Durch die Sicherheitslücke waren laut Bericht rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar. Laut Ansay waren tatsächlich Datensätze von bis zu 330.000 Nutzern betroffen, und zwar Verschreibungen, E-Mail-Adressen und Telefonnummern. Zahlungsdaten, Indikationen, Passwörter und Ausweisdaten sollen hingegen ausdrücklich nicht über die Sicherheitslücke zugänglich gewesen sein.

Laut Portal besierte die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Datenbank. Dadurch hätten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen können.

Laut Ansay konnte nicht jeder eingeloggte Nutzer mit einem gültigen Token die Daten einsehen. „Denn jedenfalls waren dafür tatsächlich mindestens eine weitere spezielle Software und mehrere geheime Tokens nötig, die zudem nur mit erheblichem Aufwand von einem erfahrenen Hacker erkundbar waren.“

Es handele sich um einen sogenannten „White-Hat Hacker Vorgang“, der Sicherheitsforscher habe sich bereits vor der gegenüber DrAnsay gesetzten Frist an Heise gewandt. Auch wenn sich die Kenntnisnahme leider einige Tage verzögert habe, sei es zum Glück zu keinerlei negative Auswirkungen gekommen.

Gegenüber dem ursprünglichen Hinweisgeber soll DrAnsay erklärt haben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Das war aber offenbar nicht die Datenschutzbehörde in Hamburg, denn dort hat das Unternehmen laut einer Sprecherin nur noch für das Segment AU-Schein eine Niederlassung. Die Datenschutzbehörde in Malta, wo DrAnsay seinen Hauptsitz hat, meldete sich auf Anfrage von Heise nicht zurück.