Сервис для вызова врача на дом Doc+ допустил утечку данных пользователей и сотрудников и объяснил её ошибкой
Инцидент не привёл к серьёзным нарушениям конфиденциальности, так как в сеть попал незначительный объём информации, утверждают в компании.
База данных пользователей и сотрудников медицинского сервиса Doc+ оказалась в открытом доступе. На это обратили внимание авторы Telegram-канала «Утечки информации».
Авторы рассказали об открытой базе системы для обработки данных ClickHouse, которая разрабатывается «Яндексом», одним из инвесторов Doc+. База хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.
Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+.
Что можно было узнать из логов:
- ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности и адреса электронной почты сотрудников.
- Информацию о местоположении пользователей, их устройствах и IP-адресах. С помощью токена можно было получить доступ к личным данным, включая сведения о жалобах на проблемы со здоровьем и обращениях к врачу.
Что на это ответили в Doc+
Данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором, объяснил vc.ru гендиректор Doc+ Руслан Зайдуллин. Он утверждает, что утечка коснулась менее 1% всей информации, которая теоретически могла быть скачана за всё время существования открытого доступа.
Компания закрыла доступ к данным 17 марта, сразу после публикации об уязвимости, уточнил Зайдуллин. Сейчас Doc+ проводит внутреннюю проверку и работает над новыми мерами защиты данных.
В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На момент инцидента в ClickHouse были данные в основном из тестовой среды.
Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком.
Комментарий недоступен
Сократим дробь и получится «даун сломал дом»
Комментарий недоступен
Комментарий недоступен
Вот же скоты. Вылечил у них чирий на жопе, а потом весь мир об этом узнал.
Комментарий недоступен
а потом весь мир дал пинка по больному месту