診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった

医療機関オンライン予約サービスのZocdocは、医院や歯科医院の現職および元スタッフのユーザーアカウントが適切に削除されていなかったために、患者データへのアクセスが可能になっていたバグを修正したと発表した。

ニューヨークに本社を置くZocdocは、カリフォルニア州司法長官に宛てた書簡の中でこの問題を明らかにした。企業は500人以上の州民がセキュリティ上の不備や違反の影響を受けた場合、同州の司法長官事務所に通知することが義務づけられている。Zocdocは今回のセキュリティインシデントにより、米国全体で約7千600人のユーザーが影響を受けていることを確認した。

Zocdocは、見込み患者が医師や歯科医師を検索し予約を入れることができるサービスを提供しており、各医療機関や歯科医院のスタッフがZocdocを通じて行われた予約にアクセスするためのユーザー名とパスワードを提供しているが「プログラミングエラー」、つまり基本的にはZocdoc自身のシステムにおけるソフトウェアのバグにより「過去または現在の医療機関のスタッフの一部が、ユーザー名とパスワードを削除、消去、またはその他の方法で制限することを意図した後に、プロバイダーポータルにアクセスすることができた」と述べている。

この書簡では、Zocdocのポータルに保存されている患者データがアクセスされた可能性があることが確認されている。該当データには、患者の氏名、電子メールアドレス、電話番号、予約日時の他、保険の詳細、社会保障番号、患者の病歴の詳細など、診療所と共有されていた可能性のあるデータも含まれている。

しかしZocdocによると、支払いカード番号、X線や診断書、医療記録などは同社は保存しないため、盗まれていないとのこと。

Zocdocの広報担当者であるSandra Glading(サンドラ・グレーディング)氏はメールで、同社は2020年8月にバグを発見したが「コードが複雑なため、どの診療所やユーザーがどのように影響を受けたかを特定するには、相当な調査が必要だった」と述べた。同社は、カリフォルニア州の司法長官事務所に「可能な限り早く」通知したと述べている。

Zocdocは「この脆弱性の悪用の可能性を含む、あらゆるデータの悪用を検出できる詳細なログ」を保有しており、それらのログの確認とその他の調査作業を行った結果「現時点では、個人情報が何らかの形で悪用された形跡はない」と述べた。

同社によれば、月間約600万人のユーザーがZocdocにアクセスしているという。

この事件に何となく聞き覚えがあるとしたら、それは2016年にZocdocが報告したセキュリティ問題と酷似しているからだ。当時提出された書簡には、医療機関のスタッフが患者データに不正にアクセスできる同様の「プログラミングエラー」が挙げられていた。

関連記事
macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)
エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲
婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」で個人情報を閲覧できる状態になっていたと報告
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード

カテゴリー:セキュリティ
タグ:Zocdocデータ漏洩個人情報医療バグ

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)