La plateforme de gestion de rendez-vous n’a pas été épargnée durant l’été. Un ou plusieurs pirates ont en effet accédé « aux informations administratives de 6 128 rendez-vous ». La société affirme que « cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib », sans plus de précisions.
Dans le lot des données dérobées, on retrouve « le nom, le prénom, le sexe, le numéro de téléphone et l’adresse email du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné par le rendez-vous ». Les autorités compétentes et notamment la CNIL ont été informées. Une FAQ a été mise en ligne.
Doctolib affirme qu’aucune « donnée médicale n’a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné » ni aucun mot de passe. Avec la spécialité du médecin, il est néanmoins parfois facile d’en déduire certaines pathologies.
Cette fuite arrive quelques semaines seulement après une longue enquête de Télérama sur la sécurité au sein de la plateforme, mettant en avant d’importantes lacunes. La société affirmait de son côté qu’il s’agissait de « fausses accusations ».
Commentaires (16)
#1
Doctolib affirme qu’aucune « donnée médicale n’a pu être lue : aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné »
Si on sait que M.Smith, Homme, 60 ans, à été voir un cancérologue le 24 avril, c’est pas pour discuter de la météo.
#1.1
C’est exactement le sens de la phrase juste apres
#2
Ça dépend, dans Le Bureau des légendes, c’est possible.
#3
Et tu en déduis quoi ?
Ce n’est pas parceque tu consultes un cancérologue que tu as le cancer,
Ce n’est pas parceque tu fais un radiographie du sein que tu as le cancer,
Ce n’est pas parceque tu vas voir un diétécien que tu es obèse,
etc. etc.
Exemple tu peux prendre rendez vous chez un dermato pour un suivi annuel classique ou pour suivre un mélanome…
#3.1
Oui enfin, les dermato, les ORL etc. c’est pas vraiment un problème, l’impact sur la vie pro perso sera faible si c’est connu.
Par contre c’est plus délicat de voir fuiter son rdv avec un chirurgien proctologue.
#4
Même pas: si tu prends le cas d’un chirurgien proctologue, une bonne partie de son activité consiste à faire des coloscopies de routine qui sont conseillées à partir de 50 ans.
Et même si tu prends rendez vous avec un chirurgien cela peut être simplement pour l’ablation d’une tumeur bénigne.
#5
Après si un rdv avec un (le ?) même spécialiste se répète dans le temps, il est fort probable que c’est lié au patient (plusieurs rdv avec dentiste par exemple
#6
Pour tes trois exemples : Non, c’est vrai dans l’absolu. Mais en termes de probabilité je t’assure qu’il y a plus de gens qui ont mal au dents dans la salle d’attente chez le dentiste que chez le podologue.
Et ça tombe bien, il y a des tonnes d’acteurs pour qui les probabilités sont suffisantes.
J’ai fait assurer mon crédit immobilier étant malade et le processus entre ma declaration et la proposition de l’assurance n’a absolument rien de transparent ou de justifié.
Un employé/une compagnie malhonnête chargé d’évaluer les risques liés à une personne pourrait tout a fait avoir recours à ce genre d’informations. Et je doute qu’il considère que « avoir vu un cancérologue ne signifie pas cancer ».
#7
J’ai à peine posté le lien de l’article sur Twitter que paf ! J’ai eu une réponse de la marque :
« Bonjour, cette information date de plus d’un mois. Nous l’avons communiquée nous même le 23 juillet dernier après avoir stoppé l’acte malveillant dont nous avons été victimes. Toutes les précisions ⬇️
shorturl.at/fsyFZ »
Ils sont à cran ou quoi ?
#7.1
Bah, quel intérêt de poster aujourd’hui cette vielle information ?
Je comprends qu’ils réagissent avec un message de ce type.
#7.2
C’est juste une réponse préparée :
https://twitter.com/search?q=shorturl.at%2FfsyFZ&src=typed_query&f=live
#7.3
oui, ils sont à cran ! La confidentialité est au coeur de leur business, donc ils sont à cran si on en parle même deux mois après.
#8
Elle est préparée mais adaptée : la réponse à NextImpact est légèrement différente. Elle reproche de ne pas préciser que l’information date de plus d’un mois et je comprends un peu leur agacement.
C’est un peu le problème du Brief de rentrée qui récapitule tout ce qui s’est passé depuis le 17 juillet.
Il faudrait peut-être éviter de publier chaque brève “de rentrée” de NXI sur twitter.
#9
Parce que les données volées s’effacent au bout d’un mois ? ;)
#9.1
Non, mais Twitter, c’est un peu la place de l’instantanéité, pas des nouvelles anciennes.
Mais tu n’as pas répondu à l’intérêt qu’il y avait à poster cette vielle information sur Twitter. Tu peux répondre ?
#10