Kategorien
Interwebs OpTinfoil Updated

test-express.de – oder wenn Gier dem Missbrauch Tür und Tor öffnet (Update)

Karl Ranseier und Spongebob Schwammkopf haben negative Testzertifikate – ausgestellt mit QR-Code von test-express.de, einem Service der CliniGo GmbH des Herrn Markus Bönig.
(Update 05. November 2021, 13:30 Uhr)

Als die Journalisten der Tagesschau vor ein paar Tagen den Service test-express.de ausprobierten, staunten sie nicht schlecht: ein 12 Minuten-Video machte sie zur Fachperson – Kosten: 10 Euro – und die Tests selbst prüfte auch niemand.

Das war vor 10 Tagen.

Markus Böning reagierte. Er versendete einen Newsletter, in dem unter anderem zu lesen war:

Dass das „Qualitätsmedium“ sich nicht zu schade ist, unseren Express-Testern zu unterstellen, sie würden ihre Aufgabe nicht gewissenhaft erfüllen, sondern auch ohne Test eine Bescheinigung ausstellen, bedauern wir. Denn es diskreditiert unberechtigt über 50.000 Menschen. Vergleichbar damit könnte man jedem Mitarbeiter eines Testzentrums unterstellen, ohne gewissenhaftes Testen Gesundheit zu attestieren. Uns auf diesem Niveau ein potenzielles unrechtes Verhalten vorzuwerfen, ist schlichtweg absurd und unredlich.

Unredlich. Gut, merken wir uns diesen Begriff mal kurz in der Zwischenablage. Denn wir wollten wissen: hat sich in den 10 Tagen vielleicht etwas verändert bei test-express.de.

Spoiler: nein, aber es ist noch viel schlimmer, als die Tagesschauleute dachten. Denn Anons wären keine Anons, wenn sie nicht noch eine Schippe drauf legen würden.

test-express.de bietet keine anonyme Zahlungsmethode an. Also fiel für uns die Schulung aus. Auf das Video hatte ohnehin niemand Lust, deswegen versuchten wir es mit einem Zertifikat, taten so, als hätten wir so einen Kurs schon woanders gemacht. Wir wollten wissen, inwieweit solche Nachweise von Dritten geprüft werden.

Von einer solchen Möglichkeit ist auf der Website von test-express.de gar nicht die Rede. Dort heißt es in der FAQ:

Klar, man will ja Geld machen, denn GmbHs sind oft wenig altruistisch. Aber nicht mit uns. Ging ja nicht, wegen der Zahlungsarten.

Deswegen fälschten wir eine Zertifizierung. Sorry, BRK!

Der Fake sah sehr schick aus, wäre leicht nachzuprüfen gewesen.

Diesen Nachweis kann man derzeit öffentlich auf der Website von test-express.de aufrufen, falls sie ihn irgendwann wutentbrannt gelöscht haben, ist er bei archive.org. Das Bonbon daran ist jedoch, dass er es uns innerhalb kürzester Zeit ermöglichte, als Fachperson auf die Dienste von test-express.de zuzugreifen. Niemand bei CliniGo GmbH prüft irgendwas.

Also wurden wir Tester. Und wollten schön testen.

Sagten wir schon, dass test-express.de keine anonymen Zahlungsarten anbietet? Jedes Testzertifikat kostet derzeit 1 Credit, 1 Credit kostet je nach Rabatt bis zu 1,99 Euro. Schwieriges Problem, also wurde gesocialt. Es wurde ein kleiner Fragenkatalog geschickt, an dessen Ende – und da widersteht kaum jemand, der Geld wittert – wir um sowas wie eine kostenlose Probe baten. Hier ist die Antwort auf unsere Fragen.

Schwupps, wir hatten 5 Credits, ausreichend für 5 Tests.

Also ging es ans Testen. Konnte ja nicht sein, dass sie bei der CliniGo GmbH alles so gelassen haben. Wohlgemerkt: bisher wurde kein Ausweisdokument oder ein sonstiger Nachweis der Identität verlangt. Aber bei den Testzertifikaten, da würde doch jetzt sicher eine Ausweisnummer oder sowas verlangt, oder? ODER?

Nein.

Unser erster Test: eine Identität aus dem Fake Identity Generator

Wir begannen entspannt, ließen uns mit einem Generator eine komplette Fake Identität erstellen.

Und dann ging es los: Eingabe der Daten bei test-express.de

Abschicken

Auf seiner Website behauptet CliniGo GmbH, jeder Test würde durch einen Arzt gemonitort, telemedizinisch. Das hat Böning auch in seinem Newsletter nochmal bestätigt.

Der Redakteur der Tagesschau hat zudem nicht realisiert, dass Test-Express selbst gar keine Bescheinigungen ausstellt, sondern inzwischen von Ärzten ausgestellte Bescheinigungen übermittelt, die auf der technischen Basis der telemedizinischen Plattform Test-Express zwischen Fachperson und Arzt entstanden sind

Wir hatten keinen Kontakt mit einem Arzt. Weder über einen Chat, noch sonst irgendwann. Wir haben nicht mal ein Testset da gehabt, aber es wollte auch niemand irgendetwas sehen. Was auch immer Markus Bönig da von “technischer Basis” und zwischen “Fachperson und Arzt” labert, findet augenscheinlich nur in seinem Kopf statt.

Im Bild oben steht “Testbescheinung versenden” – und genau das passiert auch. Innerhalb kürzester Zeit wird an die angeblich getestete Person das Zertifikat per E-Mail versendet. Und per SMS. Und das war es.

Hier ist das Zertifikat als PDF.

Prima, das hat geklappt. Steckt am Ende nicht viel mehr dahinter, als ein bisschen PHP-Programmierung.

