Connect with us

Datenschutz & Sicherheit

Dr. Ansay: Neue Sicherheitslücke legte 1,7 Millionen Datensätze offen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.

Weiterlesen nach der Anzeige

Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.

Bug-Bounty-Programm

Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit dem Auflegen eines neu aufgelegten Bug-Bounty-Programms: „Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“. Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet.

Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Anfragen von heise online an die Datenschutzbehörden in Malta und Hamburg, wo Dr. Ansay seinen deutschen Sitz hat, wurden noch nicht beantwortet.

Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert“, sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. „Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter“. Weitere Details wolle Dr. Ansay „aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen“.

Unklar bleibt, seit wann die Sicherheitslücke bestand und ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind, wie viele Personen konkret betroffen sind und ob diese bereits informiert wurden. Offen bleibt auch, welche konkreten Risiken für Betroffene bestehen, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.

Weiterlesen nach der Anzeige

Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.

Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

Interne Sicherheits- und Monitoringprozesse

Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass „interne Sicherheits- und Monitoringprozesse […] kontinuerlich“ laufen würden und es „keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten“ gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.


Dr. Ansays Antwort bei Reddit

Dr. Ansays Antwort bei Reddit

Dr. Ansay legt großen Wert auf die Sicherheit seiner Systeme.

(Bild: Reddit)

Datenschutz habe „oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund“.

Datenpanne im Mai 2024

Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.


(mack)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Totalitäre Tendenzen: Palantir-Ersatz aus der EU ist ein gefährlicher Wunsch


Deutschlandweit sprechen sich Politiker*innen dafür aus, keine Software von Palantir zu verwenden. Stattdessen soll eine europäische Alternative eingesetzt werden. Die Verknüpfung und automatische Analyse möglichst vieler Daten bleibt aber ein totalitäres Konzept. Ein Kommentar.

Das Palantir-Logo
Ob es nun dieser Hersteller ist oder ein anderer: Big-Data-Analysen sind der Einstieg in eine Überwachungs-Dystopie. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Mariia Shalabaieva

Ungewöhnlich viele deutsche Politiker*innen geben sich gerade datenschutzinteressiert. Ganz schlimm wäre das, so ihr Tenor, wenn Daten aus Deutschland in die USA, zu Palantir, zum Endzeit-Apologeten Peter Thiel abfließen würden. Palantir-Software soll deshalb im Bund nicht eingesetzt werden, so die SPD-Fraktion. Auch Cem Özdemir, der grüne Spitzenkandidat von Baden-Württemberg, wo Palantir-Tools bald eingesetzt werden dürfen, ist gegen deren Nutzung.

Der Witz ist: Die Politiker*innen wollen nicht auf solche Tools verzichten. Sie sollen nur nicht aus den USA kommen. Die SPD wünscht sich eine europäische Alternative, Özdemir am liebsten eine aus Baden-Württemberg.

Es soll Big-Data-Analyse-Software nach Palantir-Art geben, da sind sich sehr viele einig. Nur halt regional produziert und vielleicht ja sogar auch noch in Bio-Qualität.

Ein Riesenproblem für Grund- und Freiheitsrechte

Dabei ändert es nichts am Grundproblem, wenn man die automatisierte Rundum-Überwachung selbst aufbaut, statt sie aus einem System im totalitären Umbau zu kaufen. Sie bleibt menschenfeindlich, ein Riesenproblem für Grund- und Freiheitsrechte. Es ist eine Software, die den totalen Überblick ermöglicht, eine Entwicklung, die eigentlich nur zu totalitären Systemen passt. Wenn Demokratien das einsetzen, drohen sie, zu solchen zu werden. Das gilt auch, wenn die Daten, mit denen die Systeme gefüttert werden, in Deutschland derzeit auf sowieso bestehende polizeiliche Datenbestände begrenzt werden. Denn wer seine Bürger*innen derart umfassend in den Blick nehmen kann, der wird diese Macht absehbar auch zunehmend nutzen.

Die Software droht uns dem anzunähern, was gerade in den USA geschieht: der KI-gestützten Menschenjagd, wie sie die US-Einwanderungsbehörde ICE praktiziert. Die deutschen Politiker*innen zeigen sich datenschutzinteressiert, während sie das Datenschutz-Armageddon einleiten.

