Willkommen |
|
myGully |
|
Links |
|
Forum |
|
|
|
|
16.05.24, 09:53
|
#1
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Oimjakon
Beiträge: 2.639
Bedankt: 2.774
|
Datenleck bei Dr. Ansay: Arzt wirft Bing und Duckduckgo kriminelles Verhalten vor
Zitat:
Datenleck bei Dr. Ansay: Arzt wirft Bing und Duckduckgo kriminelles Verhalten vor
Über Bing und Duckduckgo sind Rezepte mit Patientendaten auffindbar. Dr. Ansay wirft den Suchmaschinenbetreibern vor, die Daten unrechtmäßig erlangt und veröffentlicht zu haben.
Der Telemedizinanbieter Dr. Ansay hat derzeit offenbar mit einer massiven Datenschutzpanne zu kämpfen. Darauf aufmerksam gemacht hat am Dienstag ein Reddit-Nutzer in einem deutschen Cannabis-Subreddit. Diesem war aufgefallen, dass sich der Rezeptservice von Dr. Ansay über die Suchmaschine Duckduckgo gezielt durchsuchen ließ. Dort bekomme man "jede Menge Rezepte von diversen Leuten einfach so angezeigt", heißt es in dem Beitrag.
Inzwischen veröffentlichte der bekannte Online-Arzt auf seiner Webseite ein Statement. Darin heißt es, es seien bis zu 20 Prozent der bisher ausgestellten Rezepte über die Suchmaschinen Duckduckgo und Bing "illegal auffindbar". Das funktioniert noch immer, wenngleich die bei den Suchmaschinen aufgelisteten PDF-Dateien inzwischen nicht mehr vom Rezeptservice abrufbar sind.
Dennoch liefern Bing und Duckduckgo weiterhin Informationen über Patienten. Persönliche Daten wie Namen, Postadressen und Geburtsdaten sind in den Suchergebnissen noch immer einsehbar. Laut Dr. Ansay sind möglicherweise auch "Versicherungsdaten und die georderten Blüten" von dem Datenleck betroffen – Gesundheitsdaten aber nicht. Betroffene sollen in den nächsten Tagen eine E-Mail erhalten, inklusive Gutschein-Code, der vermutlich als Entschädigung dienen soll.
Den Fehler sucht Dr. Ansay bei anderen
Die Schuld für den Datenschutzvorfall sieht Dr. Ansay aber offenbar nicht bei sich selbst. "Duckduckgo nutzt die Suchergebnisse von Bing." Die Suchmaschine habe ohne Erlaubnis "die Daten von unserem Server gecrawlt und indexiert", schreibt der Arzt.
Möglich gewesen sei dies aufgrund "eines zu geringen Sicherheitsniveaus", verursacht durch einen seiner Ex-Mitarbeiter, der zusammen mit einem Partner "rechtswidrig" eine Konkurrenz-Webseite "ohne diese Datenschutzlücke" gestartet habe. "Die beiden haben offenbar mit mehreren Fake-Accounts auf Social Media ihre Webseite beworben und als erste die Anleitung zum Abruf der Daten gepostet", behauptet Dr. Ansay.
Sein Tech-Team habe "jeglichen Datenzugang sofort technisch blockiert", nachdem der Arzt am Abend des 14. Mai von dem Datenleck erfahren habe. Der Datenschutz neuer Bestellungen sei daher wieder voll gewährleistet.
Briefe an Microsoft und Duckduckgo
Um die Daten der betroffenen Patienten auch aus den Suchergebnissen von Bing und Duckduckgo verschwinden zu lassen, verschickte der Online-Arzt nach eigenen Angaben Anwaltsschreiben an deren Betreiber sowie an "weitere Plattformen, die illegal Anleitungen zum Abruf veröffentlichen". Sofern bis zum 16. Mai keine Reaktion erfolgt, will Dr. Ansay "sofort Strafanzeigen, Eilklagen und evtl. Sammelklagen" folgen lassen. "Wir sorgen mit aller Macht dafür, dass die Daten sofort gelöscht werden und informieren dann alle Betroffenen darüber", so der Arzt.
