Eine ungesicherte Datenbank mit etwa 1,3 Millionen Datensätzen von COVID-19-Tests in den Niederlanden wurde ins Internet gestellt, und es ist unklar, wer dafür verantwortlich ist.
Die öffentlich zugängliche und offenbar unsicher konfigurierte Datenbank enthielt 118.441 Coronavirus-Testzertifikate, 506.663 Terminaufzeichnungen, 660.173 Testproben und “eine kleine Anzahl” interner Dateien. Die Datensätze enthielten eine Vielzahl personenbezogener Daten, darunter Patientennamen, Geburtsdaten, Passnummern, E-Mail-Adressen und andere Informationen.
Die undichte Datenbank wurde von Jeremiah Fowler entdeckt, der vermutet, dass sie einem der größten kommerziellen Anbieter von COVID-19-Tests in den Niederlanden gehört, CoronaLab, einer Tochtergesellschaft von Microbe & Lab mit Sitz in Amsterdam. Die US-Botschaft in den Niederlanden führt CoronaLab als einen der von ihr empfohlenen kommerziellen Anbieter von COVID-19-Tests in den Niederlanden auf.
Sollte es jemandem mit böswilligen Absichten gelingen, die Datenbank zu finden, könnte er ernsthaften Schaden anrichten, warnte Fowler.
“Kriminelle könnten sich auf Testdaten, Testorte oder andere Insiderinformationen beziehen, die nur dem Patienten und dem Labor bekannt sind”, schrieb er. “Jede potenzielle Offenlegung von COVID-Testdaten in Kombination mit personenbezogenen Daten könnte die persönliche und medizinische Privatsphäre der in den Dokumenten aufgeführten Personen gefährden.”
Der Bericht über die Datenpanne bei CoronaLab liest sich in vielerlei Hinsicht wie jede andere Nachricht über eine versehentliche Datenpanne: Sie wurde gefunden, und jetzt ist die betroffene Datenbank offline. Doch in diesem Fall ist es nicht so einfach.
Laut Fowler hat niemand bei CoronaLab oder Microbe & Lab auf seine wiederholten Versuche reagiert, sie zu erreichen und über das Datenleck zu informieren.
“Ich habe mehrere Benachrichtigungen über die verantwortliche Offenlegung verschickt und keine Antwort erhalten, und auch mehrere Telefonanrufe blieben erfolglos”, so Fowler. “Die Datenbank blieb fast drei Wochen lang offen, bevor ich den Cloud-Hosting-Anbieter kontaktierte und sie schließlich vor dem öffentlichen Zugriff geschützt wurde.”
The Register hat Microbe & Lab um weitere Informationen zu diesem Vorfall gebeten, jedoch keine Antwort erhalten.
Ohne weitere Informationen von Microbe & Lab oder CoronaLab selbst ist es unmöglich zu wissen, wie lange die Datenbank tatsächlich online zugänglich war. Die Website von CoronaLab ist derzeit nicht erreichbar – es ist nicht klar, ob der Ausfall mit der Offenlegung der Datenbank zusammenhängt oder ob der Dienst wieder online gehen wird.
Da in der Organisation, deren Datensätze offengelegt wurden, niemand erreichbar ist, ist auch nicht klar, ob Kunden oder Patienten wissen, dass ihre Daten online gestellt wurden. Wichtig ist auch, dass wir nicht wissen, ob die europäischen Datenschutzbehörden informiert wurden.
Gemäß Artikel 33 der EU-Datenschutz-Grundverordnung (DSGVO) müssen Datenschutzverletzungen innerhalb von 72 Stunden nach ihrer Entdeckung den lokalen Behörden gemeldet und die betroffenen Personen benachrichtigt werden. Wir haben uns an die niederländische Datenschutzbehörde gewandt, um zu erfahren, ob sie über die Datenpanne bei CoronaLab informiert wurde, haben jedoch keine unmittelbare Antwort erhalten.
