La plateforme Doctolib victime d’un piratage !
La plateforme de réservation en ligne de rendez-vous médicaux annonce avoir été victime d'un piratage. Suite à cet incident, ce sont les données administratives de 6 218 rendez-vous qui sont concernées.
Les équipes de sécurité de Doctolib ont détecté cette attaque le mardi 21 juillet 2020, qu'ils ont pu stopper dans la foulée et combler la faille de sécurité.
De son côté, Doctolib assure que les données n'ont pas fuité, mais l'attaquant a eu accès à ces informations pendant un court laps de temps. Néanmoins, Doctolib ne précise pas ce que représente "ce court laps de temps".
1. Mardi 21 juillet, notre équipe de sécurité a détecté et stoppé un acte malveillant contre Doctolib visant des informations administratives de rendez-vous. Aucun rendez-vous pris sur https://t.co/83E0LFU1vz ni aucune donnée médicale n'est concerné. https://t.co/6qK6Gi8R04 pic.twitter.com/S6R0jihnrT
— Doctolib (@doctolib) July 23, 2020
Au niveau des informations administratives, nous retrouvons les éléments suivants concernant le patient : nom, prénom, sexe, numéro de téléphone et adresse e-mail. En complément, il y a la date du rendez-vous ainsi que le nom du professionnel de santé associé. Ce qui est rassurant, c'est que les mots de passe des comptes utilisateurs n'ont pas fuité, et Doctolib précise : « qu'aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n'a été concerné ».
La faille de sécurité ne réside pas sur le site Doctolib directement, mais au niveau des interconnexions avec des logiciels tiers. Il y a fort à parier pour que cette vulnérabilité se trouve au sein de l'API utilisée par les logiciels tiers et mise à disposition par Doctolib. Cette interaction avec d'autres logiciels permet de faciliter la prise en rendez-vous pour les professionnels du médical.
Les patients concernés par ce piratage seront contactés par des établissements de santé afin de les informer de l'incident. La CNIL est également informée de ce piratage.
