Масштабная трансформация
Сбербанка в прямом эфире
LIVE

Сервис для вызова врача на дом Doc+ допустил утечку данных пользователей и сотрудников и объяснил её ошибкой

Инцидент не привёл к серьёзным нарушениям конфиденциальности, так как в сеть попал незначительный объём информации, утверждают в компании.

В закладки

База данных пользователей и сотрудников медицинского сервиса Doc+ оказалась в открытом доступе. На это обратили внимание авторы Telegram-канала «Утечки информации».

Авторы рассказали об открытой базе системы для обработки данных ClickHouse, которая разрабатывается «Яндексом», одним из инвесторов Doc+. База хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.

Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+.

Что можно было узнать из логов:

  • ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности и адреса электронной почты сотрудников.
  • Информацию о местоположении пользователей, их устройствах и IP-адресах. С помощью токена можно было получить доступ к личным данным, включая сведения о жалобах на проблемы со здоровьем и обращениях к врачу.

Что на это ответили в Doc+

Данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором, объяснил vc.ru гендиректор Doc+ Руслан Зайдуллин. Он утверждает, что утечка коснулась менее 1% всей информации, которая теоретически могла быть скачана за всё время существования открытого доступа.

Компания закрыла доступ к данным 17 марта, сразу после публикации об уязвимости, уточнил Зайдуллин. Сейчас Doc+ проводит внутреннюю проверку и работает над новыми мерами защиты данных.

В открытом доступе временно оказался незначительный объём данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса Doc+. На момент инцидента в ClickHouse были данные в основном из тестовой среды.

Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком.

Руслан Зайдуллин
гендиректор Doc+
{ "author_name": "Павел Афанасьев", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 20, "likes": 21, "favorites": 9, "is_advertisement": false, "subsite_label": "claim", "id": 61426, "is_wide": false, "is_ugc": true, "date": "Sun, 17 Mar 2019 12:33:59 +0300", "is_special": false }
0
20 комментариев
Популярные
По порядку
Написать комментарий...
0

ClickDown взломал ClickHouse.

Ответить
8

Сократим дробь и получится «даун сломал дом»

Ответить
0

Кто это чудо нарисовал)

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

На яде есть и у тинькова

Ответить
0

У тинькова нет уже, закрыли

Ответить
1

У меня на блэке все работает

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Там есть выпуск виртуалки

Ответить
2

Вот же скоты. Вылечил у них чирий на жопе, а потом весь мир об этом узнал.

Ответить
0

Как и Геарбест, не шифруют данные.

Ответить
0

а потом весь мир дал пинка по больному месту

Ответить
1

так вот зачем из clickhouse нельзя ничего удалять

Ответить
0

вызвал врача на дом, а когда узнал что твои персональные данные улетели, сам иди к психологу, успокаиваться

Ответить
0

Обидно. С тем же успехом можно было ходить по улице с табличкой "У меня геморрой".

Ответить
0

Да ладно, какая кому разница на самом-то деле

Ответить
0

Данные относятся к персональным, а значит можно подавать в суд.

Ответить
0

Не удивительно. Эти деятели вообще ни за что не отвечают, "врачи" там того же уровня, что и прочие гореспециалисты, допускающие такие утечки: вызывать их "врачей" на дом - брать на себя риск летального исхода. Абсолютно порочная и, надеюсь, в скором времени гиблая организация. Достаточно вот здесь посмотреть результат их "лечения" - https://otzovik.com/review_7083176.html

Ответить

Комментарии