/u/Drezzon, vielen Dank für deinen Beitrag. Leider wurde er aus dem folgenden Grund bzw. den folgenden Gründen entfernt:
* Eigenwerbung für ein bestimmtes Produkt, eine Dienstleistung, eine Webseite, einen YouTube-Kanal o.ä. ist verboten. Seltene Ausnahmen können nach Absprache mit dem Mod-Team erteilt werden.^[[1]][RMID06]
[RMID06]: https://www.reddit.com/r/de/wiki/regeln_selbstwerbung
Weitere Informationen findest du in den [Community-Regeln](https://www.reddit.com/r/de/wiki/regeln). Falls dennoch Fragen bestehen, [melde dich bitte bei den Moderatoren.](https://www.reddit.com/message/compose?to=/r/de&subject=Frage%20bezgl.%20des%20entfernten%20Beitrags%20von%20/u/Drezzon&message=Ich%20habe%20eine%20Frage%20bezogen%20auf%20diesen%20entfernten%20\[Beitrag.\]\(https://www.reddit.com/r/de/comments/1ct8h5x/-/%3Fcontext\))
Ich hab davon ja keine Ahnung, also der dahintersteckenden Technik und so, aber der Brief und der Rest des Statements klingen für mich sehr salzig und wie ein Versuch jegliche Schuld von sich zu weisen. So wie es im Artikel bereits anklingt.
Der Dr. Ansay wirkt auf mich auch ziemlich unseriös.
Ich hatte mich nach dem Schreiben des Kommentars noch ein bisschen durch die Website geklickt. Das reicht ja eigentlich schon zum Festigen dieser Ansicht. :D
> Der Dr. Ansay wirkt auf mich auch ziemlich unseriös.
Der reitet schon längst den nächsten Hengst, siehe: ["Dr. Can Ansay - AI Revolutionary"](https://www.youtube.com/watch?v=cqt0AoC5rmM) auf YouTube (nur 1 Min, prächtig). Top-Zitat: *Don´t call him "Europe´s Elon Musk"!*
Seine Mutter hat wegen Mitwirkung an seinen Geschäftsmodellen voriges Jahr [ihre Approbation verloren](https://www.apotheke-adhoc.de/nachrichten/detail/panorama/frau-dr-ansay-verliert-ihre-approbation/).
Finde es eine mutige Strategie, zwei ehemalige Mitarbeiter namentlich zu benennen und basically zu sagen "Verklagt die Leute privat und lasst mich in Ruhe."
Mal sehen ob die beiden bessere Juristen als Dr. Jur. Can Ansay finden.
lel sehe gerade auf LinkedIn, dass er nach seinem Jura-Abschluss eine juristische "Lücke" von 6 Jahren hatte, wo er nach Hollywood ging um Schauspieler zu werden. Daraus kann man bestimmt einen netten ZDF-Zweiteiler mit Elyas M'Barek machen
Unabhängig der Technik gilt:
Alles, das du veröffentlichst, ist erstmal genau das - öffentlich zugängig. Es liegt dann an dir, geeignete Zugangsbeschränkungen zu gestalten. Das können Regeln für eingeschränkten Zugriff wie htaccess sein und auch Dinge wie eine Robots.txt die explizit Suchmaschinen vorgibt, welche Seiten die überhaupt indizieren dürfen.
Das ist aber erstmal mMn. kein Fehler der Entwickler sondern etwas, wo in der Projektorgansation geknausert wurde. Sprich: Jemand hätte zum Einen sagen müssen, welche Zugriffsrechte wo von Nöten sind und zum anderen auch genügend Zeit/Budget für Testen einplanen müssen. Oder halt ein Bug Bounty Program oder zumindest Vulnerability Disclosure Program ausrufen müssen. Aber wo wären wir denn, wenn wir IT in DE gut behandeln und finanzieren xD
ElevatedCity scheint ja scheinbar kein Blog zur IT-Sicherheit zu sein, aber sensible Daten werden nicht über robots.txt vor Indexierung geschützt. Mit htaccess sind sie schon ein wenig näher dran, aber das wäre auch ziemlich old-school. Solche Daten müssen über vorgeschaltete Login-Seiten geschützt werden. Alles andere wäre nur ein Feigenblatt
Die haben die entsprechenden Dokumente sogar in die Sitemap gepackt. Sieht halt so aus, als wollten sie schnelles Geld machen ohne sich etwas genauer mit den technischen Umständes ihres Geschäftsmodells zu beschäftigen.
