Zum Inhalt springen Skip to footer

Datenleck-Skandal: Dr. Ansay beschuldigt Canngo, Microsoft & DuckDuckGo

Wie im gestrigen Artikel berichtet kam es bei dem Telemedizin-Anbieter Dr. Ansay zu einem schwerwiegenden Datenleck, bei dem allerlei sensible Patientendaten offengelegt wurden. Bei den betroffenen Patientendaten handelt es sich um Vornamen, Nachnamen, Adressen, Geburtsdaten, Versichertennummern, Krankenkassen, den behandelnden Ärzten sowie den verschriebenen Cannabispräparaten.

Kein offizielles Statement innerhalb von 24 Stunden

Der Leak wurde ursprünglich am 14 Mai 2024 um ca. 17 Uhr von einem Reddit Nutzer entdeckt – um 18 Uhr hat elevated.city in Artikelform auf die Datenpanne hingewiesen. Erst um 19:10 Uhr am 15 Mai 2024 kam eine offizielle Mitteilung von Dr. Ansay, vorher gab es bis auf einige TikTok Kommentare, aber kein offizielles Statement oder Pressemitteilung. Die Mitteilung ist übrigens nicht unter den Pressemitteilungen zu finden, sondern nur im Blog oder via einem Direktlink zu erreichen.

Offizielle Mitteilung zum Datenleck

In der offiziellen Mitteilung gibt Dr. Ansay an, dass die Sicherheitslücke erst gegen Abend am 14 Mai 2024 bemerkt wurde und daraufhin direkt reagiert wurde.

Ich habe vom Vorfall erst am 14.05.24 abends erfahren und mein Tech-Team aus dem Feierabend gerufen, welches jeglichen Datenzugang sofort technisch blockiert hat.

Dr. Ansay „Datenleck vom 14.05.24“

Laut Dr. Ansay sind ungefähr 20% aller Patienten von dem Leak betroffen, alle betroffenen Kunden sollen „in den nächsten Tagen“ eine E-Mail mit weiteren Informationen erhalten. Außerdem gibt Dr. Ansay an, zukünftig alle Services von externen Datenschutzexperten überprüfen zu lassen.

Jedoch waren oder sind wohl die Daten von bis zu ca. 20% der bisher ausgestellten Rezepte über die Suchmaschinen DuckDuckGo und Bing illegal auffindbar! Es betrifft also Eure persönlichen Daten, ggfs. Versicherungsdaten und die georderten Blüten. Eure Gesundheitsdaten sind somit nicht betroffen. Das tut uns sehr leid und wir reagieren bestmöglich. Wir informieren alle Betroffenen und arbeiten an den besten Lösungen für Euch. Falls Du in den nächsten Tagen keine Email von uns erhältst, bist Du nicht betroffen. Ab sofort werden zudem alle unsere Services von externen Datenschutz-Experten überprüft.

Dr. Ansay „Datenleck vom 14.05.24

Leider gibt es einen sehr wichtigen Punkt, den Herr Dr. Ansay in seiner offiziellen Mitteilung leider ignoriert hat. Das gesamte Verzeichnis war nämlich über einen längeren Zeitraum öffentlich zugänglich, doch was heißt das im Klartext?

Schwerwiegende Vorwürfe

Des weiteren stellt Dr. Ansay Anschuldigungen gegen seine ehemaligen Mitarbeiter und wirft diesen vor, den Konkurrenten canngo.express gegründet zu haben, dort diesen Fehler aber nicht begangen zu haben. Doch nicht nur die ehemaligen Mitarbeiter hält Dr. Ansay für verantwortlich, denn auch DuckDuckGo und Microsoft (die Inhaber von Bing) sieht er als mitschuldig.

DuckDuckGo nutzt die Suchergebnisse von Bing, welche ohne Erlaubnis die Daten von unserem Server gecrawlt und indexiert hat. Das war technisch möglich aufgrund eines zu geringen Sicherheitsniveaus, das unbemerkt verursacht wurde von dem Ex-Mitarbeiter [Name entfernt], der zudem mit seinem Partner [Name entfernt] rechtswidrig die Konkurrenz-Webseite Canngo gestartet hat ohne diese Datenschutzlücke, aber mit strafbaren Urheberrechts- und Arztpflicht-Verletzungen. Die beiden haben offenbar mit mehreren Fake-Accounts auf Social Media ihre Webseite beworben und als erste die Anleitung zum Abruf der Daten gepostet. Wir stellen Strafanzeigen und halten Euch über die Polizei-Ermittlungen auf dem Laufenden.

