Das Terminvergabesystem von Dubidoc hatte eine massive Schwachstelle. Inzwischen ist das Problem behoben.

Die Daten waren in einem deutschen Rechenzentrum mit ISO 27001-Zertifizierung gespeichert. Der internationale Standard beinhaltet Regelungen für die Einrichtung und Umsetzung von Sicherheitsmechanismen. Über einen offen zugänglichen PHP Symfony Profiler waren die Zugangsdaten für die Datenbank sowie Nutzerdaten im Klartext abrufbar.

Der Datenbank-Server konnte einfach über das Internet aufgerufen werden. So konnten sich die Hacker des CCC mit den Daten einer Ärztin im Dubidoc-System anmelden. Daraufhin hätten sie Termine einsehen, verschieben und absagen können.