{"id":271537,"date":"2022-08-12T15:27:43","date_gmt":"2022-08-12T13:27:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271537"},"modified":"2024-06-17T14:16:31","modified_gmt":"2024-06-17T12:16:31","slug":"digitalisierung-deutschland-patientendaten-in-praxissoftware-einsehbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/12\/digitalisierung-deutschland-patientendaten-in-praxissoftware-einsehbar\/","title":{"rendered":"Digitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar"},"content":{"rendered":"

\"GesundheitNeuer Datenschutz- und Sicherheitsvorfall in einer zertifizierten Arztpraxis-Software \"der 3. Generation\" f\u00fcr die Cloud. Die fortschrittliche Praxissoftware im Gesundheitswesen von Doc Cirrus<\/em>, laut Anbieter, und mit \u00c4rzten entwickelt, ist nicht ganz dicht. Sicherheitsl\u00fccken erm\u00f6glichten auf sensitive Patientendaten zuzugreifen und diese einzusehen. Die Praxissoftware wurde zeitweise offline genommen, ist aber wieder verf\u00fcgbar. Folgen f\u00fcr den Anbieter? Wohl keine – Business as usual – Digitalisierung Anno 2022 in Deutschland.<\/p>\n

<\/p>\n

Digitalisierung in Deutschland<\/h2>\n

\"\"Aktuell knallt es im Gesundheitswesen (zumindest von mir gef\u00fchlt) an allen Ecken und Enden. Gerade erst hatte ich im Blog-Beitrag gematik untersagt Video-Ident-Verfahren in der Telematikinfrastruktur (9. August 2022)<\/a> \u00fcber eine fette Schwachstelle bei der Patienten-Authentifizierung f\u00fcr die elektronische Patientenakte (ePA) berichtet. Hintergrund ist, dass das verwendete Video-Ident-Verfahren beliebig umgangen werden konnte (siehe Video-Ident durch Chaos Computer Club \"sturmreif geschossen\"<\/a>). Jeder konnte sich mit Fake-Identit\u00e4ten bei Krankenkassen eine Patientenakte anlegen lassen.<\/p>\n

Nun ist die Praxissoftware des Berliner Unternehmens Doc Cirrus ist \"Opfer des Kollektiv Zerforschung\" geworden, denn diese Fieslinge haben es gewagt, mal genauer hinzuschauen, was da so in der Cloud passiert. Dabei ist erneut aufgefallen, wie \"Digitalisierung in Deutschland\" funktioniert. Durch Schwachstellen in der Software waren zeitweise eine Million Patientendaten einsehbar – f\u00fcr den Arzt, aber auch f\u00fcr Interessierte oder Unbefugte. Es deutet sich an, dass Patientendaten in Deutschland nicht sonderlich sch\u00fctzenswert sind, anders sind die Vorf\u00e4lle in obigem ePA-Fall (die Bitkom kritisierte die Aussetzung des Video-Ident-Verfahrens) und im aktuellen Fall der Praxissoftware nicht zu interpretieren.<\/p>\n

Doc Cirrus inSuite: Cloudbasierte Praxissoftware<\/h2>\n

Ich habe mir mal spa\u00dfeshalber das Angebot der Berliner Firma Doc Cirrus angeschaut. Laut nachfolgendem Screenshot wirbt der Anbieter zwar mit einer lokalen Datenspeicherung – aber auf der Seite hei\u00dft es weiterhin \"Cloudbasierte Praxissoftware der 3. Generation\".<\/p>\n

