Datenpanne bei Dubidoc: Daten von rund 960.000 Patienten waren online abrufbar

Bei dem Arzttermin-Vergabedienst Dubidoc gab es offenbar eine Datenpanne, die dazu führte, dass persönliche Daten von fast einer Million Patienten frei zugänglich im Netz standen. Festgestellt wurde dies von Hackern des Chaos Computer Clubs (CCC). In einer Meldung des CCC heißt es, es seien auch Informationen über etwa drei Millionen Behandlungs- und "Demo-Termine" abrufbar gewesen.

"Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus", schreiben die Sicherheitsexperten. Obendrein sei der Datenbankserver über das Internet erreichbar gewesen.

Der Zugriff sei den Hackern gelungen, obwohl die Daten in einem deutschen Rechenzentrum mit ISO 27001-Zertifizierung, die die Einhaltung gewisser Sicherheitsstandards vorsieht, gespeichert seien.

Einem Bericht von Spiegel zufolge war der Datenzugriff für etwa zwei Wochen möglich. Den CCC-Mitgliedern sei es gelungen, sich über das Nutzerkonto einer Ärztin bei Dubidoc anzumelden. Anschließend sei es ihnen möglich gewesen, bestehende Arzttermine einzusehen, zu verschieben oder abzusagen.

Daten von rund 960.000 Patienten betroffen

Zu den Patientendaten, auf die die Hacker zugreifen konnten, gehörten wohl Namen, Geburtsdaten, Rufnummern, E-Mail-Adressen und Geschlechter. Ebenso sei ein Zugriff auf Termindetails sowie Namen der jeweiligen behandelnden Ärzte möglich gewesen, schreibt der Spiegel. 3,3 Millionen Kalendereinträge sowie etwa 960.000 Patientendatensätze seien den CCC-Hackern zugänglich gewesen.

Dubidoc bestätigte das Datenleck gegenüber dem Spiegel. Der Betreiber des Dienstes erklärte, es sei temporär ein unbefugter Zugriff möglich gewesen und es habe "kein ausreichender Schutz der Daten" bestanden. Ein "menschlicher Fehler bei Wartungsarbeiten" am ersten Weihnachtsfeiertag habe dazu geführt, dass die Zugangsdaten von 324 Praxismitarbeitern "ohne zusätzliche Sicherheitsbarriere" ausgelesen werden konnten.

Bei dem betroffenen System handle es sich jedoch um einen separaten Server, den ein "renommierter Provider" verwalte. Das Hauptsystem von Dubidoc sei "zu keinem Zeitpunkt auf ähnliche Weise verwundbar" gewesen. Ferner sei das Leck inzwischen behoben und betroffene Unternehmen und Praxen über den Vorfall informiert worden. Hinweise auf einen Missbrauch der Daten gebe es bisher nicht.