Betroffen waren von dem Datenleck offenbar eine österreichische Fachhochschule sowie mehrere Coronavirus-Testzentren in Berlin, München und Mannheim. Neben dem Coronavirus-Testergebnis waren persönliche Daten wie Name, Adresse, Staatsbürgerschaft, Geburtsdatum, Handynummer, E-Mail und – sofern angegeben – auch die Nummer von Pass- oder Personalausweis abrufbar, hieß es in Berichten der Zeitung „Standard“, der „Süddeutschen Zeitung“ und des Rundfunk Berlin-Brandenburg (RBB).
Die Medien beriefen sich auf eine Analyse eines Kollektivs von IT-Experten namens Zerforschung und des Chaos Computer Clubs (CCC). Die Datenpanne entstand laut „Standard“ durch eine Software eines Wiener Start-ups. Die Firma biete einem Unternehmen, das mehrere Schnelltestzentren in Deutschland betreibt, die digitale Infrastruktur für seine Testungen an. „Nutzer konnten dort zeitweise mit wenig Aufwand auf fremde Datensätze, die durch die Firma verarbeitet wurden, zugreifen“, schreibt die Zeitung.
Offenbar Fehler bei Software-Update
Die Sicherheitslücke sei „durch einen Fehler in einem Update der Software von Mitte Februar“ entstanden, zitiert die „Süddeutsche Zeitung“ die Firma. Die von dem Expertenkollektiv Zerforschung genannte Datenzahl wollte diese gegenüber dem „Standard“ nicht bestätigen. Ein weitreichender Zugriff, etwa die Abfrage sämtlicher Datensätze, wäre durch das System erkannt und unterbunden worden. Laut Zerforschung war die Zugriffsmöglichkeit eine Folge schlechter Absicherung.