\"Doc
\nArzt- und Praxissoftware von Doc Cirrus<\/p>\n

Der Hersteller ist wohl eine 2012 gegr\u00fcndete GmbH, die in Berlin angesiedelt ist und das Ziel verfolgt, den Medizin-Sektor mit neuer Praxissoftware und offenen Plattformen zu versorgen. Der Gr\u00fcnder des Unternehmens, Dr. Torsten Schmale, war zuvor mit der inubit AG (heute Teil des Bosch-Konzerns) im Bereich BPM-Software (Business Process Management) t\u00e4tig und wirbt mit seinen fundierten Kenntnissen, Einblicken und Einsichten im ambulanten, station\u00e4ren und intersektoralen Gesundheitswesen. Dieser wertvolle Erfahrungsmix sei Grundpfeiler und Ausgangspunkt von Doc Cirrus, die dann auf Basis des einzigartigen Hybrid-Cloud-Ansatzes das Kernprodukt – die \"Praxissoftware der 3. Generation\" inSuite – vermarkten. Diese Software ist von der Kassen\u00e4rztlichen Bundesvereinigung (KBV) zertifiziert, damit wirbt der Anbieter, und bei \u00c4rzten im Einsatz.<\/p>\n

Kollektiv Zerforschung deckt auf<\/h2>\n

Aktivisten des Kollektiv Zerforschung (die haben es sich zivilgesellschaftliche Gruppe zum Ziel gesetzt, IT-Sicherheitsl\u00fccken aufzudecken) haben sich die Fortschritte der Digitalisierung im Medizinbereich in Deutschland genauer angeschaut und die inSuite \"Praxissoftware der 3. Generation\" unter die Lupe genommen. Denn \u00e4hnlich wie meine Wenigkeit haben die Aktivisten bei der ganzen Digitalisierung im Gesundheitswesen ein \"schlechtes Bauchgef\u00fchl\". Klar, es ist schon cool, man kann Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen \u2013 das geht alles mit einer Software, z.B. von Doc Cirrus.<\/p>\n

Unwohl wird einem als Patient, wenn die Daten nicht sicher gesch\u00fctzt werden und Dritte darauf zugreifen k\u00f6nnen. Unwohl wird m\u00f6glicherweise auch dem Arzt, wenn er dr\u00fcber nachdenkt und feststellt, dass er der f\u00fcr Datenschutzvorf\u00e4lle Verantwortliche ist. Ich habe es hier im Blog noch nicht aufbereitet – aber k\u00fcrzlich habe ich an einer Videokonferenz einer Kassen\u00e4rztlichen Vereinigung teilgenommen, wo genau diese Themen zur Sprache kamen.<\/p><\/blockquote>\n

Mal genauer hingeschaut<\/h3>\n

Bei der Inspektion der Doc Cirrus-Praxisl\u00f6sung stie\u00dfen die Sicherheitsforscher auf Schwachstellen. Der normale Arzt und auch der Patient, der sich \u00fcber die tollen M\u00f6glichkeiten des Portals der inSuite \"Praxissoftware der 3. Generation\" freut, merkt davon nichts. Da das alles, dank Cloud, aber in einem Browser l\u00e4uft, darf man nicht die Entwicklertools des Browsers \u00f6ffnen, wenn man weiter als gl\u00fccklicher, aber unwissender Mensch sterben will. Denn in den Entwicklertools kann man sehen, was zwischen Browser und dem inSuite-Portal ausgetauscht wird.<\/p>\n

\"Terminvereinbarung
\n(Quelle: Kollektiv Zerforschung)<\/p>\n

Und wenn Google Maps dort aufgerufen wird (f\u00fcr die Karte, wo die Arztpraxis liegt, siehe obige Abbildung), wird man misstrauisch. Bei der Anmeldung am Portal bekommt ein Nutzer die Liste der Praxen angezeigt, bei der er registriert ist. Sieht alles gut aus – aber die Sicherheitsforscher bekamen in den Entwicklertools viele weitere Details mitgeliefert. Dazu geh\u00f6rten die Bankverbindung der Praxis, die E-Mail-Signatur der \u00c4rzte, die vorhandenen Drucker, und sogar die Zugangsdaten zum Versenden von E-Mails.<\/p>\n

