![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Das ist wohl ein fettes Datenleck, welches Wellen werfen k\u00f6nnte. Nach dem Motto \"Deine Gesundheitsdaten sind Allgemeingut\" lassen sich Rezepte f\u00fcr Cannabis-Produkte beim Online-Anbieter Dr. Ansay \u00fcber die Suchmaschine DuckDuckGo abrufen. Die Quelle der Rezepte d\u00fcrften meinen Recherchen nach wohl Microsofts Bing sein. Zudem gr\u00e4tscht auch der CoPilot mit rein.<\/p>\n
<\/p>\n
Die \"Services\" dieses Dienstleisters umfassen die S\u00e4ulen elektronische Krankschreibung, Online-Rezepte und die ber\u00fchmt ber\u00fcchtigte e-Therapie f\u00fcr mentale Gesundheit und Co.<\/p>\n Klingt cool, ist gut – zumindest f\u00fcr Generation \"vor Boomer\" – und sieht bequem aus. Bei Online-Angeboten wie Doctolib (Terminvereinbarung mit \u00c4rzten) zuckt es bei mir aber immer, weil mir Datensicherheit vor Komfort geht. Das franz\u00f6sische Technologieunternehmen Doctolib SAS mit Sitz in Paris, das eine Software anbietet, die unter anderem die Online-Buchung von Terminen bei \u00c4rzten, das Terminmanagement in Praxis etc. anbietet, steht bei Datensch\u00fctzern regelm\u00e4\u00dfig in der Kritik, weil sie die Hausaufgaben in Sachen Datenschutz nicht gemacht haben.<\/p>\n Bei Dr. Ansay hat es bei mir \"gezuckt\", als mir der Begriff \"Patientenakte\" ins Auge sprang. Nach einer Registrierung kann man sich mittels E-Mail-Adresse und Passwort anmelden und seine \"Behandlungen bzw. Rezepte\" verfolgen. Bei E-Mail-Adresse und Passwort f\u00fchlt sich Generation Internet sicher, aber die \"Patientenakte\" ist nicht das, was sich unter elektronischer Patientenakte (ePA) verbirgt. Ich habe kein Konto beim Dr. Ansay, es d\u00fcrfte sich aber um eine selbst gestrickte \"Patientenakte\" handeln. Solange die Daten sicher sind, \"ist alles fein\". Ob 2FA bei der Anmeldung\u00a0 unterst\u00fctzt wird, konnte ich nicht pr\u00fcfen.<\/p>\n Tja, der Doc im Internet, das ist schon eine tolle Sache. Aber irgend einer von den Software-Klempnern, die deren Plattform zusammen nageln, hat da was mit \"Rezepte im Internet\" gr\u00fcndlich falsch verstanden. Es war ein kurzer Leserhinweise (danke daf\u00fcr) im Diskussionsbereich des Blogs, der auf ein unsch\u00f6nes Datenleck beim Portal Dr. Ansay hinwies.<\/p>\n Datenleak bei Dr. Ansay (cannabisrezepte)<\/p>\n Komplette Cannabisrezepte mit Namen und Adressen \u00fcber DuckDuckGo auffindbar …<\/p><\/blockquote>\n Und in diesem Kommentar<\/a> weist ein Leser ebenfalls darauf hin, dass es bei dransay.com eine Fehlkonfiguration gab (Prim\u00e4rquelle des Leaks ist wohl dieser reddit.com-Post). Ein Ordner mit PDF-Dateien (die PDFs enthielten die Cannabis-Rezepte) stand wohl frei erreichbar im Internet, so meine Interpretation.\u00a0Das f\u00fchre zu einem massives Datenleck, denn die Suchmaschine konnte die Rezepte indexieren. Die L\u00fccke ist inzwischen behoben aber in der Suchmaschine sind die (Meta-)Daten noch zu finden. Ein dritter Hinweis kam per pers\u00f6nlicher Nachricht auf Facebook.<\/p>\n Geht man auf die Suchmaschine DuckDuckGo und verwendet im Suchausdruck\u00a0 die URL rezeptservice.dransay.com <\/em>kombiniert mit einem +-Zeichen und dem Filter filetype:pdf <\/em>f\u00fcr den auszusortierenden Dateityp, wird einem die oben gezeigte, feine Orderliste mit Cannabis-Rezepten ausgeworfen. Da hat jemand die betreffenden Rezepte als PDF generieren lassen – m\u00f6glicherweise f\u00fcr die \"Kunden\" oder f\u00fcr die Rechnung. Und dann ist jemand in der Software-Schmiede ein Fehler passiert, denn die PDF-Dateien wurden durch Bing.com indexiert<\/a> – von dort bezieht DuckDuckGo seine Sucherergebnisse.