santé et fuite de données

Infiltration et vol de données pour Doctolib

Des pirates informatiques ont tenté de voler les données appartenant aux utilisateurs du service Doctolib. Rapidement stoppés, les hackers ont réussi à consulter plusieurs milliers d’informations personnelles.

La société Doctolib, un portail web spécialisé dans la gestion des cabinets médicaux. L’entreprise franco-allemande vient d’indiquer sur son site web avoir été victime d’une cyber attaque le 21 juillet 2020.  « notre équipe sécurité a détecté et stoppé un acte malveillant […] qui a permis d’accéder illégalement aux informations administratives de 6 128 rendez-vous » confirme l’entreprise.

Les informations administratives concernées sont les suivantes : le nom, le prénom, le sexe, le numéro de téléphone et l’adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous.

Cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib ; aucune donnée médicale n’a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné ; aucun mot de passe n’a pu être lu ;

Le spécialiste indique que « rien ne nous permet de conclure à ce jour à une utilisation malveillante de ces informations administratives. »

Efficace et répondant aux obligations du RGPD, la société a informé les autorités compétentes, en particulier la Commission Nationale de l’Informatique et des Libertés (CNIL) ; déposé plainte à la police et contacté les cabinets et les établissements concernés.

Pourquoi les pirates se sont attaqués à ce site ? Pas de prédilection chez les malveillants. Une faille, une porte d’entrée, pour un seul but, collecter un maximum de contenus pouvant être exploitées directement (mot de passe, données bancaires, phishing, ransomware, escroquerie, …) ou indirectement via la revente à des « spécialistes » du black market.

Une infiltration via une API, un logiciel tiers qui n’a pas su retenir l’appétit des pirates. Un peu comme le cas de Twitter, la semaine dernière. Je vous en parlais d’ailleurs, sur la méthode d’infiltration d’infiltration, dans ma chronique « L’actu cyber » [chaque jeudi sur la chaîne B Smart] dans l’émission Smart Tech.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Matthieu Reply

    « le nom et la spécialité du professionnel de santé concerné » c’est bel et bien de la donnée de santé…

  2. N Reply

    Pas de prédilection ? M’enfin qui pourrait bien s’intéresser à de la donnée de santé… Pas les ASSUREURS bien sûr.
    Vous savez, ceux qui ne vont pas profiter de la réforme des retraites pour la faire passer en assurance privée.
    Ou l’élection de Fillon qui aurait vu la privatisation de la sécu en assurances…
    Ou qui sont prêt à réduire la vitesse sur les routes pour faire baisser le risque et augmenter les profits.

    Non, alors éliminer des clients trop consommateurs, c’est pas eux, c’est sûr, juré.

Répondre à Matthieu Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.