DOC+: утечка о пациентах и врачах не грозит им самим, Яндекс.Здоровье не пострадало вообще

Развитие событий: MongoDB, Elastic, кривые руки программистов госструктур и законы открывают данные россиян злоумышленникам (15 мая)

Телемедицинский сервис DOC+ связал утечку персональных данных, о которой стало широко известно в минувшие выходные, с ошибкой сотрудника. DOC+ выступает одним из медицинских провайдеров в маркетплейсе Яндекс.Здоровье — данные клиентов этого сервиса в отрытый доступ не попали, подчеркнули в PR-службе, в отличие от собственных:

Появление данных из ClickHouse в открытом доступе произошло из-за ошибки, связанной с человеческим фактором. Доступ к данным был оперативно закрыт 17.03.19 сразу после публикации об уязвимости. В компании регулярно проводится анализ уязвимостей системы защиты персональных данных, и данная ошибка была бы обязательно обнаружена и исправлена. К сожалению, мы не успели это сделать до обнаружения ошибки другими специалистами.

DOC+ позволяет пациентам получить дистанционную консультацию врача, при необходимости специалиста можно вызвать на дом. С весны 2017 года терапевты и педиатры DOC+ консультируют клиентов, в том числе, через Яндекс.Здоровье.

17 марта канал «Утечки информации» сообщил (ориг.), что база данных DOC+ на платформе «Яндекса» ClickHouse оказалась свободно доступна: из логов, якобы, можно было узнать техническую информацию о подключения пациентов и врачей. В частности о сотрудниках ООО «Новая Медицина» раскрывались имена, даты рождения, пол, ИНН, адреса прописки и фактического места проживания, телефоны, должности, адреса электронной почты и другие сведения. В логах содержались токены (API_USER_TOKEN) пользователей сервиса, с помощью которых можно было получить их личные данные.

Как объяснил редакции аналитик ГК InfoWatch Андрей Арсентьев: «Российское законодательство пока не предусматривает жёсткой ответственности за допущенные нарушения в части хранения и обработки персональных данных. В случае доказательства вины компании грозит штраф в размере нескольких десятков тысяч рублей».

Представитель DOC+ оценил утечку, как незначительную:

В открытом доступе временно оказался незначительный объем данных, который не может привести к негативным последствиям для сотрудников и пользователей сервиса DOC+. На момент инцидента в ClickHouse были данные в основном из тестовой среды. Медицинские данные клиентов, оказавшиеся в открытом доступе, являются обезличенными, идентифицировать субъект персональных данных по ним можно было бы только при получении всей базы данных целиком. Анализ истории обращений к базе данных и исходящего трафика с наших серверов позволяет утверждать, что утечка могла коснуться <1% всей информации.

По факту инцидента ведутся внутренние разбирательства.

Андрей Арсентьев знает, что утечки вышеописанного типа регистрируются в мире всё чаще, а повышения квалификации сисадминов и менеджеров баз данных может не хватить для создания адекватной защиты — необходимы регулярные ревизии информационных активов с использованием аналитических инструментов класса Data Discovery и применение защитных DLP-систем (от англ. Data Leak Prevention).

Формально ООО «Новая Медицина» (DOC+) является оператором персональных данных, в связи с чем, по её утверждению, принимает все требуемые законодательством меры защиты ПД. Внедрены средства защиты, прошедшие сертификацию со стороны ФСБ и ФСТЭК, выстроены внутренние процессы управления и контроля.


Baring Vostok и «Яндекс» инвестировали в DOC+ в 2017-м и 2016-м годах, суммарно на $10,5 млн, летом 2018 очередной инвестраунд был уже на $9 млн — в числе инвесторов снова оказались Baring Vostok, «Яндекс» и шведский фонд Vostok New Ventures.

Добавить 6 комментариев

  • Ответить
    Ashot Oganesyan DeviceLock, Inc

    Забавно. Новость комментирует какой-то «аналитик», который вообще понятия не имеет о том, что произошло и поэтому какое-то бла-бла-бла. А попросить каммент у тех, кто в теме религия не позволяла?

  • Ответить
    Ashot Oganesyan DeviceLock, Inc

    Конкурирующая или нет тут непричем совсем. Указан источник, канал в телеграме, который обнаружил это все. Так получилось, что это мой канал и веду его я ;) и наверное я знаю больше чем коммениаторы-аналитики

  • Ответить
    Alex Tsvetochkin The Omega project

    В сети пишут, что скачано около 4млн копий. Какая отличная защита. Предполагаю что скоро напишет «експерт» торговец автозапчастей втогджсм.ру — видимо покупателей не много, потому и пишет столь малоокметентный тип.

  • Ответить

    Тю, всего 1 процент панимаешь пострадало. Кто их считает, поциентов.
    Интересно, там в руководстве понимают, что выставили откровенного идиота ситуацию разгребать?

    Этож не утечка паролей, это персональные данные о заболеваниях, одного поциента с интересным диагнозом по идее должно быть достаточно, чтобы эта шарашка забыла про свои занятия «медициной» с людьми.

    В целом очередное доказательство что телемедицина годится только с лохов деньги трясти — ни с чем серьезным к ним идти нельзя, или случайно ославят — или (судя по комментариям представителя) сознательно могут продать данные

  • Ответить

    1% это конечно не правда. вот мое описание этой утечки: https://habr.com/ru/post/444114/

    сейчас в свободном доступе гуляет файл со всеми персданными их врачей. пациентов напрямую никто пока не выкладывал, но мы проверяли — токенами из логов можно было вытянуть все. скорее всего кто-то вытянул.

    а вот второй инцидент с телемедициной https://habr.com/ru/post/444590/