Ironischerweise machte ein Reddit-Nutzer die beiden Briefe an Duckduckgo (PDF) und den Bing-Betreiber Microsoft (PDF) im Anschluss auf die gleiche Weise ausfindig, wie auch zuvor die Rezepte entdeckt wurden. Ob es beabsichtigt war, die beiden Dokumente öffentlich zugänglich zu machen, ist unklar.
"Sie veröffentlichen rechtswidrig Patientendaten!", warnt Dr. Ansay darin und droht beiden Unternehmen mit rechtlichen Konsequenzen, sofern sie die Daten nicht umgehend aus ihren Suchergebnissen entfernen.
Ferner warnt der Arzt, er werde seine Patienten öffentlich über das "kriminelle Verhalten" der Suchmaschinenanbieter informieren. "Sie haben die Daten unrechtmäßig erlangt, gespeichert und veröffentlicht", so Dr. Ansay. Darüber hinaus bittet der Arzt Microsoft und Duckduckgo um Informationen darüber, wie sie an die Daten gelangten und welche Patienten und Daten genau betroffen sind.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Die folgenden 2 Mitglieder haben sich bei ziesell bedankt:
|
|
16.05.24, 10:46
|
#2
|
Moderator
Registriert seit: Oct 2012
Beiträge: 6.302
Bedankt: 7.984
|
Meine Güte!! Webcrawler/Spider/Robots sind Programme von Suchmaschinen, die völlig autonom ihre aufgespürten Daten in die Datenbank der Suchmaschinen einspeisen. Daran ist nichts kriminell. Mich wundert es, dass der googlespider das offenbar nicht fand.
Und wenn man denn so ein Angebot mit wordpress aufsetzt, sollte man sich auch um Datensicherheit bemühen.
|
|
|
Die folgenden 4 Mitglieder haben sich bei Draalz bedankt:
|
|
16.05.24, 16:20
|
#3
|
Profi
Registriert seit: Feb 2013
Beiträge: 1.737
Bedankt: 3.420
|
.... wen interessiert es ???
Wenn die ihr Zeug so dämlich programmieren, dass es sogar crawler finden, dann wäre ichganz still ...
__________________
-----------------------------------------------------------------------------------------------------
Diskutiere nie mit einem Idioten, denn wenn du dich auf sein Niveau herabläßt, schlägt er dich mit seiner Erfahrung.
|
|
|
Die folgenden 2 Mitglieder haben sich bei gerhardal bedankt:
|
|
16.05.24, 18:26
|
#4
|
Suppen Moderator
Registriert seit: Jan 2010
Beiträge: 6.480
Bedankt: 7.310
|
@Draalz
Den Google Robot kann man sehr einfach aussperren, ist, glaube ich, sogar eine Standard-Einstellung in einer der letzten WP Versionen gewesen. Die anderen Crawler hingegen erfordern ein aktives Beschäftigen mit dem Thema.
Und @topic - egal wer "schuld" hat - es sind Gesundheitsdaten, die abhanden kamen - die Datenschutzbehörden werden hier tätig werden, und, Überraschung, nicht bei den Suchmaschinenbetreibern.
__________________
Urlaubsmodus
|
|
|
Die folgenden 3 Mitglieder haben sich bei Thorasan bedankt:
|
|
16.05.24, 22:20
|
#5
|
working behind bars
Registriert seit: Apr 2013
Beiträge: 2.944
Bedankt: 12.572
|
Ein interessanter Artikel dazu bei Günter Born:
Zitat:
Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen
Beim (wohl umstrittenen) Online-Anbieter Dr. Ansay gab es ein fettes Datenleck. Es ließen sich Rezepte für Cannabis-Produkte über die Suchmaschinen Bing und DuckDuckGo abrufen. Der Betreiber hat den Sachverhalt eingeräumt, sucht die Schuld aber bei den Suchmaschinen, die die Dateien "illegaler Weise" indexiert haben und droht wohl mit rechtlichen Schritten.
Kleiner Rückblick auf Dr. Ansay
Auf dem Online-Portal Dr.Ansay lassen sich Krankschreibungen, aber auch Rezepte von Patienten ordern. Bei der Kombination Dr. Ansay und Rezepte könnte der Eindruck entstehen, dass da ein Mediziner das Portal betreibt. Aber ein Blick ins Impressum der Webseite offenbart (für mich überraschend), dass Dr. jur. Can Ansay als beauftragter Rechtsanwalt für den Inhalt der Seite verantwortlich zeichnet. Der Sitz der als Ltd. fungierenden Unternehmung ist Malta, als weitere Adresse wird Hamburg angegeben.
