Сервис для вызова врача на дом Doc+ допустил утечку данных пользователей и сотрудников и объяснил её ошибкой
Инцидент не привёл к серьёзным нарушениям конфиденциальности, так как в сеть попал незначительный объём информации, утверждают в компании.
База данных пользователей и сотрудников медицинского сервиса Doc+ оказалась в открытом доступе. На это обратили внимание авторы Telegram-канала «Утечки информации».
Авторы рассказали об открытой базе системы для обработки данных ClickHouse, которая разрабатывается «Яндексом», одним из инвесторов Doc+. База хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.
Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+.
Что можно было узнать из логов:
- ФИО, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности и адреса электронной почты сотрудников.
- Информацию о местоположении пользователей, их устройствах и IP-адресах. С помощью токена можно было получить доступ к личным данным, включая сведения о жалобах на проблемы со здоровьем и обращениях к врачу.
Что на это ответили в Doc+
Данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором, объяснил vc.ru гендиректор Doc+ Руслан Зайдуллин. Он утверждает, что утечка коснулась менее 1% всей информации, которая теоретически могла быть скачана за всё время существования открытого доступа.
Компания закрыла доступ к данным 17 марта, сразу после публикации об уязвимости, уточнил Зайдуллин. Сейчас Doc+ проводит внутреннюю проверку и работает над новыми мерами защиты данных.
Комментарий недоступен
Сократим дробь и получится «даун сломал дом»
Кто это чудо нарисовал)
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
У тинькова нет уже, закрыли
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Вот же скоты. Вылечил у них чирий на жопе, а потом весь мир об этом узнал.
Комментарий недоступен
а потом весь мир дал пинка по больному месту
так вот зачем из clickhouse нельзя ничего удалять
вызвал врача на дом, а когда узнал что твои персональные данные улетели, сам иди к психологу, успокаиваться
Обидно. С тем же успехом можно было ходить по улице с табличкой "У меня геморрой".
Да ладно, какая кому разница на самом-то деле
Данные относятся к персональным, а значит можно подавать в суд.
Не удивительно. Эти деятели вообще ни за что не отвечают, "врачи" там того же уровня, что и прочие гореспециалисты, допускающие такие утечки: вызывать их "врачей" на дом - брать на себя риск летального исхода. Абсолютно порочная и, надеюсь, в скором времени гиблая организация. Достаточно вот здесь посмотреть результат их "лечения" - https://otzovik.com/review_7083176.html