Über 1 Million Covid-Datensätze im Netz

22. Dezember 2022 um 11:04
image
Foto: Annie Spratt / Unsplash

Ein Informatiker konnte auf die Datenbank von mehreren Covid-Testcentren zugreifen. Die Daten waren zwar verschlüsselt, das Passwort allerdings öffentlich einsehbar.

Wie eine gemeinsame Recherche von 'Watson' und 'DNIP' zeigt, hat ein St. Galler Hausarzt, der wäh­rend der Covid-19-Pandemie mehrere Testcenter in der Schweiz, Liech­ten­stein und Österreich betrieben hat, die sensiblen Gesundheitsdaten seiner Kundschaft nicht ausreichend geschützt. Ein Schweizer Informatiker konnte ohne grosses Fachwissen auf die gespeicherten Informationen zugreifen. Dabei seien die Daten zwar verschlüsselt, das Passwort dazu aber öffentlich einsehbar gewesen, schreibt das Onlinemagazin.
Die Zugangsdaten für die Websysteme der Testcenter wurden in einer Konfigurationsdatei gesammelt, die frei zugänglich war, schreibt 'Watson' weiter. Wenn Entwicklerinnen oder Programmierer bestimmte Passwörter abspeichern wollen, dann landen diese häufig in sogenannten ".env"-Dateien. Dieses Format hat bestimmte Vorteile, die aber nur dann greifen, wenn die Datei besonders gut vor unbefugten Zugriffen geschützt ist. Beim betroffenen Testcenter sei dies nicht der Fall gewesen.
image
Die Login-Daten waren frei einsehbar. Foto: Watson

Aufgefallen war die Sicherheitslücke einem jungen Informatiker aus der Schweiz. Dieser nahm sich vor, das Internet nach Webseiten mit krassen Sicherheitslücken abzusuchen. Dazu habe er sich eine Liste aller .ch-Webadressen her­unter­geladen und automatisiert nach ".env"-Konfigurationsdateien gesucht, schreibt 'Watson'. Neben den Zugangsdaten für die Datenbank der Testcenter stiess er im Zuge seiner Recherche auch noch auf ein paar Hundert weitere Funde.
"Arzt und kein IT-Dienstleister"
Über 1 Million Covid-Testdaten lagerten auf dem Server. "Ich alarmierte nach dem Treffer die relevanten Stellen beim Bund. Das Leck wurde noch am selben Tag geschlossen", sagte der anonyme Informatiker gegenüber 'Watson'. Nun wurde der Vorfall 6 Wochen nach der Behebung der Sicherheitslücke publik gemacht. Der Informatiker übergab seine Dateien dem Eidgenössischen Datenschützer und vernichtete eigenen Angaben zufolge alle Spuren auf seinem Rechner. "Ich hoffte, dass Lehren aus diesem Vorfall gezogen werden können", sagte er zum Onlinemagazin.
Der beschuldigte Mediziner hat gegenüber 'Watson' ebenfalls Stellung zum Vorfall genommen. Er bezeichnet die Darstellung, wonach die Daten frei einsehbar gewesen waren, als "unwahre Behauptung". Gemäss ihm sei ein Hacker in die Datenbank eingedrungen. "Die Datenbank wurde umgehend offline genommen, weshalb keine weiteren Zugriffe möglich waren", schreibt er in seiner Antwort. Darin merkt er auch an, dass er "Arzt und kein IT-Dienstleister" sei.

Loading

Mehr zum Thema

image

Millionen für neues IT-Meldesystem des BAG

Der Bundesrat hat 45,3 Millionen Franken für eine neue digitale Plattform zur Überwachung und Bekämpfung übertragbarer Krankheiten freigegeben. Das System soll 2034 fertig sein.

publiziert am 12.6.2026
image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

CSS ernennt neuen CIO

Florian Maurer tritt die Nachfolge von Thomas Kühne an. Er kommt von Swiss Re, wo er über 17 Jahre lang tätig war.

publiziert am 11.6.2026