Dubidoc: Daten von 960.000 Menschen durch Sicherheitslücke offen im Netz

Petra/ Februar 18, 2024/ alle Beiträge, Gesundheitsdatenschutz/ 1Kommentare

Dubidoc ist eine Software, die das in Essen ansässige Unternehmen Takuta GmbH Ärzt*innen mit eigener Praxis zur Verwaltung von Patient*innen-Terminen anbietet.

Der Chaos Computer Club (CCC) hat am 16.02.2024 eine massive Sicherheitslücke aufgedeckt, durch die Daten von 960.000 Menschen offen im Netz einsehbar waren. Zudem waren auch Informationen zu 3,3 Millionen Behandlungs-Terminen abrufbar. Unter den offen zugänglichen Daten waren Namen, Geburtsdaten, Telefonnummern und e-Mailadressen zu finden, aber auch Informationen zu den behandelnden Ärzt*innen und zu Termindetails.

Auf der Homepage von Dubicoc sucht man vergeblich nach einem Hinweis auf diese massive Datenpanne. Stattdessen wird zur Frage Sind meine Daten und die Daten meiner Patienten bei dubidoc sicher?“ vollmundig erklärt: Wir speichern alle Daten in einem deutschen Rechenzentrum, das nach ISO 27001 (IT-Sicherheit) zertifiziert ist. Zu den Sicherheitsvorkehrungen zählen u.a. strenge Zutrittskontrollen, eine Notstromversorgung sowie redundante Netzwerkanbindungen. Wir achten auf die Einhaltung aktueller europäischer Datenschutzrichtlinien und setzen daher auf eine verschlüsselte Datenübertragung und sichere Passwörter. Die Überwachung der Datensicherheit erfolgt auf mehreren Ebenen und wird von ausgewiesenen Fachexperten verantwortet.”

Der CCC greift diese Aussage auf und stellt süffisant fest: Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus. Der Datenbank-Server war noch dazu frei aus dem Internet erreichbar. Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem ‚renommierten Provider‘ gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die – selbst wenn sie wahr wäre – selbstverständlich keine ist.“

Bleibt lediglich noch die Frage an die  Takuta GmbH: Wurde der Name für die Software vom Begriff dubios abgeleitet?


Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.

 

1 Kommentar

  1. leiten Krankenkassenpflichtbeiträge in Unternehmenskassen um (Provision)
    entmündigen und STEUERN (s.u.) den Patienten,
    Ärzte in digitale Plattformen und damit in deren Abhängigkeit drängen

    Mit BetterDoc den richtigen Arzt finden
    https://www.dak.de/dak/leistungen/zweitmeinung/mit-betterdoc-den-richtigen-arzt-finden_32142

    Nutzung des BetterDoc-Services

    Datenspeicherung und Löschfristen

    Weitergabe personenbezogener Daten an Dritte
    Der Nutzer entbindet BetterDoc dazu von der ärztlichen Schweigepflicht.
    https://www.betterdoc.org/datenschutzbestimmungen

    Für Patienten
    Unser Angebot
    Ablauf und Kosten
    Qualität bei BetterDoc
    Der Experten-Beirat
    Medizinische Fachartikel

    Unser Angebot
    Vorteile für Arbeitnehmer
    Vorteile für Arbeitgeber
    Qualität bei BetterDoc

    Für Krankenversicherungen
    Unser Angebot
    Patientensteuerung
    Zweitmeinung
    Qualität bei BetterDoc
    Ergebnisse & Referenzen

    https://www.unternehmensregister.de/ureg/result.html;jsessionid=395D946CC7FE143FBC42002958DEE352.web01-1?submitaction=showDocument&id=33465947

    https://www.medgate.ch/de-ch/uber-uns/uber-medgate

    https://www.ottogroup.com/de/medien/newsroom/meldungen/Otto-Group-beteiligt-sich-mehrheitlich-an-Digital-Health-Unternehmen-Medgate.php

    und fördern die unkontrollierbare Verbreitung von Krankheitsdaten.

    oder,
    wie Krankheitsdaten des Patienten zu Geschäftsdaten der Otto-Group werden?

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*