Bei weiteren Nachforschungen stellte sich heraus, dass diese Daten f\u00fcr das E-Mail-Postfach der Praxis verwendet wurden – die Sicherheitsforscher bekamen Zugriff auf die gesamte E-Mail-Korrespondenz der Praxis. Diese Zugangsdaten f\u00fcr das Portal wurden bei jedem Aufruf an die Nutzer \u00fcbertragen. Die im \"Datensafe\" der Praxissoftware (lokal auf einem Server der Praxis) gespeicherten Dokumente wurden zwar \"Ende-zu-Ende-verschl\u00fcsselt\" \u00fcbertragen. Aber die pers\u00f6nlichen Dokumente von Arzt und Patient waren nicht nur unverschl\u00fcsselt gespeichert – sondern lie\u00dfen sich auch \"per Cloud\" abrufen – waren also f\u00fcr Zugriffe Dritter abrufbar und einsehbar. Das galt auch f\u00fcr Praxen- und Patientenlisten des Portals, so dass die dort zugeordneten Dokumente zugreifbar wurden. Neben Laborwerten von Patienten waren auch Rechnungen und andere Dokumente aus Praxen einsehbar.<\/p>\n

Zugriff auf Praxen- und Patientendaten<\/h3>\n

Unter dem Strich war es den Zerforschungs-Aktivisten mit wenig technischen Sachverstand m\u00f6glich, aus mehr als 270 Arztpraxen pers\u00f6nliche Dokumente und zu allen etwa 60.000 Patientinnen und Patienten personenbezogene Daten abzurufen. Insgesamt geht es um rund eine Million sch\u00fctzenswerter Daten. Die Ergebnisse der Sicherheitsforscher lassen sich unter Auch dezentral lassen sich gut Patient*innen-Daten verlieren<\/a> nachlesen.<\/p>\n

Datenschutzvorfall ohne Konsequenzen?<\/h2>\n

Die Aktivisten des Kollektivs informierten neben der Firma auch den f\u00fcr Doc Cirrus zust\u00e4ndigen Berliner Datenschutzbeauftragten und CERTBund beim BSI. Der Datenschutzbeauftragte best\u00e4tigte auf Anfrage<\/a> von NDR<\/em> und WDR<\/em>, dass er Hinweise zu einer Sicherheitsl\u00fccke von Gesundheitsdaten bekommen habe. Der Datenschutzbeauftragte schrieb auf die Anfrage: \"Aufgrund der vorliegenden Hinweise sch\u00e4tzen wir die uns bekannten Sicherheitsl\u00fccken derzeit als erheblich ein<\/em>\".<\/p>\n

Hersteller bessert nach<\/h3>\n

Der Hersteller, Doc Cirrus, nahm nach der Meldung das Portal offline und besserte die Fehler bzw. Schwachstellen aus. Laut Anbieter war ein schlicht ein \"Programmierfehler\" – und das bei einer \"zertifizierten\" Software. Ich habe den Text der Pressinformation vom 11. Juli 2022 des Herstellers mal herausgezogen – falls es verloren geht.<\/p>\n

Von externen IT-Experten wurden wir Ende des vergangenen Monats auf Sicherheitsl\u00fccken in unseren IT-Systemen hingewiesen. Im Rahmen eines Responsible-Disclosure-Verfahrens (geregeltes Verfahren zur Offenlegung von Sicherheitsl\u00fccken), f\u00fcr das wir den beteiligten Personen ausdr\u00fccklich danken m\u00f6chten, wurden wir auf Programmierfehler in unserer Software aufmerksam gemacht.<\/p>\n

Die betroffenen Dienste wurden nach Eingang der Meldung unverz\u00fcglich von uns deaktiviert und \u00fcberpr\u00fcft.<\/p>\n

Unsere Analyse hat ergeben, dass durch Programmierfehler Schwachstellen im Bereich der Arzt-Patienten-Kommunikation vorlagen, die unbefugte Dritte mit IT-Know-how und Fachkenntnissen in die Lage versetzt h\u00e4tten, unbefugt auf Einrichtungs- und Patientendaten einiger unserer Kunden zuzugreifen.<\/p>\n

