Сервис для вызова врача на дом Doc+ допустил утечку данных пользователей и сотрудников и объяснил её ошибкой

Инцидент не привёл к серьёзным нарушениям конфиденциальности, так как в сеть попал незначительный объём информации, утверждают в компании.

База данных пользователей и сотрудников медицинского сервиса Doc+ оказалась в открытом доступе. На это обратили внимание авторы Telegram-канала «Утечки информации».

Авторы рассказали об открытой базе системы для обработки данных ClickHouse, которая разрабатывается «Яндексом», одним из инвесторов Doc+. База хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.

Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+.

Что можно было узнать из логов:

  • ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности и адреса электронной почты сотрудников.
  • Информацию о местоположении пользователей, их устройствах и IP-адресах. С помощью токена можно было получить доступ к личным данным, включая сведения о жалобах на проблемы со здоровьем и обращениях к врачу.

Что на это ответили в Doc+

Данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором, объяснил vc.ru гендиректор Doc+ Руслан Зайдуллин. Он утверждает, что утечка коснулась менее 1% всей информации, которая теоретически могла быть скачана за всё время существования открытого доступа.

Компания закрыла доступ к данным 17 марта, сразу после публикации об уязвимости, уточнил Зайдуллин. Сейчас Doc+ проводит внутреннюю проверку и работает над новыми мерами защиты данных.

В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На момент инцидента в ClickHouse были данные в основном из тестовой среды.

Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком.

Руслан Зайдуллин, гендиректор Doc+
1212
20 комментариев

Комментарий недоступен

Сократим дробь и получится «даун сломал дом»

8

Комментарий недоступен

2

Комментарий недоступен

Вот же скоты. Вылечил у них чирий на жопе, а потом весь мир об этом узнал.

2

Комментарий недоступен

а потом весь мир дал пинка по больному месту