Die Tools von Palantir führen Daten zusammen und analysieren sie. Dafür sind sie gemacht. So viele Daten wie möglich. Und es wären viele Daten vorhanden: Bewegungsprofile, die mittels Werbe-ID von fast allen Telefonbesitzer*innen gesammelt werden. Telekommunikationsdaten: Wer mit wem wann von wo aus wie lange telefoniert. Social-Media-Accounts. Daten, die die Polizei bei Beschlagnahmungen oder per Staatstrojaner aus Endgeräten ausgelesen hat. Wer wann mit wem welchen Flug gebucht hat. Wer was wo im Netz sucht oder bestellt. Aufnahmen aus Überwachungskameras und polizeilichen Observationen. Und, und, und.

Ein mächtiges und gefährliches Werkzeug

Die Big-Data-Analyse ist totalitär, weil sie alles mit allem verknüpfen will. Weil sie Menschen so durchsichtig machen soll wie möglich. Sie ist ein mächtiges und gefährliches Werkzeug.

Dabei landen nicht nur die Daten von potenziellen Straftäter*innen im System, sondern auch die von Opfern, Zeugen und Menschen, die sich zur falschen Zeit im falschen Areal aufgehalten haben.

Mir ist völlig unverständlich, wie man als Demokrat denken kann, das sei eine gute Idee. Auf der einen Seite werden Länder wie China als problematische Kontrollstaaten dargestellt. In der Realität rennen wir den technischen Mitteln hinterher, die so etwas ermöglichen. Social Scoring? Mit Big-Data-Software per Knopfdruck aufbaubar. Anpassungs- und Konformitätsdruck galore. Mit solchen Tools sieht es schnell ganz schlecht aus für alle, die in Opposition zu den Herrschenden stehen.

Eine Software entscheidet, wer in den Fokus der Sicherheitsbehörden gerät

Ein weiterer Knackpunkt an dieser Art Software, egal woher sie kommt, ist die automatisierte Auswertung der zusammengeführten Daten. Kein Mensch, der vielleicht auch mal Mitgefühl oder zumindest Augenmaß haben kann, markiert, wer in den Fokus der Sicherheitsbehörden gerät, sondern eine Software. Einen kleinen Blick in diese bedrohliche Zukunft der Deutungshoheit der Maschinen bietet gerade die Debatte um den Datenaustausch mit den USA. Die dortigen Behörden wollen Zugriff auf biometrische Daten aus der EU. Laut einem aktuellen Verhandlungsstand soll es auch möglich sein, Entscheidungen über Einreisende automatisiert abzuwickeln.

Und man bedenke: Daten, die vorliegen, werden auch missbraucht. Das ist mit heutigen Polizeidatenbanken auch schon so – siehe NSU 2.0 und Polizisten, die Frauen stalken. Wenn dann eine derart umfassende Datenanalyse zur Verfügung steht, können die Täter*innen bei Interesse das Leben einer Person bis in die intimsten Winkel ausleuchten.

In Deutschland droht eine Machtübernahme der AfD. Die Politiker*innen, die sich jetzt für Big-Data-Software aussprechen, die sind auch willens, den Rechtsradikalen dieses Tool in die Hände zu geben.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.



Source link

Weiterlesen

Datenschutz & Sicherheit

iOS 26.4 Beta 2: Apple testet RCS-Verschlüsselung mit Android


Nach ersten Versuchen zwischen iPhones mit einer Ende-zu-Ende-Verschlüsselung (E2EE) für den SMS-Nachfolger Rich Communication Services (RCS) unter iOS 26.4 Beta 1 beginnt Apple nun mit „richtigen“ Tests des Dienstes. Mit der in der Nacht zum Dienstag erschienenen zweiten Beta von iOS 26.4 für Entwickler soll man nun auch in Richtung Android sicher kommunizieren können. Das geht aus dem Beipackzettel für iOS 26.4 Beta 2 hervor. Allerdings gilt das, wie schon zuvor zwischen iPhones, nicht für alle Mobilfunkanbieter – bei manchen ist der Dienst schlicht nicht freigeschaltet.

