Zocdoc affirme avoir corrigé un bug qui permettait au personnel actuel et ancien des cabinets médicaux et des cabinets dentaires d’accéder aux données des patients car leurs comptes d’utilisateurs n’étaient pas correctement désactivés.

La société basée à New York a révélé le problème dans une lettre adressée au bureau du procureur général de Californie, qui oblige les entreprises de plus de 500 résidents de l’État touchés par une défaillance ou une violation de la sécurité à divulguer l’incident.

Zocdoc, qui permet aux patients potentiels de prendre des rendez-vous avec des médecins et des dentistes, a déclaré qu’il donne à chaque cabinet médical ou dentaire des noms d’utilisateur et des mots de passe pour que son personnel puisse accéder aux rendez-vous pris via Zocdoc, mais que des «erreurs de programmation» – essentiellement un bogue logiciel dans les propres systèmes de Zocdoc – « a permis à certains membres du personnel de la pratique passée ou actuelle d’accéder au portail du fournisseur une fois que leurs noms d’utilisateur et mots de passe devaient être supprimés, supprimés ou autrement limités.

La lettre confirmait que les données des patients stockées sur le portail de Zocdoc auraient pu être consultées, y compris le nom, l’adresse e-mail, le numéro de téléphone d’un patient, ainsi que les heures et dates de ses rendez-vous, mais aussi d’autres données qui auraient pu être partagées avec le cabinet – telles que les détails de l’assurance, les numéros de sécurité sociale et les détails des antécédents médicaux du patient.

Mais Zocdoc a déclaré que les numéros de carte de paiement, les rapports radiologiques ou diagnostiques et les dossiers médicaux n’avaient pas été pris, car il ne stockait pas ces données.

Dans un e-mail, la porte-parole de Zocdoc, Sandra Glading, a déclaré que la société avait découvert le bogue en août 2020, mais « en raison de la complexité du code, il a fallu beaucoup d’investigations pour déterminer quelles pratiques et quels utilisateurs, le cas échéant, étaient affectés et comment . » La société a déclaré avoir averti le bureau du procureur général de Californie «dès que possible».

Zocdoc a déclaré avoir «des journaux détaillés qui peuvent détecter l’exploitation de toutes les données, y compris toute exploitation potentielle de cette vulnérabilité», et qu’après un …

Voir la source de cette publication