Dr. Ansay „Datenleck vom 14.05.24

Stellungnahme fehlt: Offen zugänglicher Rezeptservice

Wie im ursprünglichen Artikel beschrieben, stammt das Problem wohl aus dem offen einsehbaren Rezeptservice. Dieser konnte via dem Link https://rezeptservice.dransay.com/get/prescriptions/unsigned/XXXX_au.pdf einsehen werden, solange „XXXXX“ durch die Bestellnummer ersetzt wurde. Da die Bestellnummern relativ einfach zu bestimmen sind, sobald das Format bekannt ist, bestand das Potenzial für Cyberkriminelle, diese Daten mithilfe automatischer Programme abzugreifen und für illegale Zwecke zu verwenden. Bis jetzt fehlt vonseiten Dr. Ansay, bis auf eine beiläufige Erwähnung als „geringes Sicherheitsniveau“, jegliche Stellungnahme zu diesem spezifischen Konfigurationsfehler und der damit verbunden Lücke im Datenschutz. (Stand: Do. 16 Mai. 2024, 04:00)

Briefe von Dr. Ansay an Microsoft & DuckDuckGo entdeckt

Am 15 Mai 2024 wurden von einem Reddit Nutzer zwei Briefe von Dr. jur. Can Ansay an Microsoft (Bing) und DuckDuckGo entdeckt und gepostet – diese Briefe unterstellen den Unternehmen das illegale Veröffentlichen und Indexieren von Patientendaten. Diese Briefe sind in einem öffentlichen Verzeichnis der Dr. Ansay WordPress Webseite zu finden, ob es geplant war, diese öffentlich zu machen, bleibt fraglich. (Update: Die Briefe wurden aus dem Verzeichnis entfernt)

Herr Dr. jur Can Ansay beschuldigt in diesen Briefen die beiden Unternehmen der Verteilung, Veröffentlichung und Indexierung der Patientendaten aus dem gestrigen Leak. Außerdem fällt auf, dass in beiden Briefen danach gefragt wird, was der Grund für die Indexierung der PDF Dateien sei, wodurch die Frage entsteht, ob grobe Fahrlässigkeit im Spiel war oder ob es sich hierbei um einen Versuch der Schuldverschiebung handelt. Diese Frage wird wohl offiziell nie jemand beantworten, jeder kann sich aber eigene Gedanken zu dem Thema machen.

Haben Microsoft & DuckDuckGo tatsächlich Schuld an dem Datenleck?

Via DuckDuckGo wurde das Datenleck bemerkt.
Via DuckDuckGo wurde
das Datenleck bemerkt.

Eine Suchmaschine hat in der Regel keine Schuld an der Indexierung von Daten, wenn der Serverinhaber seine .htaccess-Datei oder Header nicht korrekt konfiguriert hat, auch wenn es sich dabei um sensible Patientendaten handelt. Microsoft’s Bing und DuckDuckGo crawlen (durchsuchen) das Internet nach öffentlich zugänglichen Inhalten und indexieren diese dann.

Wenn eine Webseite keine geeigneten Maßnahmen zum Schutz sensibler Daten trifft, wie z.B. die Nutzung von .htaccess, robots.txt-Dateien oder entsprechenden HTTP-Headern zur Verhinderung der Indexierung, können Suchmaschinen auch diese sensiblen Daten erfassen und diese dann als Suchergebnis anzeigen.

In diesem Fall wird es aber noch komischer, denn abgesehen davon, dass die Daten öffentlich auf dem Server zugänglich waren, wurden die PDF-Dateien anscheinend in der sogenannten „Sitemap“ des Dr. Ansay Rezepservices gelistet (https://rezeptservice.dransay.com/sitemap.xml) – Sitemaps dienen spezifisch dazu, Suchmaschinen die Indexierung von Inhalten zu erleichtern.

Sitemap des Dr. Ansay Rezeptservice-Servers
Sitemap des Dr. Ansay Rezeptservice-Servers

Die Verantwortung liegt allgemein primär beim Serverinhaber (Dr. Ansay), der sicherstellen muss, dass vertrauliche Informationen & Daten sicher geschützt sind und nicht versehentlich öffentlich zugänglich gemacht werden können. Denn Suchmaschinen folgen lediglich den Anweisungen der Webseiten und können nicht von sich aus erkennen, ob eine indexierte Datei sensible Daten enthält oder nicht. Von daher tragen für dieses Datenleck Microsoft & DuckDuckGo keine Verantwortung.

Wie geht es weiter?

Aktuell bleibt nur abwarten, denn bis ein offizielles Statement von den zuständigen Behörden kommt, hängen die betroffenen Patienten erstmal im Limbo fest. Auf jeden Fall sollten alle Patienten regelmäßig ihre E-Mails checken, schließlich hat Dr. Ansay versprochen sich bei allen betroffenen zu melden. Um auf dem aktuellsten Stand zu bleiben, solltest du im Live-Ticker zu den aktuellen Ereignissen vorbeischauen. Im r/germantrees Subreddit und CannaChat.de Discord Server wird aber auch aktiv zu dem Thema diskutiert, wenn du Interesse hast, kannst du dich gerne mit anderen dort austauschen!

Schreibe einen Kommentar