Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:
Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.
DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.
17 марта канал "Утечки информации" сообщил (ориг.), что база данных DOC+ на платформе "Яндекса" ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.
Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: "Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей".
Представитель DOC+ оценил утечку, как незначительную:
В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.
По факту инцидента ведутся внутренние разбирательства.
Андрей Арсентьев знает, что утечки вышеописанного типа регистрируются в мире всё чаще, а повышения квалификации сисадминов и менеджеров баз данных может не хватить для создания адекватной защиты — необходимы регулярные ревизии информационных активов с использованием аналитических инструментов класса Data Discovery и применение защитных DLP-систем (от англ. Data Leak Prevention).
Формально ООО "Новая Медицина" (DOC+) является оператором персональных данных, в связи с чем, по её утверждению, принимает все требуемые законодательством меры защиты ПД. Внедрены средства защиты, прошедшие сертификацию со стороны ФСБ и ФСТЭК, выстроены внутренние процессы управления и контроля.
Baring Vostok и «Яндекс» инвестировали в DOC+ в 2017-м и 2016-м годах, суммарно на $10,5 млн, летом 2018 очередной инвестраунд был уже на $9 млн — в числе инвесторов снова оказались Baring Vostok, «Яндекс» и шведский фонд Vostok New Ventures.
Добавить 6 комментариев
Забавно. Новость комментирует какой-то «аналитик», который вообще понятия не имеет о том, что произошло и поэтому какое-то бла-бла-бла. А попросить каммент у тех, кто в теме религия не позволяла?
Возьмите и прокомментируйте, конкурирующая фирма.
Конкурирующая или нет тут непричем совсем. Указан источник, канал в телеграме, который обнаружил это все. Так получилось, что это мой канал и веду его я ;) и наверное я знаю больше чем коммениаторы-аналитики
В сети пишут, что скачано около 4млн копий. Какая отличная защита. Предполагаю что скоро напишет «експерт» торговец автозапчастей втогджсм.ру — видимо покупателей не много, потому и пишет столь малоокметентный тип.
Тю, всего 1 процент панимаешь пострадало. Кто их считает, поциентов.
Интересно, там в руководстве понимают, что выставили откровенного идиота ситуацию разгребать?
Этож не утечка паролей, это персональные данные о заболеваниях, одного поциента с интересным диагнозом по идее должно быть достаточно, чтобы эта шарашка забыла про свои занятия «медициной» с людьми.
В целом очередное доказательство что телемедицина годится только с лохов деньги трясти — ни с чем серьезным к ним идти нельзя, или случайно ославят — или (судя по комментариям представителя) сознательно могут продать данные
1% это конечно не правда. вот мое описание этой утечки: https://habr.com/ru/post/444114/
сейчас в свободном доступе гуляет файл со всеми персданными их врачей. пациентов напрямую никто пока не выкладывал, но мы проверяли — токенами из логов можно было вытянуть все. скорее всего кто-то вытянул.
а вот второй инцидент с телемедициной https://habr.com/ru/post/444590/