Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar

Sicherheit (Pexels, allgemeine Nutzung)Das ist wohl ein fettes Datenleck, welches Wellen werfen könnte. Nach dem Motto "Deine Gesundheitsdaten sind Allgemeingut" lassen sich Rezepte für Cannabis-Produkte beim Online-Anbieter Dr. Ansay über die Suchmaschine DuckDuckGo abrufen. Die Quelle der Rezepte dürften meinen Recherchen nach wohl Microsofts Bing sein. Zudem grätscht auch der CoPilot mit rein.


Anzeige

Dr. Ansay – Medizindienstleister

Bei Dr. Ansay handelt es sich um einen "Medizindienstleister" im Internet, bei dem Du alles, von der Online-Krankschreibung bis hin zum Cannabis-Rezept bekommen kannst.

Dr. Ansay

Die "Services" dieses Dienstleisters umfassen die Säulen elektronische Krankschreibung, Online-Rezepte und die berühmt berüchtigte e-Therapie für mentale Gesundheit und Co.

Dr. Ansay Services

Klingt cool, ist gut – zumindest für Generation "vor Boomer" – und sieht bequem aus. Bei Online-Angeboten wie Doctolib (Terminvereinbarung mit Ärzten) zuckt es bei mir aber immer, weil mir Datensicherheit vor Komfort geht. Das französische Technologieunternehmen Doctolib SAS mit Sitz in Paris, das eine Software anbietet, die unter anderem die Online-Buchung von Terminen bei Ärzten, das Terminmanagement in Praxis etc. anbietet, steht bei Datenschützern regelmäßig in der Kritik, weil sie die Hausaufgaben in Sachen Datenschutz nicht gemacht haben.

Bei Dr. Ansay hat es bei mir "gezuckt", als mir der Begriff "Patientenakte" ins Auge sprang. Nach einer Registrierung kann man sich mittels E-Mail-Adresse und Passwort anmelden und seine "Behandlungen bzw. Rezepte" verfolgen. Bei E-Mail-Adresse und Passwort fühlt sich Generation Internet sicher, aber die "Patientenakte" ist nicht das, was sich unter elektronischer Patientenakte (ePA) verbirgt. Ich habe kein Konto beim Dr. Ansay, es dürfte sich aber um eine selbst gestrickte "Patientenakte" handeln. Solange die Daten sicher sind, "ist alles fein". Ob 2FA bei der Anmeldung  unterstützt wird, konnte ich nicht prüfen.

Leserhinweise auf Datenleck

Tja, der Doc im Internet, das ist schon eine tolle Sache. Aber irgend einer von den Software-Klempnern, die deren Plattform zusammen nageln, hat da was mit "Rezepte im Internet" gründlich falsch verstanden. Es war ein kurzer Leserhinweise (danke dafür) im Diskussionsbereich des Blogs, der auf ein unschönes Datenleck beim Portal Dr. Ansay hinwies.

Datenleak bei Dr. Ansay (cannabisrezepte)

Komplette Cannabisrezepte mit Namen und Adressen über DuckDuckGo auffindbar …

Und in diesem Kommentar weist ein Leser ebenfalls darauf hin, dass es bei dransay.com eine Fehlkonfiguration gab (Primärquelle des Leaks ist wohl dieser reddit.com-Post). Ein Ordner mit PDF-Dateien (die PDFs enthielten die Cannabis-Rezepte) stand wohl frei erreichbar im Internet, so meine Interpretation. Das führe zu einem massives Datenleck, denn die Suchmaschine konnte die Rezepte indexieren. Die Lücke ist inzwischen behoben aber in der Suchmaschine sind die (Meta-)Daten noch zu finden. Ein dritter Hinweis kam per persönlicher Nachricht auf Facebook.


