Zocdoc mengatakan telah memperbaiki bug yang memungkinkan staf saat ini dan sebelumnya di kantor dokter dan praktik gigi untuk mengakses data pasien karena akun pengguna mereka tidak dinonaktifkan dengan benar.
Perusahaan yang berbasis di New York mengungkapkan masalah tersebut dalam sebuah surat kepada kantor jaksa agung California, yang mengharuskan perusahaan dengan lebih dari 500 penduduk negara bagian yang terkena gangguan keamanan atau pelanggaran untuk mengungkapkan insiden tersebut. Zocdoc mengonfirmasi bahwa sekitar 7.600 pengguna di seluruh AS terkena dampak insiden keamanan tersebut.
Zocdoc, yang memungkinkan calon pasien membuat janji temu dengan dokter dan dokter gigi, mengatakan bahwa setiap nama pengguna dan kata sandi praktik medis atau gigi diberikan kepada stafnya untuk mengakses janji temu yang dibuat melalui Zocdoc, tetapi “kesalahan pemrograman” itu – pada dasarnya adalah bug perangkat lunak dalam sistem Zocdoc sendiri — “mengizinkan beberapa anggota staf praktik sebelumnya atau saat ini untuk mengakses portal penyedia setelah nama pengguna dan kata sandi mereka dimaksudkan untuk dihapus, dihapus, atau dibatasi.”
Surat tersebut mengonfirmasi bahwa data pasien yang disimpan di portal Zocdoc dapat diakses, termasuk nama pasien, alamat email, nomor telepon, dan waktu serta tanggal janji temu mereka, tetapi juga data lain yang mungkin telah dibagikan dengan praktik tersebut — seperti perincian asuransi, nomor Jaminan Sosial, dan perincian riwayat kesehatan pasien.
Tetapi Zocdoc mengatakan nomor kartu pembayaran, laporan radiologis atau diagnostik, dan catatan medis tidak diambil, karena tidak menyimpan data ini.
Dalam sebuah email, juru bicara Zocdoc Sandra Glading mengatakan bahwa perusahaan menemukan bug tersebut pada Agustus 2020, tetapi “karena kerumitan kode, dibutuhkan banyak penyelidikan untuk menentukan, jika ada, praktik dan pengguna mana yang terpengaruh dan bagaimana .” Perusahaan mengatakan telah memberikan pemberitahuan ke kantor jaksa agung California “sesegera mungkin”.
Zocdoc mengatakan memiliki “log terperinci yang dapat mendeteksi eksploitasi data apa pun, termasuk potensi eksploitasi kerentanan ini,” dan bahwa setelah meninjau log tersebut dan pekerjaan investigasi lainnya, “kami tidak memiliki indikasi, pada saat ini, bahwa informasi disalahgunakan dengan cara apa pun.”
Sekitar 6 juta pengguna mengakses Zocdoc setiap bulan, kata perusahaan itu.
Jika insiden ini terdengar samar-samar, itu karena ini adalah masalah keamanan yang hampir identik dengan yang dilaporkan Zocdoc pada tahun 2016. Sebuah surat yang diajukan pada saat itu mengutip “kesalahan pemrograman” serupa yang memungkinkan staf di penyedia medis mengakses data pasien secara tidak benar.
