getesteten abrufen ließen. Bundesweit waren mindestens 17.000 Registrierungen für Testtermine betroffen sowie rund 7.000 Testergebnisse.
Zuvor war schon bei der Berliner Firma 21DX und ihrem Dienstleister Medicus Ai eine Sicherheitslücke aufgefallen, über die Daten von rund 136.000 Betroffenen abgerufen werden konnten. Auch dieses Leck hatten im März die IT-Experten von "Zerforschung" entdeckt. rbb|24 hatte das mit seiner Recherche öffentlich gemacht.
Sendung: Abendschau, 4. Juni 2021, 19:30 Uhr