Beim Portal hat es ein fettes Datenleck gegeben: Ein Verzeichnis mit generierten PDF-Dateien zu Canabis-Rezepten war wohl frei per Internet erreichbar und wurde von der Suchmaschine Bing indexiert.
Die Suchmaschine DuckDuckGo greift auf diese Daten zu und lieferte demnach auch Treffer auf die betreffenden PDF-Dokument mit Canabis-Rezepten. Dritte konnten also sehen, wer Rezepte für Cannabis für medizinische Zwecke auf der Plattform eingereicht hatte, welche Krankenkasse zuständig ist und wo die Person wohnt.
Datenlecks sollten, speziell in diesem sensiblen Bereich nicht vorkommen, auszuschließen ist das nicht. Nachdem der Fehler bekannt wurde, hat der Betreiber den Ordner wieder geschützt. PDF-Dateien mit Rezepten sind nicht mehr auffindbar. Aber die Metadaten der Rezepte waren bzw. sind weiterhin per Suchmaschinen (Bing, DuckDuckGo) und Microsoft Copilot abrufbar.
Ich hatte über dieses Datenleck im Blog-Beitrag Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar über die Details berichtet und auch etwas zur Plattform geschrieben. Ob dort Cannabis-Rezepte von Ärzten verordnet werden, interessiert in diesem Kontext weniger – und da habe ich keine Probleme mit. Dass ein Datenleck aufgetreten ist, bleibt weniger schön, ist aber passiert.
Unternehmen, die gut mit so etwas umgehen, arbeitet man so etwas auf. Ich erwähne in diesem Kontext den Beitrag Datenschutz-GAU bei Stay Informed Kindergarten-App, wo deren Datenschutzbeauftragter mich kontaktierte und weitere Informationen bereitstellte. Dort war das Bemühen, den Fall umfassend aufzubereiten, erkennbar.
Stellungnahme auf dransay.com und Details
Von Dr. Ansay liegt jetzt auch eine Reaktion vor. In diesem Kommentar hat ein Leser auf die Stellungnahme Datenleck vom 14.05.2024 verlinkt (danke dafür).
Datenleck bei Dr. Ansay Hier die relevanten Angaben in Kurzform aus dem Dokument (siehe folgender Screenshot) herausgezogen und bewertet:
Das Datenleck wurde (wohl nach Bekanntwerden) von Seiten des Betreibers am 14.5.24 behoben. Wie lange der betreffende Ordner mit den PDF-Dateien offen zur Indexierung im Internet erreichbar war, wird nicht mitgeteilt.
Laut der Plattform Dr. Ansay seien nur 20 Prozent der bisher ausgestellten Rezepte über die Suchmaschinen DuckDuckGo und Bing auffindbar. Kann ich nicht widerlegen oder bestätigen.
In einem eigenen Absatz versucht der Betreiber zu relativieren – was aber zumindest vom Streisand Effekt sehr in die Hose gehen dürfte. Hier der betreffende Text, den ich mal zur Dokumentation herausziehe:
DuckDuckGo nutzt die Suchergebnisse von Bing, welche ohne Erlaubnis die Daten von unserem Server gecrawlt und indexiert hat. Das war technisch möglich aufgrund eines zu geringen Sicherheitsniveaus, das unbemerkt verursacht wurde von dem Ex-Mitarbeiter Florian K.,
der zudem mit seinem Partner Maurice F. rechtswidrig die Konkurrenz-Webseite Canngo gestartet hat ohne diese Datenschutzlücke, aber mit strafbaren Urheberrechts- und Arztpflicht-Verletzungen. Die beiden haben offenbar mit mehreren Fake-Accounts auf Social Media ihre Webseite beworben und als erste die Anleitung zum Abruf der Daten gepostet. Wir stellen Strafanzeigen und halten Euch über die Polizei-Ermittlungen auf dem Laufenden.
