Datenschutz und technische Umsetzung unbefriedigend: So lautete das Urteil für den Antigen-Selbsttest von Aldi mit dazugehöriger App. Wie c’t Magazin berichtete, birgt die App zahlreiche Möglichkeiten zur Manipulation. So konnte etwa ein QR-Code erstellt werden, der ein negatives Testergebnis bescheinigt, ohne dass der Test wirklich durchgeführt wurde. Auch bei dem Download der Test-Zertifikate haperte es. Die URL des Zertifikats war nicht ausreichend technisch abgesichert. So gelang Datenjournalisten der Zugriff auf fremde Zertifikate inklusive persönlicher Daten wie der Personalausweisnummer. Diese Sicherheitslücke wurde sogar als meldepflichtig eingestuft. Mittlerweile bietet der rheinland-pfälzische Hersteller Aesku die Zertifikat-Funktion nicht mehr an.

(Stand 27.3.21)

Das Vielfliegerprogramm Miles & More der Lufthansa meldete seinen Kunden am 24. Februar einen Datenschutzvorfall: Cyberakteuren war der Zugriff auf das Reservierungssystem „eines Dienstleisters“ der Star Alliance gelungen. Die Kundendatenbank umfasst rund 1,3 Millionen Datensätze. Eine Mitteilung von Miles & More erklärte, dass lediglich Kundennummer, Statuslevel und in seltenen Fällen Kundennamen vom Datenleck betroffen seien. Miles & More war nicht das einzige Unternehmen, dem Daten entwendet wurden: KrisFlyer und PPS Club, Prämienprogramme der Singapore Airlines meldeten denselben Vorfall. Einer Pressemitteilung zufolge soll es sich bei dem gemeinsamen Dienstleister um das multinationale IT-Unternehmen Sita handeln.

(Stand 5.3.21)

Ticketcounter, Anbieter einer beliebten E-Ticket-Software, wurde Opfer eines Hacks. Laut eigenen Angaben nutzen 209 deutsche Anbieter im Bereich Freizeit und Touristik das Online-Ticket-System. Wie bleepingcomputer.com berichtete, konnten die Täter im Zuge eines Systemupdates rund 1,9 Millionen Besucherdatensätze abgreifen. Betroffen waren unter anderem Besucher des Berliner Zoos, Aquariums und Tierparks. Auf die Schliche kam man dem Hack erst, nachdem die Daten online zum Verkauf angeboten wurden. Obwohl das niederländische Unternehmen auch die Zahlungsabwicklung der Tickets übernimmt, seien Bankinformationen nicht betroffen, so Ticketcounter. Mittlerweile sei das Datenleck beseitigt.

(Stand 5.3.21)

Rund 136.000 COVID-Testergebnisse inklusive persönlicher Daten waren zum Herunterladen im Internet verfügbar. Ursache war die schlecht abgesicherte Software Safeplay, die das Buchen von Terminen und das Einsehen der Ergebnisse ermöglicht – alles bequem per Handy. Doch genau hier klafften mehrere gravierende Sicherheitslücken. Laut Recherchen des IT-Expertenkollektivs Zerforschung und des Chaos Computer Clubs konnte unter anderem der PDF-Download fremder Ergebnisse mit wenigen Klicks angefordert werden. Das Dokument beinhaltete sensible Daten wie Namen, Kontaktdaten, Geburtsdatum, Staatsbürgerschaft, Testzeitpunkt und Befund. Die Software stammt vom Wiener IT-Unternehmen Medicus AI und kommt aktuell in ca. 150 Testzentren in Österreich und Deutschland zum Einsatz. Weiterhin konnten sich die Getesteten mit ihren Nutzerdaten für Safeplay in ein Analyse-Dashboard der Testzentren einloggen, das nur dem Personal zur Verfügung stehen sollte. Medicus AI bestätigte die Schwachstellen und verkündete die Behebung der Probleme.

(Stand 18.3.21)

Die EU-geförderte App für Distanzunterricht Anton ist ein wichtiger Bestandteil vieler Homeschooling-Konzepte in Deutschland. Trotz des Lobs mehrerer Datenschutzexperten deckten Recherchen des Bayerischen Rundfunks eine Sicherheitslücke auf: Vor- und Nachnamen der Nutzer und Nutzerinnen, Schule, Klasse, Logindaten und Lernfortschritte konnten extern abgerufen werden. Außerdem ermöglichte die Schwachstelle das Senden von Nachrichten an Teilnehmende. Nachdem der Berliner App-Hersteller Solocode davon unterrichtet wurde, folgte ein Software-Update innerhalb weniger Stunden. Laut dem Unternehmen gebe es keine Anzeichen dafür, dass sensible Daten über diesen Weg abgeflossen sind.

(Stand 17.3.21)