Dr. Ansay: Neue Sicherheitslücke legte 1,7 Millionen Datensätze offen

Bei dem Telemedizinanbieter Dr. Ansay hat es eine Sicherheitslücke gegeben, durch die rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar waren. Betroffen sind vor allem Cannabis-Rezepte mit Gesundheits- und personenbezogenen Daten, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kommen. Außerdem waren dort Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken einsehbar sowie beispielsweise auch Bestellungen zu Schmerzmitteln. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen nicht.

Bei heise online gingen Hinweise darauf ein, dass die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank basiert. heise online konnte das bestätigen. Durch die Fehlkonfiguration konnten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen. Trotz mehrerer Meldeversuche an das Unternehmen blieb eine Reaktion zunächst aus, die Daten waren bis Anfang Januar weiterhin ungeschützt. Am Abend, nachdem heise online eine Anfrage an das Unternehmen gestellt hatte, wurde die Lücke geschlossen.

Bug-Bounty-Programm

Zentrale Fragen von heise online lässt Dr. Ansay unbeantwortet und begründet den Fund mit dem Auflegen eines neu aufgelegten Bug-Bounty-Programms: „Wir gehen davon aus, dass die Lücke aufgrund eines von uns initiierten Bug-Bounty-Programm gefunden wurde“. Die Frage, ob eine Meldung an die Betroffenen gemäß Art. 34 der DSGVO erfolgt ist, lässt Dr. Ansay unbeantwortet.

Gegenüber dem Sicherheitsforscher, der die Lücke gefunden hat, hatte Dr. Ansay angegeben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Anfragen von heise online an die Datenschutzbehörden in Malta und Hamburg, wo Dr. Ansay seinen deutschen Sitz hat, wurden noch nicht beantwortet.

Die Kontaktaufnahme des Sicherheitsforschers hatte sich über die Feiertage leider verzögert“, sagte eine Sprecherin. Inzwischen funktioniere die Kommunikation und das Problem habe sofort gelöst werden können. „Wir danken dem Sicherheitsforscher für die Arbeit und behandeln den Vorfall intern weiter“. Weitere Details wolle Dr. Ansay „aktuell nicht teilen, da in Zukunft Black-Hat-Hacker diese nutzen könnten und wir unsere Systeme schützen“.

Unklar bleibt, seit wann die Sicherheitslücke bestand und ab wann das Unternehmen davon wusste, ob und in welchem Umfang Daten tatsächlich abgeflossen sind, wie viele Personen konkret betroffen sind und ob diese bereits informiert wurden. Offen bleibt auch, welche konkreten Risiken für Betroffene bestehen, welche Schutzmaßnahmen geplant sind und warum die Lücke nicht durch eigene Sicherheitsprüfungen entdeckt wurde.

Interne Sicherheits- und Monitoringprozesse

Gegenüber heise online und auf Reddit hatte Dr. Ansay noch im Dezember zugesichert, dass „interne Sicherheits- und Monitoringprozesse […] kontinuerlich“ laufen würden und es „keine Hinweise auf unautorisierten Zugriff oder einen Abfluss von Daten“ gebe. Zu dem Zeitpunkt wurden in einem Untergrundforum vermeintlich von Dr. Ansay stammende Datensätze zum Verkauf angeboten. Woher die Daten kommen, ist unklar. Denkbar ist auch ein Mix aus bereits veröffentlichten Leaks anderer oder ähnlicher Plattformen. Bisher konnte die Echtheit der Daten nicht bestätigt werden.

Datenschutz habe „oberste Priorität“, gibt Dr. Ansay an. „Die Systeme werden fortlaufend überprüft. Vor dem Hintergrund der aktuell vermehrt auftretenden Phishing- und Smishing-Versuche wurden die internen Kontrollen zusätzlich noch einmal intensiviert, ohne Befund“.

Datenpanne im Mai 2024

Bereits im Mai 2024 hatte es bei Dr. Ansay eine öffentlich bekannte Datenpanne gegeben, bei der Cannabis-Rezepte über Suchmaschinen abrufbar waren. Damals meldete das Unternehmen den Vorfall an die Datenschutzbehörde, sprach von einer behobenen Lücke und informierte Betroffene per E-Mail.

(mack)