Anzeige

 Dr. Ansay Cannabis Rezepte im Internet - aber nicht so

Geht man auf die Suchmaschine DuckDuckGo und verwendet im Suchausdruck  die URL rezeptservice.dransay.com kombiniert mit einem +-Zeichen und dem Filter filetype:pdf für den auszusortierenden Dateityp, wird einem die oben gezeigte, feine Orderliste mit Cannabis-Rezepten ausgeworfen. Da hat jemand die betreffenden Rezepte als PDF generieren lassen – möglicherweise für die "Kunden" oder für die Rechnung. Und dann ist jemand in der Software-Schmiede ein Fehler passiert, denn die PDF-Dateien wurden durch Bing.com indexiert – von dort bezieht DuckDuckGo seine Sucherergebnisse.

Es gab von einem Blog-Leser noch einen Hinweis auf ein Forum in der Schweiz, dessen Inhalte aber wohl nur mit Anmeldung zu sehen sind und daher hier nicht verlinkt werden.

Auf reddit.com ist der Sachverhalt aber detaillierter beschrieben. Und in diesem Post legt ein reddit.com-Nutzer offen, was alles an Daten zu finden war: Name, Adressen, teilweise Versicherungsnummer und Krankenkasse.

Mal eben Copilot befragt

Der Fehler ist zwar auf der Webseite Dr. Ansay behoben und die PDF-Dateien mit dem jeweiligen Rezept sind nicht mehr per Internet abrufbar. Auch hat Bing.com keinen Cache mehr – in der Wayback Machine sind die Rezepte nicht indexiert – vielleicht hat jemand von den Entwicklern seine Hausaufgaben gemacht und den Cache löschen lassen.

Was Microsoft Copilot über Cannabis-Rezepte bei Dr. Ansay weiß

Tscha, und jetzt kommt Microsoft ins Spiel, denn die haben Copilot und preisen das Teil wie Sauberbier an. Der CoPilot hat mich auf bing.com auch gleich angesprungen und mir obige Information geliefert. Jetzt müsste man Prompt-Engineer sein, der die von OpenAI eingezogenen Leitplanken verbiegen kann. Ich habe es mal mit einfachen Fragen versucht und sogar Antworten erhalten.

Copilot petzt Dr. Ansay Cannabis Rezepte im Internet

Gut, die PDF-Datei hat mir CoPilot verweigert. Aber immerhin weiß ich nun, welcher Privatarzt zum 5. Mai 2024 "Cannabisblüten, Remexian 20/1 White" verschrieben hat.

Ergänzung 1: CoPilot hat in dem Fall inzwischen "Sicherheitsleitplanken" einbezogen bekommen und verweigert bei einfachen Prompts die Antwort oder beginnt zu schwurbeln. Wenn ich auf DuckDuckGo die Suche auf die Postleitzahl 00000 rezeptservice.dransay.com filetype:pdf eingrenze, kann sich sehr genau ermitteln, wer der Empfänger von Cannabis auf Rezept war.

Inzwischen gibt es eine Stellungnahme der Plattform, die ich persönlich etwas merkwürdig finde. Ich habe das Thema mal separat im Beitrag Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen aufbereitet.

Der obige Lapsus wird meiner Einschätzung nach leider das "neue Normal" werden, sobald die Pläne zur Digitalisierung im Gesundheitswesen umgesetzt wurden. Obwohl: Bei Cannabis ist man in guter Gesellschaft, wurde doch im April 2024 ein Datenleck bei Cannabis-Clubs ruchbar (siehe Sicherheitsvorfälle März/April 2024 (Stand 9.4.2024)).

Ähnliche Artikel:
Sicherheitsvorfälle März/April 2024 (Stand 9.4.2024)
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Mögliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)

Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

33 Antworten zu Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar

  1. hansi sagt:

    Tranzparenz!!!

  2. C.Waldt sagt:

    Huiiii…. Daten sind für ALLE da…. 🥳

  3. Luzifer sagt:

    naja nachdem das jetzt auch bei uns legal ist ;-P außerdem riechst das eh wenn da einer nen Joint geraucht hat! Weis also sowieso jeder das ist nen Kiffer. Da ist doch dann das "öffentliche" Rezept sogar positiv zu sehen.

