DOC+: утечка о пациентах и врачах не грозит им самим, Яндекс.Здоровье не пострадало вообще
Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:
Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.
DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.
17 марта канал "Утечки информации" сообщил (ориг.), что база данных DOC+ на платформе "Яндекса" ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.
Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: "Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей".
Представитель DOC+ оценил утечку, как незначительную:
В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться
Похожие новости
- Как один опытный разработчик за три дня потерял аккаунт в Телеграме, а второй чуть не перевел «другу» 100 тысяч рублей
- Обзор K8s LAN Party — сборника задач по поиску уязвимостей в кластере Kubernetes прямо в браузере
- [Перевод] Настройка Kerberos аутентификации в OpenAM
- Исследование веб-приложений с помощью утилиты Ffuf
- Кирилл Лейцихович: «Исследования: проще лежать в гробу, чем вести презентацию»
- Егор Некрасов: 3 отмазки, которые мешают начать развивать личный бренд. И как я с ними справился
- Appbooster: Что повлияет на ASO для App Store в 2024 году: тренды, тенденции, ожидаемые новости
- Вебиум: Тикток против литературы: что предпочитают подростки
- Как внедрить двухфакторную аутентификацию в веб-приложения, не предусматривающие ее изначально
- Ландшафт угроз информационной безопасности последних лет. Часть 1