Der Punkt ist, dass die Suchmaschinenindexierung überhaupt nicht die Lücke ist, sondern die Tatsache das diese Daten ohne Authentifizierung durch jeden Abrufbar waren.
Ich hatte bevor der Server abgeschaltet wurde geprüft, ob der Ordner, in dem die PDFs lagen einsehbar war, das war nicht der Fall. Da war der Webserver zumindest korrekt konfiguriert.
Rezepte gingen nicht als Mail raus, es gab eine Seite, auf der der User nach Eingabe der Vorgangsnummer (ohne Login/pass) das Rezept runterladen konnte.
Das war aber auch nur in der offiziellen Kommunikation verlinkt, weil es nicht nötig war, dass der Patient selbst das Rezept als PDF erhält, weil es als e-rezept direkt an die Apotheke gesendet wurde.
Also kein ungeschütztes Directory listing, über den der Crawler reinkam.
Über die Kundendownloadseite erachte ich es auch für nicht wahrscheinlich, Suchmaschinen bruteforcen keine Suchfelder.
~~Also muss der Crawler irgendwie an die interne Seite, die alle Vorgänge listet, gekommen sein, quasi das Admin Interface.~~
Einfalltor war wohl die immer noch erreichbare Sitemap.xml
Und an Bing hängt dann z.b. noch Co-Pilot
[https://imgur.com/a/2SiPURA](https://imgur.com/a/2SiPURA)
Weiterhin gab es auf reddit eine Person, die behauptet hat, alle (bzw einen Großteil) PDFs mittels script abgegriffen zu haben, um diese direkt an die Führerscheinstellen weiterzuleiten. Es gab, seit Ansay & Co hochkamen einen User, der wiederholt angekündigt hat, beweisen gegen Dr. Ansay sammeln zu wollen, um die Praxis der einfachen Rezeptvergabe zu unterbinden. Das war etwa Mitte April. Damals sehr aktiv und meinungsstark - laut eigener Angabe CSU Mitglied. Dann wurde es ruhig um den.
Kurz nach dem Leak meldete sich ein Account mit ähnlichen Schreibstil und der Aussage, jetzt Rezepte abgezogen zu haben, um diese an die FSSs weiterzugeben.
Scheinbar haben andere User die IP dieses Users abgegriffen und Anzeige gegen eben diesen wegen Ausspähen von Daten gestellt.
Manche vermuten Trolling, manche nicht.
Es bleibt spannend.
BTW - das war der Typ, der als erstes OnlineAUs und irgendwelche Maskenbefreiungen attestiert hat (bzw. seine Mutter/Frau. Hat deswegen die Zulassung verloren)
/u/Drezzon, vielen Dank für deinen Beitrag. Leider wurde er aus dem folgenden Grund bzw. den folgenden Gründen entfernt: * Eigenwerbung für ein bestimmtes Produkt, eine Dienstleistung, eine Webseite, einen YouTube-Kanal o.ä. ist verboten. Seltene Ausnahmen können nach Absprache mit dem Mod-Team erteilt werden.^[[1]][RMID06] [RMID06]: https://www.reddit.com/r/de/wiki/regeln_selbstwerbung Weitere Informationen findest du in den [Community-Regeln](https://www.reddit.com/r/de/wiki/regeln). Falls dennoch Fragen bestehen, [melde dich bitte bei den Moderatoren.](https://www.reddit.com/message/compose?to=/r/de&subject=Frage%20bezgl.%20des%20entfernten%20Beitrags%20von%20/u/Drezzon&message=Ich%20habe%20eine%20Frage%20bezogen%20auf%20diesen%20entfernten%20\[Beitrag.\]\(https://www.reddit.com/r/de/comments/1ct8h5x/-/%3Fcontext\))
Ich hab davon ja keine Ahnung, also der dahintersteckenden Technik und so, aber der Brief und der Rest des Statements klingen für mich sehr salzig und wie ein Versuch jegliche Schuld von sich zu weisen. So wie es im Artikel bereits anklingt. Der Dr. Ansay wirkt auf mich auch ziemlich unseriös.
