DOC+: утечка о пациентах и врачах не грозит им самим, Яндекс.Здоровье не пострадало вообще

Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:

Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.

17 марта канал "Утечки информации" сообщил (ориг.), что база данных DOC+ на платформе "Яндекса" ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.

Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: "Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей".

Представитель DOC+ оценил утечку, как незначительную:

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться

Перейти на сайт

Похожие новости

• Почему «витрина достижений» информационной безопасности работает далеко не везде
• ИИ Агенты как новая киберугроза: бизнесы теряют деньги и данные, не понимая почему
• Архитектура PERA для построения промышленной сети
• Telegram Web съел 30% моего 16-ядерного процессора. Расследование странного поведения, или Призрак майнера в браузере
• Настройка межсетевого SSH-доступа в многосегментной сети Cisco и MikroTik в среде GNS3
• Рост продаж на маркетплейсах без демпинга: возможен или нет
• Vitamin.tools: Как быстро и эффективно находить сотрудников или собрать пожертвования через VK Ads: два кейса от клиента Vitamin.tools
• Лебедев Денис: Боты статистики в Telegram: что они умеют, кому подходят
• От BlueBorne до LE Secure: как Bluetooth выжил после самых громких дыр
• Ты не покупатель. Ты — герой мифа