    • IT Futzi sagt:

      Naja ich bin mir da nicht so sicher ob jeder Arbeitgeber das so toll findet, wenn jemand konsumiert und das auch noch öffentlich bekannt ist.
      Denke da an so Sachen wie:
      – Führungspositionen mit Vorbildcharakter
      – Kinderbetreuung
      . …

      • Günter Born sagt:

        Auf reddit.com wird diskutiert, ob das Bekannt-werden des Internet Cannabis-Rezepts auf den Führerschein durchschlagen kann (Stichwort MPU).

      • Gigabernie sagt:

        Warum sollen diese Personengruppen "willkürlich" vom Konsum verschreibungspflichtiger Medikamente ausgeschlossen sein?

      • #### sagt:

        Es ist ein Medikament wie jedes andere auch. Ein Arbeitgeber hat das nicht zu interessieren und darf auch danach nicht entscheiden. Ich dürfte das Medikament bei richtiger Diagnose ja sogar während der Arbeit konsumieren.

  4. Anonymous sagt:

    Es waren auch AUs online, über download.au-schein.de

    Kann man prüfen via DuckDuckGo Suchbegriff "site:download.au-schein.de" – mittlerweile offline…

    • Anonymous sagt:

      Gibt inzwischen ein Statement:
      https://dransay.com/gesundheits-blog/rezept/datenleck/
      Absolut komisch unterwegs der Kerl

      • Volker Köpcke sagt:

        Laut einem X (Twitter) Post soll es schon seit Ende April 2024 technische Probleme bzw. Sicherheitslücken bei der WordPress Webseite gegeben haben.

      • Daniel A. sagt:

        Genau mein Humor und der Kerl ist angeblich Dr. jur. Hat nur sehr offensichtlich keine Ahnung davon, wie Suchmaschinen arbeiten. Wenn ich meine Daten öffentlich zugänglich hinstelle und nichts machen, um die Suchmaschinen vom Zugriff abzuhalten dann indexieren die das halt, weil das System davon ausgeht, dass das gewollt ist. Da klappert ja kein Mensch irgendwelche Seiten ab.
        Aber Hauptsache die Schuld auf andere schieben.

  5. Norddeutsch sagt:

    Je nach Vorgehen am Prompt ergibt Vorgehensweise mit Bing/Copilot weitere Daten, zB neben Adresse die eindeutige Nr. der Krankenkasse (Nr verifiziert nach offiziellem "Schlüsselverzeichnis" der Kassen)
    Eingrenzung, zeitlich + Anzahl: Bisherige Versuche mit Engines wie DuckDuckGo den Zeipunkt einzugrenzen ( Parameter "df=w" oder "df=2022-01-01..2024-05-15" ) waren hier erfolglos – jemand eine Idee? Mich interessieren:

    – Datum erster indexierter PDFs in den Search Engines
    – Anzahl PDF-Treffer auf PDF-URL "..get/prescriptions/.."

    Recherche in anderen Quellen wie "Wayback" bisher ohne Ergebnis.

    • Anonymous sagt:

      Was für einen Prompt nutzt du? Mir sagt er jedes Mal, er kann keine persönlichen Daten extrahieren…

      • Norddeutsch sagt:

        :-) Prompt ist wie meine Rentner: Sagen tun die viel – machen ist etwas anderes. Werde wohl besser nichts vollständig copy-pasten. Erster Ansatz war jedoch analog zu G.Born:

        o Parameter der Suche von oben präzisieren, zB "inurl:rezeptservice.dransay.com/get/prescriptions/
        o normales Frontend von Bing.com, dann Copilot
        o nutze mit dem Link Begriffe wie "Suche", "in PDF", …

        Auch Günter hat oben ja nach der Warnung sensible Daten erspäht…
        Hast Du eine zeitliche Eingrenzung oder Anzahl realisiert? Grüße, N.

  6. Abrissbirne sagt:

    vielen Dank,
    habe für einen Krebskranken nahen Verwandten endlich eine vernünftige Quelle gefunden

  7. Kai sagt:

    Die Auflistung nach 'bekannt aus' sagt eigentlich schon alles.

