Сервис Doc+ хранит личные данные пользователей в открытом доступе (обновлено) Утечка затронула как клиентов, так и сотрудников сервиса
Обновлено: Добавлен комментарий представителей Doc+
Телеграм-канал «Утечки информации» рассказал об открытой базе данных ClickHouse, принадлежащей сервису онлайн-консультаций с врачами Doc+. В ней хранятся персональные медицинские данные.
База данных хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.
Из логов можно узнать ФИО, дату рождения, ИНН, адреса прописки и фактического места проживания, телефоны, должности, электронную почту и местоположение пользователей Doc+. Там же находится информация об устройствах и IP-адресах клиентов. Кроме того, используя токен пользователя, можно получить его персональные данные, включая сведения о болезнях и посещениях врача.
Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+. По данным телеграм-канала, база данных продолжает пополняться новыми файлами. «Утечки информации» также пишут, что Doc+ известно об открытом доступе к персональным данным, но никаких мер для решения проблемы не предприняли.
UPD (13:10): Представители Doc+ заявили, что данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором. По словам CEO компании Руслана Зайдуллина, утечка коснулась незначительного объема данных (менее 1 % всей информации) и не приведет к негативным последствиям для пользователей, так как в основном в ClickHouse находились данные из тестовой среды.
«Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком», — подчеркнул Зайдуллин.
Доступ к данным закрыли 17 марта после публикации об уязвимости. В Doc+ проводят внутренние разбирательства. Также сервис начал внедрять дополнительные меры защиты данных.