Als die Tagesschau testete, wurden die Zertifikate noch von test-express.de ausgestellt, Bönig selbst hatte ja bestätigt, dass dies geändert wurde (siehe Zitat oben). Einen Hinweis auf Test Express sucht man in unserem Zertifikat vergeblich, denn bei der negativen Presse würden die Zertifikate wohl mittlerweile abgelehnt. Der hier “ausstellende” Arzt, Dr. med. Sebastian, der ist Chirurg und spezialisiert auf plastisch-ästhetische Operationen. Wir wissen nicht, ob er am Gewinn beteiligt ist oder am Ende gar nichts von der Nummer weiß, das ist aber auch was, was die Ärztekammer klären muss.

Aber wir wollten noch eine Schippe drauflegen.

Unser zweiter Test: zweimal dieselbe Mobilfunknummer

Uns interessierte beim zweiten Test, ob a) ein anderer Arzt involviert ist, wenn die Postleitzahl völlig anders ist, und ob b) die Mobilfunknummer nochmal akzeptiert wird. Es wäre schließlich eine ganz leichte Nummer, dies zu prüfen…

Klasse! Das hat wunderbar geklappt. Trotz derselben Rufnummer. Und es bleibt derselbe Doktor.

Auch verfügbar unter archive.org …

Yay!

Yay?

Dem Missbrauch ist hier aus Geldgier Tür und Tor geöffnet, Bönigs Aussagen sind nichts wert.

Dritter Test: Geburtsdatum

Wir machen nicht viel Worte, unsere Testperson ist über 400 Jahre alt, denn 1576 wurde als Geburtsjahr angegeben.

Zertifikat? Klar. Geprüft wird nichts. Die gesamte Seite besteht nur aus Scripten, die PDFs erzeugen und Mails versenden.

Okay, Geburtsdatum in der Vergangenheit, man prüft aber auch auf Datum in der Zukunft.

Vierter Test: Geburtsdatum in der Zukunft

Karl Ranseier ist tot.

Der wohl erfolgloseste Webentwickler aller Zeiten programmierte in den Jahren 2327-2335 eine deutlich verbesserte Version von SecondLife. Fast wäre sie erfolgreich gestartet, aber kurz vor der Präsentation machte ein Fack U. Zeckerburg seine Pläne durch eine Klage zunichte. Fack U. ist der Urururururururururneffe des Fakebook-Gründers Mark.

Karl verstarb völlig verarmt am 24.12.2345, als er von Eierlikör angeduselt die Garage seines Flugtaxis durch die falsche Tür verließ und 7 Kilometer tief abstürzte.

Wenigstens hatte Karl Ranseier, geboren im Jahr 2293 ein negatives Testzertifikat. Oder wird haben. Oder wie?

Was bleibt? Natürlich!

Letzter Test: Spongebob Schwammkopf

Und für diejenigen, die sagen, alles fake: alle Zertifikate sind über die Website von test-express.de abrufbar. Auch dieses. Und falls sie es gelöscht haben, ist es bei archive.org. Auch die QR-Code-Bestätigung ist dort.

Übrigens kann man test-express.de dazu bringen, die SMS mehrfach zu versenden. Kann man.

Um 11 Uhr Uhr heute morgen waren wir bei über 38K versendeten SMS. Wenn CliniGo keinen eigenen Gateway hat, sondern bei einem der bekannteren Anbieter ist, kosten 1000 SMS etwa 77 Euro. Alle drei Minuten SMS-Speicher leeren …

Doch das ist noch nicht alles.

Zertifikate sind nachträglich änderbar. Durch Anpassung des Requests für die PDF lassen sich alle Daten außer dem Ausstellungsdatum ändern. Hier das Zertifikat unserer zweiten Testperson mit anderem Namen (Dominik Hans Gerber der 2.). Man beachte: die Probanden-ID und alles außer dem Vornamen ist identisch mit dem von oben.

Und hier dasselbe Zertifikat mit einem völlig anderen Namen:

Fazit

Eigentlich bleibt nicht mehr viel zu sagen.

Markus Bönig witterte, dass er mit Impfgegnern bei zu laschen Regularien und 3G-Bestimmungen Massen an Kohle machen kann. Alles andere war ihm total Wumpe. Deswegen stampfte er eine Website aus dem Boden, die nichts anderes bietet als ein Formular zur Dateneingabe und einen PDF-Generator sowie ein Mailing-Script. Keine Formular-Prüfung, keine Sicherheitsmaßnahmen, nichts. Auch sonst wird nichts geprüft geprüft, nichts, keine Personalien, keine Tests, gar nichts. Und dass Dr. med. Sebastian nachts um 3 noch telemedizinsch tätig ist, das kann Bönig nur jemandem erzählen, der auch an die Hohlerde glaubt, denn da fanden unser Zertifizierungen statt.

Jeder Impfgegner kann sich so missbräuchlich frei testen, für Bönig ist es wegen der kurzen Gültigkeit der Zertifikate für 3G eine Gelddruckmaschine.

Merken wir uns den Namen Bönig und die Firma CliniGo GmbH, denn er ist keiner, der effektiv dazu beiträgt, die Pandemie zu bekämpfen.

“Mit Test Express wird 3G leichter”? Ja. Aber 2G wahrscheinlicher.

Aber die Behörden ermitteln ja bereits.Was war noch in der Zwischenablage? STRG + V …

u n r e d l i c h


Update 05. November 2021, 13:30 Uhr

Mittlerweile haben Journalisten der Tagesschau mit dem in diese Vorgänge involvierten Mediziner gesprochen. Wir haben das hier zusammengefasst: