Durch die Sicherheitslücke waren laut Bericht rund 1,7 Millionen Rezepte von rund einer halben Million Kunden potenziell einsehbar. Dabei ging es demnach vor allem um Cannabis-Rezepte mit Gesundheitsdaten und personenbezogenen Informationen wie Namen, Adressen, E-Mail-Adressen und Telefonnummern. Auch Angaben zu den rund 15 verschreibenden Ärzten, die meist nicht aus Deutschland kämen, seien zugänglich gewesen, genauso wie Daten zu Medikamenten, Dosierungen sowie ausgewählten Apotheken. Aber auch Bestellungen zu Schmerzmitteln waren laut Bericht betroffen.

Laut Portal besierte die Lücke auf einer Fehlkonfiguration der Zugriffsregeln einer Datenbank. Dadurch hätten eingeloggte Nutzer mit einem gültigen Token nicht nur auf ihre eigenen Rezepte, sondern auf sämtliche Datensätze zugreifen können. Fragen dazu, ob Daten abgeflossen sind, beantwortet das Unternehmen gegenüber Heise nicht.

Wie es im Bericht weiter heißt, waren die Daten trotz mehrerer Meldeversuche bis Anfang Januar ungeschützt. Erst am Abend, an dem das Portal seine Anfrage gestellt hatte, wurde die Lücke demnach geschlossen.

Gegenüber dem ursprünglichen Hinweisgeber soll DrAnsay erklärt haben, eine DSGVO-Meldung an die zuständige Behörde initiiert zu haben. Das war aber offenbar nicht die Datenschutzbehörde in Hamburg, denn dort hat das Unternehmen laut einer Sprecherin nur noch für das Segment AU-Schein eine Niederlassung. Die Datenschutzbehörde in Malta, wo DrAnsay seinen Hauptsitz hat, meldete sich auf Anfrage von Heise nicht zurück.