Datenleck bei Schweizer Covid-Testcenter

Als viele in ein Corona-Testcenter rannten, weil es zwar keinen Shutdown mehr gab, aber man nur mit einem negativen Covid-Test ins Restaurant oder in einen Nachtclub durfte, gingen viele in Zürich in das sogenannte Corona Testcenter. Davon gab es mehrere Standorte, zum Beispiel in Zürich, Liechtenstein und Österreich.

Wie «Watson» berichtet, war der Schutz der Datenbank der durchgeführten Covid-Tests so löchrig wie ein Emmentaler Käse. Herausgefunden hat das ein junger Schweizer Informatiker. Zuvor hatte er den Beitrag Wenn man's sich einfach macht und Webserver dann ungewollt zu viel preisgeben auf dnip (Das Netz ist politisch) gelesen. Er lud sich eine Liste aller .ch-Webadressen herunter und schaute automatisiert, wie viele Konfigurationsdateien er finden konnte. Dies habe keine Programmierkenntnisse benötigt, er schaute lediglich nach, ob es eine «.env»-Datei auf einer Webseite gab. Dabei stiess er auf jene unter der Adresse «testcenter-corona.ch». Dem Watson-Bericht zufolge waren darin die vollständigen Login-Daten zur Datenbank enthalten, auf der 1'035'050 Covid-Testdaten lagerten. Ersichtlich waren auch E-Mail-Adressen, Handynummern und Covid-Testergebnisse. Zum Watson-Artikel gehts hier lang.

Nach Vorabklärungen hat der Eidgenössische Datenschutzbeauftragte (EDÖB) nun ein Verfahren eröffnet. Diese Sicherheitslücke wurde am 9. November 2022 entdeckt und der Informatiker hat nach eigenen Angaben die relevanten Stellen beim Bund benachrichtigt. Das Leck wurde am selben Tag geschlossen.