Dröseln wir doch mal die Aussage, die ich auf zwei Absätze gesplittet habe, auf. Die Aussage, dass die Rezepte illegal in den Suchmaschinen gelistet würden, und ohne Erlaubnis des Unternehmen gecrawlt wurden, ist meiner Meinung nach Bullshit vom Feinsten. Der Verantwortliche auf dransay.com ist zwar Jurist (Dr. Jur), sollte sich aber soweit über die Technik informieren, dass er zumindest weiß, dass Suchmaschinen-Crawler über eine robots.txt ausgeschlossen werden können, bevor er solche Aussagen trifft.
Die Aussage über den Ex-Mitarbeiter ist meiner Meinung nach eine Nebelkerze, die mit dem Datenschutzvorfall nichts zu tun hat. Die Strafanzeige in diesem Zusammenhang ist Nebelkerze Nummer 2, was den DSGVO-Vorfall betrifft – der Start einer angeblichen Konkurrenz-Webseite interessiert in diesem Kontext nicht. Der Fehler wurde beim Betreiber gemacht – und es ist ein besonders schwerer Datenschutzvorfall nach DSGVO, da besonders sensitive Daten über medizinische Sachverhalte von Patienten betroffen sind.
Schuld sind die Anderen
Fehler können passieren – das Unternehmen könnte dazu stehen. Nun versucht der Betreiber die vermeintliche "Schuld" auf Ex-Mitarbeiter sowie die Suchmaschinen abzuwälzen und stellt sogar Strafanzeige. Auf elevated.city hat jemand die Schreiben des CEO und Juristen Dr. Ansary an Microsoft und DuckDuckGo veröffentlicht – die dort ausgesprochenen Drohungen gegenüber Redmond sind lachhaft (Ansary will Strafanzeige stellen, wenn die Suchergebnisse nicht sofort entfernt werden).
Der Streisand-Effekt sowie §203 a ff. werfen nun ihre Schatten voraus. Durch die Strafanzeige wird ein Verfahren bei der Staatsanwaltschaft angestoßen. Je man Staatsanwaltschaft kann das eingestellt oder mit etwas Aufwand verfolgt werden. Der Vorwurf des "Ausspähens von Daten" dürfte aber bei einer Suchmaschine eher – auch mit arger Ausdehnung des Rechts – nicht zu halten sein.
Inzwischen haben auch Golem und heise den Sachverhalt in separaten Artikeln behandelt. Interessant fand ich dort die Information aus der Apothekerzeitung, dass der Betreiber der Plattform bereits eine einstweilige Verfügung der Wettbewerbszentral für COVID 19 Online-Testzertifikate erhalten hatte.
Was kann man tun?
Was können und sollten Betroffene tun? Als erstes eine DSGVO-Auskunft beim Unternehmen anfordern. Dann eine Meldung an die Datenschutzaufsicht absetzen und sich über den DSGVO-Vorfall beschweren. Und ggf. einen Anwalt, der sich mit Datenschutzrecht auskennt, kontaktieren, um die Frage eines Schadensersatzes zu klären (hier hat ein RA ein paar Details dazu veröffentlicht).
Ich habe inzwischen Beschwerde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wegen des Vorfalls eingereicht.
Schlechte Reaktion, wird zum Normalfall
Mich erinnert der obige Fall an das Bauhaus-Thema (Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen). Dort hatte ich eine Entdeckung eines Lesers gemeldet, die Leute haben die Schwachstelle geschlossen, aber vergessen, die Daten in Bing.com löschen zu lassen (auf meine zweite Eingabe wurde das auch nachgeholt).
Absolut ein "geht gar nicht" ist in meinen Augen der Versuch des Betreibers der Plattform, "die Schuld" anderen zuzuschieben. Hier kann man nur hoffen, dass die unter der Rubrik "Was kann man tun?" skizzierten Maßnahmen empfindlich greifen.
|
Quelle mit weiteren Links:[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Die folgenden 3 Mitglieder haben sich bei Uwe Farz bedankt:
|
|
17.05.24, 10:56
|
#6
|
Freigeist
Registriert seit: Sep 2010
Ort: München
Beiträge: 11.245
Bedankt: 23.297
|
Ist das nicht der Arzt, der bereits verurteilt wurde wegen Rezeptbetrug? Glaube seine Mutter wurde verurteilt, die für das Geschäftsmodell anfänglich herhalten musste. Zumindest habe ich die Erinnerung, dass es in Bezug mit diesem Unternehmen der Telemedizin Verurteilungen gab.
|
|
|
Die folgenden 2 Mitglieder haben sich bei MunichEast bedankt:
|
|
17.05.24, 15:28
|
#7
|
Profi
Registriert seit: Feb 2013
Beiträge: 1.737
Bedankt: 3.420
|
Ja, ziemlich dubiose Firma....
