1,7 Millionen Rezepte: Datenpanne bei Dr. Ansay betrifft Hunderttausende Kunden
Bei dem Telemedinzinanbieter Dr. Ansay ist es offenkundig zum wiederholten Male zu einer Datenpanne gekommen. Wie Heise Online berichtet(öffnet im neuen Fenster) , sind aufgrund einer Sicherheitslücke etwa 1,7 Millionen Rezepte von Hunderttausenden Kunden potenziell abrufbar gewesen. Ursache war wohl eine Fehlkonfiguration der Zugriffsregeln einer Firebase-Firestore-Datenbank.
Den Angaben zufolge war für den Zugriff ein gültiges Token eines eingeloggten Benutzers erforderlich. Damit sollen nicht nur die eigenen Rezepte, sondern auch jene anderer Nutzer abrufbar gewesen sein. Laut Bericht gab es mehrere Versuche, die Sicherheitslücke zu melden. Das Leck wurde zwar letztendlich geschlossen, wie lange es offen war, ist allerdings unklar.
Zu den betroffenen Daten sollen vor allem Cannabis-Rezepte gehören, inklusive der damit einhergehenden personenbezogenen Daten wie Namen, Postadressen, E-Mail-Adressen, Rufnummern und Informationen zu den verschreibenden Ärzten. Aber auch Daten über die jeweiligen Medikamente und deren Dosierungen sollen zugänglich gewesen sein.
Nicht die erste Datenpanne bei Dr. Ansay
Ob ein böswilliger Akteur die Rezeptdaten abgriff, ist unklar. Diese sowie andere wichtige Fragen zu dem Vorfall, etwa ob Betroffene bereits informiert wurden, beantwortete Dr. Ansay dem Bericht zufolge bisher nicht. Der Telemedinzinanbieter soll lediglich auf sein neu aufgelegtes Bug-Bounty-Programm(öffnet im neuen Fenster) verwiesen haben, das je nach Schweregrad einer gemeldeten Sicherheitslücke Prämien in Höhe von bis zu 5.000 Euro verspricht.
Entdeckt wurde das Datenleck wohl von einem namentlich nicht genannten Sicherheitsforscher. Diesem soll Dr. Ansay bestätigt haben, den Vorfall an die zuständige Datenschutzbehörde gemeldet zu haben. Die Verzögerungen bei der Reaktion auf die Meldung der Lücke führte der Anbieter auf die Feiertage rund um den Jahreswechsel zurück.
Schon im Mai 2024 gab es bei Dr. Ansay ein großes Datenleck. Damals waren Rezepte mit Patientendaten über Suchmaschinen wie Bing und Duckduckgo öffentlich auffindbar. Nachdem der Telemedinzinanbieter den Datenzugang auf seiner eigenen Plattform gesperrt hatte, warf er den Suchmaschinenbetreibern "kriminelles Verhalten" vor, weil die Rezepte weiterhin in deren Suchergebnissen auftauchten.
Nachtrag vom 10. Januar 2026, 13:10 Uhr
Dr. Ansay hat inzwischen eine Stellungnahme zu dem jüngsten Datenschutzvorfall veröffentlicht(öffnet im neuen Fenster) . Demnach sind Verschreibungen, E-Mail-Adressen und Telefonnummern von bis zu 330.000 Nutzern betroffen. Zahlungsdaten, Indikationen, Passwörter und Ausweisdaten sollen hingegen ausdrücklich nicht über die Sicherheitslücke zugänglich gewesen sein.
Nachtrag vom 14. Januar 2026, 16:19 Uhr
Dr. Ansay hat die Golem-Redaktion in einer separaten E-Mail darauf hingewiesen, dass für den Zugriff auf die Daten eine "spezielle Software und mehrere geheime Tokens nötig" waren. Zudem gibt der Telemedinzinanbieter an, der Angriff hätte nur unter "erheblichem Aufwand von einem erfahrenen Hacker" ausgeführt werden können.
Überdies stellte Dr. Ansay klar, dass die Sicherheitslücke "sofort und professionell geschlossen wurde" und der Sicherheitsforscher, wie bei White-Hat-Hackern üblich, nur die nötigsten Daten eingesehen und anschließend wieder gelöscht habe. Auch habe der Forscher im Rahmen des neuen Bug-Bounty-Programms von Dr. Ansay sofort eine Belohnung erhalten.