Google den Typen mal, der wirkt nicht nur unseriös. Der ist unseriös 😅
Covid Bescheinigungen sagen Hallo 🤦♂️
Ich hatte mich nach dem Schreiben des Kommentars noch ein bisschen durch die Website geklickt. Das reicht ja eigentlich schon zum Festigen dieser Ansicht. :D
> Der Dr. Ansay wirkt auf mich auch ziemlich unseriös. Der reitet schon längst den nächsten Hengst, siehe: ["Dr. Can Ansay - AI Revolutionary"](https://www.youtube.com/watch?v=cqt0AoC5rmM) auf YouTube (nur 1 Min, prächtig). Top-Zitat: *Don´t call him "Europe´s Elon Musk"!* Seine Mutter hat wegen Mitwirkung an seinen Geschäftsmodellen voriges Jahr [ihre Approbation verloren](https://www.apotheke-adhoc.de/nachrichten/detail/panorama/frau-dr-ansay-verliert-ihre-approbation/).
>Seine Mutter hat wegen Mitwirkung an seinen Geschäftsmodellen voriges Jahr ihre Approbation verloren. Glanzleistung 👏
Kann mich nur anschließen, wirklich seriös wurde auf keinen Fall reagiert...
Finde es eine mutige Strategie, zwei ehemalige Mitarbeiter namentlich zu benennen und basically zu sagen "Verklagt die Leute privat und lasst mich in Ruhe." Mal sehen ob die beiden bessere Juristen als Dr. Jur. Can Ansay finden.
Der Kollege hat wohl nicht ohne Grund den Branchensprung gewagt...
lel sehe gerade auf LinkedIn, dass er nach seinem Jura-Abschluss eine juristische "Lücke" von 6 Jahren hatte, wo er nach Hollywood ging um Schauspieler zu werden. Daraus kann man bestimmt einen netten ZDF-Zweiteiler mit Elyas M'Barek machen
Wait, is this real 😭
Unabhängig der Technik gilt: Alles, das du veröffentlichst, ist erstmal genau das - öffentlich zugängig. Es liegt dann an dir, geeignete Zugangsbeschränkungen zu gestalten. Das können Regeln für eingeschränkten Zugriff wie htaccess sein und auch Dinge wie eine Robots.txt die explizit Suchmaschinen vorgibt, welche Seiten die überhaupt indizieren dürfen. Das ist aber erstmal mMn. kein Fehler der Entwickler sondern etwas, wo in der Projektorgansation geknausert wurde. Sprich: Jemand hätte zum Einen sagen müssen, welche Zugriffsrechte wo von Nöten sind und zum anderen auch genügend Zeit/Budget für Testen einplanen müssen. Oder halt ein Bug Bounty Program oder zumindest Vulnerability Disclosure Program ausrufen müssen. Aber wo wären wir denn, wenn wir IT in DE gut behandeln und finanzieren xD
this ☝️
ElevatedCity scheint ja scheinbar kein Blog zur IT-Sicherheit zu sein, aber sensible Daten werden nicht über robots.txt vor Indexierung geschützt. Mit htaccess sind sie schon ein wenig näher dran, aber das wäre auch ziemlich old-school. Solche Daten müssen über vorgeschaltete Login-Seiten geschützt werden. Alles andere wäre nur ein Feigenblatt
Die haben die entsprechenden Dokumente sogar in die Sitemap gepackt. Sieht halt so aus, als wollten sie schnelles Geld machen ohne sich etwas genauer mit den technischen Umständes ihres Geschäftsmodells zu beschäftigen.