Unsere Analysen von Logs und Zugriffsmustern bieten keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden.<\/p>\n

Die Programmierfehler sind mittlerweile korrigiert, die betroffenen Dienste sind gr\u00f6\u00dftenteils bereits wieder aktiv, lediglich ein letzter Dienst wird m\u00f6glichst zeitnah wieder nach einem Update zur Verf\u00fcgung gestellt.<\/p>\n

Der Teil unserer Kunden, der potentiell von den Schwachstellen h\u00e4tte betroffen sein k\u00f6nnen, wurde von uns unverz\u00fcglich nach Bekanntwerden des Problems informiert bzw. erh\u00e4lt entsprechende Informationen und Hinweise bei n\u00e4chstmaliger Nutzung der Dienste.<\/p>\n

Bei den potentiell betroffenen Kunden haben wir uns zudem f\u00fcr den Ausfall der Dienste entschuldigt und unser Bedauern ausgedr\u00fcckt, dass diese Programmierfehler trotz unserer umfangreichen technisch-organisatorischen und IT-architekturellen Ma\u00dfnahmen – bspw. extern beauftragte Penetrations-Tests sowie die Zertifizierung nach ISO 27001 – nicht bereits im Rahmen unserer Qualit\u00e4tssicherungs- und Testprozesse identifiziert wurden. Entsprechend werden wir weitere pr\u00e4ventive Ma\u00dfnahmen und Abl\u00e4ufe etablieren, um insbesondere das Auftreten sicherheitsrelevanter Programmierfehler zu vermeiden.<\/p>\n

Neben unseren Kunden und Partnern haben wir die zust\u00e4ndigen Beh\u00f6rden \u00fcber den Vorfall fristgerecht und umfassend informiert.<\/p><\/blockquote>\n

Inzwischen ist die Software wieder im Einsatz und der Anbieter erkl\u00e4rt, dass \"zu keinem Zeitpunkt sensible Daten abgeflossen seien\" – ob das per Log-Dateien \u00fcberhaupt feststellbar ist, entzieht sich an dieser Stelle meiner Kenntnis. Laut NDR und WDR-Beitrag<\/a> ist das Unternehmen selbst bez\u00fcglich dieser Vorg\u00e4nge \u00e4u\u00dferst wortkarg – und auch die AOK Nordost h\u00fcllt sich in Schweigen.<\/p>\n

Die AOK Nordost war insofern als Kunde des Unternehmens involviert, als in Folge der Korrekturen es Probleme im Centrum f\u00fcr Gesundheit in Berlin der AOK Nordost gab. Dort konnten f\u00fcr \u00fcber eine Woche keine Termine gebucht werden. Laut NDR und WDR gibt die AOK Nordost nicht an, wie viele Patienten von der Sicherheitsl\u00fccke betroffen waren.<\/p><\/blockquote>\n

Potentiell Betroffene wurden auch nicht informiert, hei\u00dft es im NDR und WDR-Beitrag<\/a>, was der Aussage des Herstellers in obigem Pressetext wiederspricht. Was nun stimmt, kann ich aktuell nicht beurteilen. Interessant ist aber folgendes: Der Hersteller Doc Cirrus schreibt \"unsere Analysen von Logs und Zugriffsmustern bieten keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden\". In den Chats des Artikels von Zerforschung hei\u00dft es:<\/p>\n

der Dienst hat ein Auditlog – unsere Requests tauchen nicht darin auf.<\/p>\n

Diese Aufzeichnung h\u00e4tte ein n\u00fctzliches Werkzeug sein k\u00f6nnen, um nachzuvollziehen, ob die von uns gefundenen Sicherheitsl\u00fccken bereits vorher entdeckt und ausgenutzt wurden.<\/p>\n

Allerdings n\u00fctzt das in diesem Fall vermutlich sowieso nichts \u2013 denn h\u00f6chstwahrscheinlich k\u00f6nnen wir die Datens\u00e4tze nicht nur auslesen, sondern auch ver\u00e4ndern.<\/p><\/blockquote>\n