  8. Volker Köpcke sagt:

    Das Angebot der Firma erscheint mir in einigen Dingen etwas unseriös. Vor einigen Wochen haben sie noch öffentlich nach neuen weiteren Ärzten und Apotheken als Vertragspartner gesucht und wie es aussieht, findet dort auch keine wirkliche Untersuchung der "Patienten" statt, sondern die "Patienten" geben einfach irgendwelche ausgedachten Symptome in eine Maske an, die dann der Vertrags-Arzt ungeprüft übernimmt und ein entsprechendes Rezept für die Vertrags-Apotheke und bei Bedarf auf Wunsch auch eine AU-Bescheinigung ausstellt. Die Waren kann man dann gleich beim eigenen Shop bestellen und sich nach Hause liefern lassen und dann auch noch in angegliederten Cannabis Social Clubs konsumieren. Alles aus einer Hand. Der Herr Dr. Ansay ist natürlich auch selber kein Mediziner.

    • Hagen Weinrot sagt:

      In Cannabis Social Clubs ist der Konsum gesetzlich untersagt. Angegliedert sind sie auch nirgends, es gibt strenge Regeln.

      Die viel zu freizügige Vergabe von Cannabisrezepten bei Ansay ohne jedwede Beratung oder persönliche Anamnese ist dubios, das steht außer Frage. Die kamen wohl in Goldgräberstimmung und haben deshalb bei der Sicherheit geschlampt.

    • IT Futzi sagt:

      "die "Patienten" geben einfach irgendwelche ausgedachten Symptome[..] an, die dann der Vertrags-Arzt ungeprüft übernimmt"

      Das nennt sich Anamnesegespräch. Ob schriftlich oder mündlich spielt im Grunde ja keine Rolle. Der Hausarzt leiert auch nur seinen Fragebogen runter und füllt am Ende die gleiche Checkliste aus.

      Also ist ja kein Unterschied zum Hausarzt. Zumindest wenn man Kassenpatient ist. Da ist man genauso nach 2 Minuten wieder draußen.

      • Volker Köpcke sagt:

        Es kann natürlich sein, dass sich auch einige andere Ärzte nicht viel Zeit bei Anamnesegespräche nehmen, aber laut einem Forumsbeitrag bestimmen bei Dr. Ansay die "Patienten" selber die Tagesdosis, Mengenangaben und auch ihr notwendiges Medikament. Dies habe ich bei anderen Ärzten noch nicht erlebt.

  9. Thomas sagt:

    Was will man von einem Querdenker wie Ansay anderes erwarten?

    • Norddeutsch sagt:

      Bitte lass uns die [zeitlich seit Corona geprägte] Begrifflichkeit Querdenker relativieren.
      Ein Querdenker war vor Corona nicht negativ. Denken ebenso nicht. Früher ™ nannte man das u.A. "über den Tellerrand schauen".
      O.g. hat nichts – aber auch gar nichts – mit der Einschättzung von Ansay und Co. zu tun. Es geht mir lediglich um die oft zu leichtfertige Verwendung von Buzzwords…

  10. HessischerBub sagt:

    Bei Dr. Ansay fällt mir sofort seine Mutter ein die ihre Approbation verloren hat.

    BTW: Bei AU über einer seiner Webseiten findet man sehr interessante Orte wo die Ärzte sitzen sollen.

    Da kann man als Arbeitnehmer, der so eine AU einreicht, sich auf ein sehr interessantes Gespräch mit der Personalabteilung einstellen.

  11. Thomas sagt:

    bin ich hier der einzige, der bei "Cannabis Rezepte" an leckere Haschkekse denken musste!?
    Welche Rezepte kennt ihr denn sonst noch so?

  12. Pau1 sagt:

    Online Termin Vergabe?
    Interrssant für Kriminelle

    Wie wurde denn das Missbrauchsproblem bei Ansay abgesichert?
    Man erinnere sich an die (kostenlose) Leistung eines Studenten, der per Script die freigewordenen Covit-Impftermine abgriff und an Notleidenden weiter reichte, positiv ausgedrückt.