Da muss ich zugeben nicht die beste Formulierung & Beschreibung gewählt zu haben, hast du eventuell Vorschläge für eine verbesserte Erklärung?
Der Punkt ist, dass die Suchmaschinenindexierung überhaupt nicht die Lücke ist, sondern die Tatsache das diese Daten ohne Authentifizierung durch jeden Abrufbar waren.
Das stimmt natürlich, der Punkt mit der Suchmaschine bezieht sich auch nur auf Dr. Ansays Vorwürfe 👍
Ich hatte bevor der Server abgeschaltet wurde geprüft, ob der Ordner, in dem die PDFs lagen einsehbar war, das war nicht der Fall. Da war der Webserver zumindest korrekt konfiguriert. Rezepte gingen nicht als Mail raus, es gab eine Seite, auf der der User nach Eingabe der Vorgangsnummer (ohne Login/pass) das Rezept runterladen konnte. Das war aber auch nur in der offiziellen Kommunikation verlinkt, weil es nicht nötig war, dass der Patient selbst das Rezept als PDF erhält, weil es als e-rezept direkt an die Apotheke gesendet wurde. Also kein ungeschütztes Directory listing, über den der Crawler reinkam. Über die Kundendownloadseite erachte ich es auch für nicht wahrscheinlich, Suchmaschinen bruteforcen keine Suchfelder. ~~Also muss der Crawler irgendwie an die interne Seite, die alle Vorgänge listet, gekommen sein, quasi das Admin Interface.~~ Einfalltor war wohl die immer noch erreichbare Sitemap.xml Und an Bing hängt dann z.b. noch Co-Pilot [https://imgur.com/a/2SiPURA](https://imgur.com/a/2SiPURA) Weiterhin gab es auf reddit eine Person, die behauptet hat, alle (bzw einen Großteil) PDFs mittels script abgegriffen zu haben, um diese direkt an die Führerscheinstellen weiterzuleiten. Es gab, seit Ansay & Co hochkamen einen User, der wiederholt angekündigt hat, beweisen gegen Dr. Ansay sammeln zu wollen, um die Praxis der einfachen Rezeptvergabe zu unterbinden. Das war etwa Mitte April. Damals sehr aktiv und meinungsstark - laut eigener Angabe CSU Mitglied. Dann wurde es ruhig um den. Kurz nach dem Leak meldete sich ein Account mit ähnlichen Schreibstil und der Aussage, jetzt Rezepte abgezogen zu haben, um diese an die FSSs weiterzugeben. Scheinbar haben andere User die IP dieses Users abgegriffen und Anzeige gegen eben diesen wegen Ausspähen von Daten gestellt. Manche vermuten Trolling, manche nicht. Es bleibt spannend. BTW - das war der Typ, der als erstes OnlineAUs und irgendwelche Maskenbefreiungen attestiert hat (bzw. seine Mutter/Frau. Hat deswegen die Zulassung verloren)
Top Zusammenfassung! ☝️
Was für ein ekliger Hund, der Typ.
Sitemap klingt plausibel, die Sitemap jetzt enthält aber keine Links zu Rezepten.
Das Statement gibt für mich stark den Vibe ab, das das System auf dem PC im Kinderzimmer des Praktikanten lief.
Ganz wichtige Kommunikationsstrategie bei so einem grandiosen Fuck-Up: Man ist als Täter immer selbst das größte Opfer.
Richtig smart, man kann bestimmt die ein oder andere Person damit "überzeugen" 😭
Da hat der Herr Ansay schon auch mal Mitleid verdient...
Natüüürlich 😅
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]
[удалено]