FEHLER!

Sicherheitslücke bei Takuta GmbH entdeckt: Datenschutzverletzung bei Dubidoc

Ein kleines Start-up namens Takuta GmbH, das den Terminservice-Anbieter Dubidoc betreibt, wurde kürzlich Opfer einer Sicherheitslücke. Diese wurde vom Chaos Computer Club (CCC) aufgedeckt und betraf etwa eine Million Patientendatensätze. Glücklicherweise hat Takuta die Lücke mittlerweile geschlossen und Maßnahmen ergriffen, um ähnliche Vorfälle in Zukunft zu verhindern. Diese erfreulichen Informationen wurden von Daniel Strunk, dem Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), bekannt gegeben. Takuta hat außerdem seine Kunden über die Datenschutzverletzung informiert.

Laut Strunk waren in den öffentlich zugänglichen Daten E-Mail-Adressen, Passwörter, Telefonnummern, Vor- und Nachnamen, Geschlecht, Geburtsdatum sowie Angaben zu Verwandten und Terminen enthalten. Während des Datenlecks waren die Debug-Informationen des Profilers des PHP-Frameworks Symfony sichtbar und zugänglich. Sowohl Benutzernamen als auch Passwörter für die Datenbank waren in den betroffenen Daten enthalten. Die Verwendung eines aktiven Debuggers in einer Live-Umgebung stellt einen ernsthaften Fehler dar. Darüber hinaus war die Datenbank auch von außen über das Internet erreichbar.

Das Unternehmen behauptet, dass der uneingeschränkte Zugriff auf die Datenbank bedauerlicherweise nicht beschränkt werden kann, da die Applikation auf einem von einem renommierten Provider gehosteten Managed Server läuft. Der CCC kommentiert, dass dies eine Ausrede ist, die – selbst wenn sie wahr wäre – natürlich keine ist. Es ist unklar, ob neben dem CCC noch weitere Personen Zugriff auf die Daten hatten. Der Sprecher des LDI gibt an, dass noch keine Stellungnahme dazu vorliegt, welche Schritte unternommen wurden, um festzustellen, ob weitere Dritte Zugriff auf die Daten hatten.

Es ist immer ärgerlich, wenn solche Sicherheitslücken auftreten. Besonders bei sensiblen Daten wie Patientendaten sollte die Sicherheit an erster Stelle stehen. Es ist jedoch erfreulich zu sehen, dass Takuta schnell reagiert hat und die Lücke geschlossen hat, um weiteren Schaden zu verhindern. Hoffentlich werden sie auch weitere Maßnahmen ergreifen, um sicherzustellen, dass so etwas nicht noch einmal passiert. Denn wie der CCC betont, ist das Ausreden-Spiel „Mein Provider lässt mich nicht“ keine akzeptable Entschuldigung.

Es bleibt abzuwarten, ob noch weitere Informationen über den Vorfall ans Licht kommen und ob es weitere Sicherheitsverletzungen gab. Es ist wichtig, dass Unternehmen, insbesondere solche, die mit sensiblen Daten arbeiten, ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren. Nur so kann man sicherstellen, dass die Privatsphäre und Sicherheit der Nutzer gewährleistet ist.

Schlagwörter: Takuta + CCC + Dubidoc

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 16. Februar 2024