Der letzte Satz galt der Erkenntnis, dass die Sicherheitsforscher teilweise Administrationsfunktionen nutzen konnten.<\/p>\n

Allerdings gibt es noch ein weiteres Problem (bez\u00fcglich der Information Betroffener), auf welches ich \u00fcber diesen Kommentar<\/a> gesto\u00dfen bin. Beim Arzt gilt ja das Berufsgeheimnis (\u00a7203 StGB), so dass es schon problematisch werden k\u00f6nnte, wenn Dritte feststellen k\u00f6nnen, welche Person bei welchem Arzt vorstellig wird. Hier bin ich aber zu wei\u00df au\u00dfen vor, um da belastbare Aussagen treffen zu k\u00f6nnen. Ziemlich verzwickt, die Sache. Mein Hausarzt (hat noch einige J\u00e4hrchen) besteht auf seine Handakten – obwohl die Praxismitarbeiterinnen fluchen – k\u00f6nnte man alles elektronisch in diesem PC machen. Hektik gibt es immer nur dann, wenn dieses \"Tierchen muckt und nicht will\" – aber an Datenschutz denkt keines der M\u00e4deln.<\/p><\/blockquote>\n

Anf\u00e4ngerfehler in der Entwicklung<\/h3>\n

Kollektiv Zerforschung vermisst in seinem Beitrag \"beim Hersteller der Software das n\u00f6tige Bewusstsein, dass Gesundheitsdaten sehr sensible Daten sind und zurecht in der DSGVO besonders gesch\u00fctzt sind. Die aufgezeigten Fehlerquellen sind Anf\u00e4ngerfehler und zeigen nach Ansicht der Sicherheitsforscher krasse Defizite in den Entwicklungs-Prozessen des Unternehmens auf.<\/p>\n

Die vielen, von Doc Cirrus, aufgefahrenen \"Zertifizierungen\" sind das Papier nicht wert, auf das sie gedruckt sind. Keine der Zertifizierungsstellen hat das Produkt kritisch gepr\u00fcft. Kollektiv Zerforschung fordert, dass die Datenschutzbeh\u00f6rde gegen das Unternehmen vorgehen und empfindliche Strafen verh\u00e4ngen muss. Meine pers\u00f6nliche Einsch\u00e4tzung: Das wird nichts und l\u00e4sst sich juristisch kaum durchsetzen, wenn kein Schaden nachgewiesen werden kann.<\/p>\n

Zudem wurde die Forderung, dass IT-Sicherheit bei Softwareherstellern ganz oben auf die Priorit\u00e4tenliste muss, von den Sicherheitsforschern erhoben. Traurig, dass so etwas erw\u00e4hnt werden muss – und ich gehe davon aus, dass entsprechende Zusicherungen Lippenbekenntnisse sind. Sehe ich an den F\u00e4llen, in denen ich hier im Blog auf Sicherheitsl\u00fccken hinweise und diese teilweise mit aufgedeckt habe.<\/p>\n

Der Arzt ist verantwortlich!<\/h2>\n

Und wie schaut es mit der Haftung des Anbieters aus? Und wer ist am Ende des Tages f\u00fcr Datenschutzverst\u00f6\u00dfe verantwortlich? Da im Blog auch \u00c4rzte gelegentlich mitlesen, ein paar unangenehme Wahrheiten. Die Zertifizierung durch die Kassen\u00e4rztliche Bundesvereinigung etc. ist nicht wirklich hilfreich. Ich zitiere die Aussage des Sprechers des Bundesdatenschutzbeauftragten, Christof Stein, im NDR und WDR-Beitrag<\/a>:<\/p>\n

Tats\u00e4chlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten.<\/p><\/blockquote>\n