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
__________________
-----------------------------------------------------------------------------------------------------
Diskutiere nie mit einem Idioten, denn wenn du dich auf sein Niveau herabläßt, schlägt er dich mit seiner Erfahrung.
|
|
|
Die folgenden 2 Mitglieder haben sich bei gerhardal bedankt:
|
|
17.05.24, 15:59
|
#8
|
Freigeist
Registriert seit: Sep 2010
Ort: München
Beiträge: 11.245
Bedankt: 23.297
|
... aber sein Haschisch Rezept ist offline. Da sollen einige Apotheken übrigens abgewunken haben seine Rezepte einzulösen. Ob da was behördliches im Hintergrund läuft ? ??
Das Datenleck ist schon übel, im Netz von vielen nicht nur der volle Name, sondern auch das Geburtsdatum, die vollständige Adresse, Medikation sowie die Versicherung.
|
|
|
Die folgenden 3 Mitglieder haben sich bei MunichEast bedankt:
|
|
17.05.24, 16:27
|
#9
|
Profi
Registriert seit: Feb 2013
Beiträge: 1.737
Bedankt: 3.420
|
Zitat:
Das Datenleck ist schon übel, im Netz von vielen nicht nur der volle Name, sondern auch das Geburtsdatum, die vollständige Adresse, Medikation sowie die Versicherung.
|
Ja, aber das dürfte seine eigene Schuld sein. Es ist nun mal so, dass crawler dafür da sind, Seiten zu indexieren.
Ich bin da kein Profi, habe selbst nur eine Hobbyseite. Aber ich habe auch Seiten, die ich in keiner Suchmaschine haben will, da sie mehr oder wenig sinnlos sind. Da vergebe ich noindex, und keine einzige dieser Seiten wurde bisher veröffentlicht.
Ich bin da nicht der Spezialist hier, denke aber es gibt bestimmt noch wirksamere Methoden, eine Indexierung zu verhindern.
Wahrscheinlich ist sein Geschäftsmodell z.Zt. nicht so erfolgreich und versucht nun,Bing u.a. zu verklagen.
Seriös ist diese Firma auf jeden Fall nicht und so wie es aussieht, arbeitet dort auch nicht unbedingt die Hochintelligenz
__________________
-----------------------------------------------------------------------------------------------------
Diskutiere nie mit einem Idioten, denn wenn du dich auf sein Niveau herabläßt, schlägt er dich mit seiner Erfahrung.
|
|
|
Die folgenden 4 Mitglieder haben sich bei gerhardal bedankt:
|
|
18.05.24, 00:14
|
#10
|
Chuck Norris
Registriert seit: Apr 2009
Beiträge: 4.950
Bedankt: 12.100
|
Moin,
wenn der Schutz von Patientendaten, die ja zu den sensibelsten Personendaten überhaupt zählen, nur darauf basiert, dass man mit einem noindex Eintrag Suchmaschinen darum bittet, sich die offen zugänglichen Daten nicht anzusehen, ist ohnehin alles zu spät.
__________________
Wenn Kik den Preis pro Shirt um einen Euro erhöht um seinen Mitarbeitern ein besseres Gehalt zu zahlen, dann finden wir das alle gut.
Und dann gehen wir zu Takko einkaufen ...
|
|
|
Die folgenden 4 Mitglieder haben sich bei Melvin van Horne bedankt:
|
|
18.05.24, 07:56
|
#11
|
das Muster ist das Muster
Registriert seit: Apr 2011
Ort: Oimjakon
Beiträge: 2.639
Bedankt: 2.774
|
was überhaupt nicht genannt wurde, die Daten der Rezepte bzw die URLs die Kunden bekamen zum Abrufen ihrer Rezepte, wurden alle in die Sitemap geschrieben...
Also Fahrlässiger geht es gar nicht
|
|
|
Die folgenden 5 Mitglieder haben sich bei ziesell bedankt:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:54 Uhr.
().
|