DOC+: утечка о пациентах и врачах не грозит им самим, Яндекс.Здоровье не пострадало вообще
Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:
Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.
DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.
17 марта канал "Утечки информации" сообщил (ориг.), что база данных DOC+ на платформе "Яндекса" ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.
Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: "Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей".
Представитель DOC+ оценил утечку, как незначительную:
В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться
Похожие новости
- Безопасность приложений: инструменты и практики для Java-разработчиков
- Как технологические гиганты переосмысливают кибербезопасность в эпоху ИИ-агентов
- Агентство мобильной разработки InstaDev: «Быстро, дёшево, качественно»: Почему заказчики не могут получить всё сразу - и чем это оборачивается
- Spark_news: «Авито» направит свыше 1 млрд. рублей на финансирование собственного научно-исследовательского подразделения
- Карты, деньги, два клика: как превратить Яндекс Карты в главный источник клиентов в 2025 году
- Внедрение шеллкода в Microsoft Office, или как злоумышленники эксплуатируют старую уязвимость в новых атаках
- Шухрат Мамасыдыков: Как попасть в рекомендации ChatGPT и продвигать бренд без рекламы
- МТС Твой бизнес: Аналитика МТС AdTech и МТС Банка: альфа впервые обошли зумеров по количеству покупок на маркетплейсах
- SMM 4.0: как работать в новых правилах игры
- Как мы повышали доверие к YandexGPT, или Сертификация по ISO 42001