Weiterlesen nach der Anzeige

Erste Tests von Android zu iPhone und umgekehrt

Wie Apple mitteilt, geht es zunächst nur um „Tests zwischen Apple- und Android-Geräten“. Auf Android-Seite muss die jüngste Version von Google Messages vorhanden sein. Eine Freigabe von RCS-E2EE mit der Finalversion von iOS 26.4 ist derzeit nicht geplant. Die Funktion kommt erst mit einer „späteren Version“ von iOS 26, so der iPhone-Hersteller, ohne genaue Angaben zu machen. Die Implementierung ist nicht nur für iOS, sondern auch für iPadOS, macOS und watchOS geplant.

Apple nutzt den E2EE-Standard für RCS, den die GSM Association vorgeschlagen hat – offenbar im Rahmen von RCS Universal Profile 3.0, das noch weitere Verbesserungen verspricht, darunter E2EE-Gruppenchats, das nachträgliche Editieren von Botschaften, Tapbacks mit Emojis und mehr. Damit das alles funktioniert, müssen offenbar passende Carrier-Profile her, die die Mobilfunkanbieter ausliefern. Google hat E2EE via RCS zwischen Android-Geräten hingegen über eigene Server umgesetzt.

Weitere Neuerungen in iOS 26.4 Beta 2

Die zweite Beta von iOS 26.2 für Entwickler liefert auch noch weitere Neuerungen. So gibt es grafische Änderungen beim Editieren des Homescreens (stärkerer Liquid-Glass-Effekt), eine veränderte Suche in der Games-App (Eingabeleiste oben), Layout-Anpassungen im App Store und bei Apple Music und sogenannte Highlighting-Effekts lassen sich im Bereich Barrierefreiheit nun deaktivieren.

Schließlich schaltet sich die Verteilung von Beta-Updates nun automatisch ab, wenn man vier Monate lang keine neue Vorabversion installiert hat. Weiterhin nicht in Europa erhältlich ist unterdessen die neue KI-Wiedergabeliste für Apple Music, sie steht bislang nur US-Nutzern zur Verfügung.

Weiterlesen nach der Anzeige


(bsc)



Source link

Weiterlesen

Datenschutz & Sicherheit

40 Sicherheitslücken in ImageMagick geschlossen


Angreifer können insgesamt an 40 Schwachstellen in ImageMagick ansetzen, um Computer zu attackieren. Nach erfolgreichen Angriffen kommt es in erster Linie zu DoS-Zuständen und somit zu Abstürzen. Bislang gibt es seitens des Softwareherstellers keine Hinweise auf laufende Attacken. Admins sollten mit dem Patchen aber nicht zu lange zögern.

Weiterlesen nach der Anzeige

Verschiedene Gefahren

Mit der freien Bildbearbeitungssoftware erstellt und bearbeitet man Raster- und Vektorgrafiken. Im Sicherheitsbereich der GitHub-Website des Projekts sind weiterführende Informationen zu den in den Ausgaben 6.9.13-40 und 7.1.2-15 geschlossenen Lücken aufgeführt. Von den 40 gelösten Sicherheitsproblemen sind acht mit dem Bedrohungsgrad „hoch“ eingestuft.

So kommt es etwa bei der Verarbeitung von SVG-Dateien zu Fehlern und es werden rund 674 GB Speicher beansprucht, was zu Abstürzen führt (CVE-2026-25985). Die Verarbeitung von PSD-Dateien mit einem ZIP-Compressed-Layer führt ebenfalls zu Abstürzen (CVE-2026-24481). Im Kontext von Speicherfehlern kommt es oft nicht nur zu DoS-Zuständen, sondern es kann auch Schadcode auf Systeme gelangen.

Wie solche Attacken im Detail ablaufen könnten, ist bislang unklar. Die knappen Beschreibungen der Schwachstellen lassen aber darauf schließen, dass Opfer eine von einem Angreifer präparierte Datei öffnen müssen, um eine Attacke einzuleiten. Im Kontext von Webanwendungen liegt es nahe, dass der Upload einer präparierten Datei Schaden anrichten kann.

Weitere mögliche Attacken

Der Großteil der verbleibenden Softwareschwachstellen ist mit dem Bedrohungsgrad „mittel“ versehen. In diesen Fällen können Angreifer unter anderem ebenfalls Speicherfehler auslösen oder die CPU zu 100 Prozent auslasten (CVE-2026-26283 „mittel“). Außerdem kann es zu Memoryleaks kommen.

Weiterlesen nach der Anzeige


(des)



Source link

Weiterlesen

Beliebt