<\/p>\n Es gab von einem Blog-Leser noch einen Hinweis auf ein Forum in der Schweiz, dessen Inhalte aber wohl nur mit Anmeldung zu sehen sind und daher hier nicht verlinkt werden.<\/p>\n Auf reddit.com ist der Sachverhalt aber detaillierter beschrieben. Und in diesem Post legt ein reddit.com-Nutzer offen, was alles an Daten zu finden war: Name, Adressen, teilweise Versicherungsnummer und Krankenkasse.<\/p><\/blockquote>\n Der Fehler ist zwar auf der Webseite Dr. Ansay behoben und die PDF-Dateien mit dem jeweiligen Rezept sind nicht mehr per Internet abrufbar. Auch hat Bing.com keinen Cache mehr – in der Wayback Machine sind die Rezepte nicht indexiert – vielleicht hat jemand von den Entwicklern seine Hausaufgaben gemacht und den Cache l\u00f6schen lassen.<\/p>\n Tscha, und jetzt kommt Microsoft ins Spiel, denn die haben Copilot und preisen das Teil wie Sauberbier an. Der CoPilot hat mich auf bing.com auch gleich angesprungen und mir obige Information geliefert. Jetzt m\u00fcsste man Prompt-Engineer sein, der die von OpenAI eingezogenen Leitplanken verbiegen kann. Ich habe es mal mit einfachen Fragen versucht und sogar Antworten erhalten.<\/p>\n Gut, die PDF-Datei hat mir CoPilot verweigert. Aber immerhin wei\u00df ich nun, welcher Privatarzt zum 5. Mai 2024 \"Cannabisbl\u00fcten, Remexian 20\/1 White\" verschrieben hat.<\/p>\n Erg\u00e4nzung 1:<\/strong> CoPilot hat in dem Fall inzwischen \"Sicherheitsleitplanken\" einbezogen bekommen und verweigert bei einfachen Prompts die Antwort oder beginnt zu schwurbeln. Wenn ich auf DuckDuckGo die Suche auf die Postleitzahl 00000 rezeptservice.dransay.com filetype:pdf\u00a0<\/em>eingrenze, kann sich sehr genau ermitteln, wer der Empf\u00e4nger von Cannabis auf Rezept war.<\/p>\n Inzwischen gibt es eine Stellungnahme der Plattform, die ich pers\u00f6nlich etwas merkw\u00fcrdig finde. Ich habe das Thema mal separat im Beitrag\u00a0Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen<\/a> aufbereitet.<\/p>\n Der obige Lapsus wird meiner Einsch\u00e4tzung nach leider das \"neue Normal\" werden, sobald die Pl\u00e4ne zur Digitalisierung im Gesundheitswesen umgesetzt wurden. Obwohl: Bei Cannabis ist man in guter Gesellschaft, wurde doch im April 2024 ein Datenleck bei Cannabis-Clubs ruchbar (siehe Sicherheitsvorf\u00e4lle M\u00e4rz\/April 2024 (Stand 9.4.2024)<\/a>).<\/p>\n \u00c4hnliche Artikel:<\/strong> Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Das ist wohl ein fettes Datenleck, welches Wellen werfen k\u00f6nnte. Nach dem Motto \"Deine Gesundheitsdaten sind Allgemeingut\" lassen sich Rezepte f\u00fcr Cannabis-Produkte beim Online-Anbieter Dr. Ansay \u00fcber die Suchmaschine DuckDuckGo abrufen. Die Quelle der Rezepte d\u00fcrften meinen Recherchen nach wohl … Weiterlesen Bei Dr. Ansay handelt es sich um einen \"Medizindienstleister\" im Internet<\/a>, bei dem Du alles, von der Online-Krankschreibung bis hin zum Cannabis-Rezept bekommen kannst.<\/p>\n
![\"Dr.](\"https:\/\/i.postimg.cc\/BQkrLp25\/image.png\" "\\"Dr.")
<\/a><\/p>\n![\"Dr.](\"https:\/\/i.postimg.cc\/brztR1b3\/image.png\" "\\"Dr.")
<\/p>\nLeserhinweise auf Datenleck<\/h2>\n
![\"](\"https:\/\/i.postimg.cc\/1XGgTQLm\/image.png\" "\\"")
<\/p>\nMal eben Copilot befragt<\/h2>\n
![\"Was](\"https:\/\/i.postimg.cc\/B6srW8QP\/image.png\" "\\"Was")
<\/p>\n![\"Copilot](\"https:\/\/i.postimg.cc\/nrZx3HRH\/image.png\" "\\"Copilot")
<\/p>\n
\nSicherheitsvorf\u00e4lle M\u00e4rz\/April 2024 (Stand 9.4.2024)<\/a>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nM\u00f6gliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a><\/p>\n