CCC findet Sicherheitslücke

Dubidoc: Daten von fast 1 Millionen Nutzern abrufbar Lilith Teusch, 19.02.2024 14:26 Uhr

Durch eine Sicherheitslücke konnte Hacker vom Chaos Computerclub auf persönliche Daten von Nutzerinnen und Nutzern von Dubidoc zugreifen. Foto: Rawpixel.com/stock.adobe.com
Berlin - 

Der Arztterminservice Dubidoc ist vom Chaos Computer Club (CCC) gehackt worden. Nach Angaben der Gruppe konnten die personenbezogenen Daten von fast einer Million Nutzerinnen und Nutzern abgerufen werden. Es sollen Namen, Geburtsdatum, Telefonnummer, E-Mailadresse und Geschlecht sowie Informationen zu den behandelnden Ärzten und Termindetails sichtbar gewesen sein. Passwörter, so das Unternehmen, seien auf Grund der Verschlüsselung nicht kompromittiert worden.

Personenbezogene Daten unterliegen einem besonderen Schutz. Bei der Gesundheitsapp Dubidoc ist hier über die Weihnachtstage aber etwas schiefgelaufen: Der Server konnte vom Hackerkollektiv CCC einfach aufgerufen und Nutzerdaten abgerufen werden. Gut 960.000 Patientendaten und Informationen zu drei Millionen Terminen konnte der CCC einsehen.

Fehler bei Wartungsarbeiten

Nach Angaben des Unternehmens war die Ursache der Sicherheitslücke ein „menschlicher Fehler bei Wartungsarbeiten“, der nach dem Bekanntwerden umgehend behoben worden sei. Ganze zwei Wochen, vom 25. Dezember bis zum 8. Januar, waren die personenbezogenen Daten der Kunden der App über das Internet abrufbar. Am 7. Januar habe der CCC sich an das Unternehmen gewandt und auf die Sicherheitslücke aufmerksam gemacht.

Nach den Hinweisen durch den CCC habe Dubidoc sein System komplett überprüft und keine weiteren Sicherheitslücken gefunden. Auf missbräuchliche Nutzung der Daten fänden sich bisher keine Hinweise. Dubidoc verspricht seinen Kunden, die Sicherheitsvorkehrungen insbesondere während Wartungsarbeiten zu erhöhen.

Hacken für Datenschutz

Der CCC gehört zu den größten Hackervereinigungen in Europa und wurde 1984 erstmals öffentlich bekannt. Durch Hacking zeigt der CCC Schwachstellen in Systemen auf und macht sich für Datensicherheit stark. In seinen ethischen Grundsätzen definiert die Vereinigung unter anderen den Punkt „öffentliche Daten nützen, private Daten schützen“.