CCC-Hack auf Dubidoc: Hersteller sehen keine Hinweise auf Datenabfluss
Mal wieder hat der CCC eine Lücke bei einer Terminservice-Software gefunden. Demnach waren rund eine Million Patientendatensätze öffentlich einsehbar.
(Bild: Andrei_R/Shutterstock.com)
Der Chaos Computer Club (CCC) hat eine Lücke bei dem Terminservice-Anbieter Dubidoc gefunden, hinter dem das Start-up Takuta GmbH steht. Inzwischen hat Takuta die Sicherheitslücke, über die ein Zugriff auf rund eine Million Datensätze von Patienten möglich war, geschlossen und "Maßnahmen getroffen, um eine Wiederholung eines solchen Vorfalls zu verhindern". Das teilte Daniel Strunk, Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), heise online mit. Inzwischen hat das Unternehmen seine Kunden über das Datenleck informiert.
Laut Strunk gehören zu den öffentlich zugänglichen Daten E-Mail-Adressen, Passwörter, Telefonnummern, Vor- und Nachname, Geschlecht, Geburtsdatum, Angaben zu Verwandten und Termindaten. Bei dem Datenleck war der Profiler des PHP-Frameworks "Symfony" aktiv und Debug-Informationen sichtbar. Diese enthielten Benutzername und Passwort für die Datenbank. Ein aktiver Debugger in einer Live-Umgebung ist ein schwerwiegender Fehler.
Keine Einschränkung bei Datenbank-Zugriffen?
Zusätzlich war die Datenbank noch über das Internet erreichbar. "Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem 'renommierten Provider' gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die – selbst wenn sie wahr wäre – selbstverständlich keine ist", kommentiert der CCC.
Unklar ist zudem noch, ob außer dem CCC noch weitere auf die Daten zugegriffen haben. "Es steht noch eine Stellungnahme aus zu der Frage, welche Maßnahmen ergriffen wurden, um zu prüfen, ob weitere Dritte Zugriff auf die Daten hatten", heißt es von Strunk.
Inzwischen hat sich Dubdioc-Gründerin Shabnam Fahimi-Weber zum Vorfall geäußert. Als Ärztin sei ihr der Schutz von Patientendaten sehr wichtig und sie bedauere den Vorfall sehr. Bislang gebe es "keine Hinweise auf unerlaubte Zugriffe auf die von uns verarbeiteten Daten". Zu getroffenen Maßnahmen zählen neben der angepassten Konfiguration des betroffenen Servers auch, dass "der direkte Zugriff auf die Datenbank, auch mit Zugangsdaten, aus dem Internet" nicht mehr möglich ist, heißt es in einer Stellungnahme. Ebenso sei es dem Start-up wichtig, künftig "Sicherheit in den Fokus unserer Softwareprodukte zu rücken".
Stellungnahme von Dubidoc-Gründerin Shabnam Fahimi-Weber ergänzt.
Sicherheitslücken bei Healthcare-Start-ups
Immer wieder weisen Start-ups im Gesundheitswesen Sicherheitslücken auf. Vor rund einem Jahr hatte ein Sicherheitsforscher – ebenfalls im Sinne des Responsible Disclosure – eine Sicherheitslücke bei einem Arztterminservice-Portal gemeldet. Allerdings wurde die Lücke erst Monate später und nach Anfragen von heise online geschlossen. Bei digitalen Gesundheitsanwendungen gibt es ebenfalls immer wieder Sicherheitslücken, beispielsweise bei Depressions-Apps.
(mack)