Dies gelte auch f\u00fcr Software, die sensible Daten verarbeite (also die oben genannte Praxissoftware). Dann kommt der Knackpunkt, der sich auch mit meinem Kenntnisstand deckt:<\/p>\n

Verantwortlich ist laut Stein zufolge letztlich die Arztpraxis. Der Arzt bzw. die Praxis m\u00fcsse \u00fcberpr\u00fcfen, ob die eingesetzte Software datenschutzkonform sei. Dort darf man sich nicht auf irgendwelche Zertifikate oder G\u00fctesiegel verlassen.<\/p><\/blockquote>\n

\"Das Motto 'Je mehr Zertifikate, desto besser' sollte man sowieso grunds\u00e4tzlich immer hinterfragen, weil diejenigen, die die Zertifikate ausstellen nat\u00fcrlich auch ganz bestimmte Kriterien anlegen, die man gegebenenfalls als Verbraucherin und Verbraucher gar nicht kennt\", so Christof Stein. Korrespondiert auch mit den Aussagen der Juristen auf einer Videosession einer kassen\u00e4rztlichen Vereinigung, an der ich k\u00fcrzlich teilgenommen habe.<\/p>\n

Die Aussagen sind irgendwie auch logisch. Wenn ich ein Windows, ein Office, ein Exchange von Microsoft einsetze und dann gehackt werde, bin ich als Betreiber der Software, und nicht der Hersteller Microsoft, in der Verantwortung.<\/p><\/blockquote>\n

\"Arzt\"
\n(Quelle: Pexels\/Pixabay CC0 Lizenz)<\/p>\n

Dem Arzt oder der Praxis bliebe nur, den Hersteller der Praxissoftware im Falle eines Schadens in Regress zu nehmen. Da w\u00e4ren aber die Schadenssummen einzuklagen (kam auf der von mir erw\u00e4hnten Videokonferenz einer Kassen\u00e4rztlichen Vereinigung von deren Hausjuristen auch so heraus). Und dann wird es spannend, ob der Anbieter die Schadensersatzh\u00f6he in seinen AGB begrenzt.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Cyber-Sicherheit im Gesundheitswesen<\/a>
\nSicherheitsl\u00fccken im deutschen Gesundheitsdatennetz<\/a>
\nN\u00e4chstes Sicherheitsdesaster bei Vivy-Gesundheits-App<\/a>
\nAccess:7-Sicherheitsl\u00fccken mit Auswirkungen auf medizinische und IoT-Ger\u00e4te<\/a>
\nElektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?<\/a>
\nDigitalisierung im Gesundheitswesen: \u00c4rzteverb\u00e4nde fordern einj\u00e4hriges Moratorium<\/a>
\nGesundheitswesen: Einrichtungen Hauptziel von Ransomware-Angriffen<\/a>
\nHack dein Gesundheitsamt, die Luca-App machte es m\u00f6glich<\/a>
\nSchweizer Impfplattform mit schweren Sicherheitsm\u00e4ngeln<\/a>
\nDer Schweizer Impfpass: Gescheitert an der Sicherheit<\/a>
\nTenable zeigt: Fast 106 Millionen Gesundheitsdaten offengelegt<\/a><\/p>\n

60 Jahre Software-Entwicklung: Ein Alptraum, der mit grottiger Qualit\u00e4t und im Chaos endet<\/a>
\nSoftware: Unser Grab als PKW-Besitzer der Zukunft?<\/a>
\nZum Nachdenken: Softwaresicherheit in modernen Autos<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Neuer Datenschutz- und Sicherheitsvorfall in einer zertifizierten Arztpraxis-Software \"der 3. Generation\" f\u00fcr die Cloud. Die fortschrittliche Praxissoftware im Gesundheitswesen von Doc Cirrus, laut Anbieter, und mit \u00c4rzten entwickelt, ist nicht ganz dicht. Sicherheitsl\u00fccken erm\u00f6glichten auf sensitive Patientendaten zuzugreifen und diese … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271537","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271537","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271537"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271537\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271537"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271537"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271537"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}