Обновлено: Добавлен комментарий представителей Doc+

Телеграм-канал «Утечки информации» рассказал об открытой базе данных ClickHouse, принадлежащей сервису онлайн-консультаций с врачами Doc+. В ней хранятся персональные медицинские данные.

База данных хранит актуальные логи (файлы), которые содержат запросы и ответы сервиса, включая ключи авторизации и личные данные. Доступ к ней могут получить все, кто знает IP-адрес.

Из логов можно узнать ФИО, дату рождения, ИНН, адреса прописки и фактического места проживания, телефоны, должности, электронную почту и местоположение пользователей Doc+. Там же находится информация об устройствах и IP-адресах клиентов. Кроме того, используя токен пользователя, можно получить его персональные данные, включая сведения о болезнях и посещениях врача.

Всего в открытом доступе найдено 474 таблицы ClickHouse с файлами Doc+. По данным телеграм-канала, база данных продолжает пополняться новыми файлами. «Утечки информации» также пишут, что Doc+ известно об открытом доступе к персональным данным, но никаких мер для решения проблемы не предприняли.


UPD (13:10): Представители Doc+ заявили, что данные из ClickHouse попали в открытый доступ из-за ошибки, связанной с человеческим фактором. По словам CEO компании Руслана Зайдуллина, утечка коснулась незначительного объема данных (менее 1 % всей информации) и не приведет к негативным последствиям для пользователей, так как в основном в ClickHouse находились данные из тестовой среды.

«Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком», — подчеркнул Зайдуллин.

Доступ к данным закрыли 17 марта после публикации об уязвимости. В Doc+ проводят внутренние разбирательства. Также сервис начал внедрять дополнительные меры защиты данных.


Источник: vc.ru

Подписывайтесь на нас!