Vor allem deutsche Einrichtungen sind betroffen. Auch sensible Daten aus Corona-Tests wie die Passnummer waren einsehbar. Mittlerweile wurde die Lücke behoben

Die Datenpanne entstand durch eine Software des Wiener Start-ups Medicus AI. Die Firma, die in den vergangenen Jahren Investments in Millionenhöhe erhalten hat, bietet dem Unternehmen 21DX, das mehrere Schnelltestzentren in Deutschland betreibt, die digitale Infrastruktur für seine Testungen an. Nutzer konnten dort zeitweise mit wenig Aufwand auf fremde Datensätze, die durch die Firma verarbeitet wurden, zugreifen.

Entdeckt wurde die Schwachstelle am 10. März. Das Kollektiv macht die Lücke gemeinsam mit dem Chaos Computer Club (CCC) und der Grundrechts-NGO Epicenter Works öffentlich. Laut Zerforschung war die Zugriffsmöglichkeit eine Folge schlechter Absicherung. Konkret bietet Medicus AI die Plattform Safeplay an, über die registrierte Nutzer aktuelle und ältere Testergebnisse einsehen können. Der Zugriff für Nutzer war den Forschern zufolge nicht auf die ihnen zugewiesenen Tests beschränkt. Wer sich auf der Plattform einloggte, konnte über die Entwicklungstools des Webbrowsers einsehen, mit welcher Identifikationsnummer der eigene Testbericht in der Datenbank hinterlegt war. Die Option ist üblicherweise über einen Rechtsklick und die Option "Element untersuchen" leicht abrufbar.