{"id":13461,"url":"\/distributions\/13461\/click?bit=1&hash=d44d764333f29771436df5067c05cc2a677654f2636217c5226c22b0c2af5093","title":"\u0412\u0436\u0443\u0445 \u2014 \u0438 \u0432\u0430\u043c 16 \u043b\u0435\u0442. \u0427\u0442\u043e \u0438\u0437\u043c\u0435\u043d\u0438\u0442\u0435 \u0432 \u0441\u0432\u043e\u0435\u0439 \u0436\u0438\u0437\u043d\u0438?","buttonText":"\u0412\u0441\u0451","imageUuid":"278ea8b2-fa78-58ff-aadc-98200bf4422e","isPaidAndBannersEnabled":false}

Сервис для вызова врача на дом Doc+ допустил утечку данных пользователей и сотрудников и объяснил её ошибкой

Инцидент не привёл к серьёзным нарушениям конфиденциальности, так как в сеть попал незначительный объём информации, утверждают в компании.

База данных пользователей и сотрудников медицинского сервиса Doc+ оказалась в открытом доступе. На это обратили внимание авторы Telegram-канала «Утечки информации».

Авторы рассказали об открытой базе системы для обработки данных ClickHouse, которая разрабатывается «Яндексом», одним из инвесторов Doc+. База хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.

Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+.

Что можно было узнать из логов:

  • ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности и адреса электронной почты сотрудников.
  • Информацию о местоположении пользователей, их устройствах и IP-адресах. С помощью токена можно было получить доступ к личным данным, включая сведения о жалобах на проблемы со здоровьем и обращениях к врачу.

Что на это ответили в Doc+

Данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором, объяснил vc.ru гендиректор Doc+ Руслан Зайдуллин. Он утверждает, что утечка коснулась менее 1% всей информации, которая теоретически могла быть скачана за всё время существования открытого доступа.

Компания закрыла доступ к данным 17 марта, сразу после публикации об уязвимости, уточнил Зайдуллин. Сейчас Doc+ проводит внутреннюю проверку и работает над новыми мерами защиты данных.

В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На момент инцидента в ClickHouse были данные в основном из тестовой среды.

Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком.

Руслан Зайдуллин
гендиректор Doc+
0
20 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Zoibana

Сократим дробь и получится «даун сломал дом»

Ответить
Развернуть ветку
Ярослав Белов
Ответить
Развернуть ветку
Viktor Nevzorov

Кто это чудо нарисовал)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аркадий Чумаков

На яде есть и у тинькова

Ответить
Развернуть ветку
Stanislav Tepikin

У тинькова нет уже, закрыли

Ответить
Развернуть ветку
Аркадий Чумаков

У меня на блэке все работает

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аркадий Чумаков

Там есть выпуск виртуалки

Ответить
Развернуть ветку
Инструмент Интенсивного Обогащения

Вот же скоты. Вылечил у них чирий на жопе, а потом весь мир об этом узнал.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Matvey Sofyin

а потом весь мир дал пинка по больному месту

Ответить
Развернуть ветку
Andrey Hamidulin

так вот зачем из clickhouse нельзя ничего удалять

Ответить
Развернуть ветку
Vlad Kruglov

вызвал врача на дом, а когда узнал что твои персональные данные улетели, сам иди к психологу, успокаиваться

Ответить
Развернуть ветку
Марина Шишкова

Обидно. С тем же успехом можно было ходить по улице с табличкой "У меня геморрой".

Ответить
Развернуть ветку
Юрий Павлюк

Да ладно, какая кому разница на самом-то деле

Ответить
Развернуть ветку
Sergey Mokeev

Данные относятся к персональным, а значит можно подавать в суд.

Ответить
Развернуть ветку
Misha Shcherbakov

Не удивительно. Эти деятели вообще ни за что не отвечают, "врачи" там того же уровня, что и прочие гореспециалисты, допускающие такие утечки: вызывать их "врачей" на дом - брать на себя риск летального исхода. Абсолютно порочная и, надеюсь, в скором времени гиблая организация. Достаточно вот здесь посмотреть результат их "лечения" - https://otzovik.com/review_7083176.html

Ответить
Развернуть ветку
Читать все 20 комментариев
null