Hackerkollektiv deckt Sicherheitslücke bei Anbieter EMI auf
Ein Mitglied der Hackergruppe hatte sich selbst bei EMI auf Corona testen lassen und in diesem Zusammenhang das System zur Abfrage des eigenen Testergebnisses unter die Lupe genommen. Dabei stellte sich heraus, dass die Internetseite technisch auf einer unzulänglich gesicherten Variante des Open-Source-Systems WordPress aufsetzte. Wer sich ein wenig damit auskennt, konnte mit wenig Aufwand die komplette Liste der zehnstelligen Abrufcodes für die Testergebnisse herunterladen. Diese Codes ließen sich auf der Internetseite eingeben, um daraufhin nicht nur das Testergebnis, sondern in einem zweiten Schritt auch alle dazu gespeicherten Daten abrufen zu können – darunter Name, Adresse, Geburtsdatum, E-Mail-Adresse und Telefonnummer.
Nach den Hinweisen der Hacker an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde die Sicherheitslücke von dem Dortmunder Unternehmen kurzfristig geschlossen. Mitte März war schon bei der Firma 21DX und ihrem Dienstleister Medicus Ai eine Sicherheitslücke entdeckt worden, über die die Daten von rund 130.000 Betroffenen abgerufen werden konnten.