    Beim MRT ist die Nachfrage (von gesetzlich Versicherten) vielfach größer und somit weit lukrativer. 3 Monate Wartezeit für ein "lass uns mal gucken ob das Krebs sein könnte auch wenn du noch keine Probleme hast"-Termin ist vollkommen normal. Auch einen Notfall vorzutäuschen ist durchaus gängig. Ich könnte mir gut vorstellen, das es für MRT(ff) Termine, auch einen schwarzen Markt gibt. Entsprechende Suchanfragen finden sich auf eBay.

  13. elevated.city sagt:

    Moin,
    ich habe zu dem Thema zwei Artikel geschrieben, da gibts noch ne ganze Menge an weiteren Fragezeichen!

    Der erste Beitrag: https://elevated.city/riesen-daten-leak-bei-dr-ansay-cannabis-patient-rezepte-frei-aufrufbar/
    Das Update: https://elevated.city/datenleck-skandal-dr-ansay-beschuldigt-microsoft/

    Die Inhalte können bei Bedarf gerne übernommen/zitiert werden!

    LG

  14. Pepe sagt:

    Der Suchbegriff lässt sich durch Hinzufügen der PLZ sogar lokal eingrenzen (00000 gegen PLZ austauschen). Die Suchvorschau reicht völlig aus, um sensible Informationen zu erfahren.

    https://duckduckgo.com/?q=00000+rezeptservice.dransay.com+filetype%3Apdf&t=h_&ia=web

  15. Gigabernie sagt:

    Mir kommt dieser Thread bis auf das Datenleck übertrieben vor. Speziell, da in ca. 3 Monaten das legale Balkon- oder Indoorgras reif ist.
    Falls Medikamente unter falschen Voraussetzungen ausgestellt wurden, ist das ein Arzt-Problem, nicht das der Apotheke.
    Extrem interessant ist die Kostenfreigabe der Krankenkasse. Die zahlen mir jeden Monat 1200.- für das Medikament. Bei einer fadenscheinigen Diagnose zahlen die nix. Dafür musst du schon halb tot sein…mit den entspr. Arztbriefen. Also Krebs, Psyche, austherapierte Schmerztpatienten…und zwar von verschiedenen Ärzten.
    Die meiste Ärzte wehren sich kategorisch, Cannabinoide zu verschreiben. Und wenn man dann doch ein Rezept hat, lehnen die allermeisten Apotheken das ab.

    Ohne Kostenübernahme zahlt man € 20/g in der Apotheke.
    Jeder kennt jemand, dessen Freund einen Bruder hat, der das Material für €10 besorgen kann.

    Zur Verkehrstauglichkeit: Ohne Unfall, Vergehen, oder offensichtlichen Ausfallerscheinungen, kannst du z.B. bei einer "Algemeine Fahrzeugkontrolle" mit einer Kopie des Rezepts weiterfahren. Die Cops wissen selbst, dass der "Rausch" max. 12h beeinträchtigend wirkt – jedenfalls die, mit denen ich bisher zu tun hatte. Sie wissen auch, dass man bei häufigem Gebrauch 3 Tage später noch positiv ist.
    Die Führerscheinstelle kann die Fahrtüchtigkeit auch nicht ohne konkreten Vorfall "auf Verdacht" überprüfen.

    • Günter Born sagt:

      Ich fürchte, Du hast den Sachverhalt nicht ganz erfasst. Dass es Cannabis-Rezepte waren, ist zwar als Eyecatcher nice, aber nicht relevant (wenn Ärzte das legal verschreiben, hilft das Patienten mitunter ungemein).

      Der Skandal – ich habe den Text inzwischen etwas erweitert – da wurden sensible medizinische Daten durch einen Fehler öffentlich (kann passieren). Und nun versucht Dr. Ansary als CEO die Schuld auf Dritte (Suchmaschinen, die "illegal" die Ergebnisse crawlen, Ex-Mitarbeiter, die auf das Problem hinweisen) zu schieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.