Con el apoyo de Benjamin Sonntag, cofundador de la asociación La Quadrature du Net, radio francesa llevó a cabo una extensa investigación para tratar de entender si Doctolib estaba cumpliendo su promesa de «cifrado de extremo a extremo de datos de atención médica» de sus usuarios. Él resultados Las pruebas se publicaron el 20 de mayo de 2022. Muestran que el cifrado de datos no está completo.
El cifrado de » de extremo a extremo « todavía no es una realidad en Doctolib
Después de transferir datos confidenciales a Facebook y Outbrain en Alemania, en particular las palabras clave escritas por los usuarios en el motor de búsqueda de la plataforma, Doctolib se aseguró de que los datos personales de sus usuarios estaban ahora cifrado de extremo a extremo. La startup francesa incluso obtuvo hace unos meses una certificación que da fe de la seguridad de los datos de salud de los usuarios. Sin embargo, una encuesta reciente de radio francesa realizado con La Quadrature du Net muestra que el cifrado de datos no está completo.
Lanzamiento exitoso, la cápsula Starliner de Boeing se dirige a la ISS
No obstante, en un comunicado de prensa publicado recientemente, Doctolib garantizó que “Esta tecnología hace que sea estrictamente imposible que cualquier otra persona acceda a estos datos, incluso en operaciones de soporte o mantenimiento”. Esto no es lo que muestran las pruebas realizadas por la radio pública. Los investigadores descubrieron que aún se podía acceder a la información sobre las citas médicas pasadas y futuras del usuario. » en claro «, sin cifrar. Eso no es todo, algunos empleados de Doctolib tienen acceso a los datos de salud de los usuarios del servicio.
Un empleado malintencionado podría apropiarse indebidamente de los datos.
radio francesa especifica que este es particularmente el caso gestores de copias de seguridad, administradores de sistemas, y todas las demás personas que administran la red y los servidores. Entre la información accesible, encontramos en particular los apellidos y nombres del paciente, la fecha de la cita, el nombre y especialidad del médico consultado e incluso el motivo de la consulta. Sin embargo, la célula de investigación especifica que los archivos adjuntos intercambiados entre el paciente y su médico están bien protegidos.
Doctolib reconoció la falla al especificar que un número “muy pocos empleados tienen acceso a citas médicas, en horarios específicos y por motivos específicos, en el marco de las funciones de apoyo”. La plataforma garantiza que si los datos de la cita no están cifrados de extremo a extremo, es porque «esto impediría la utilidad y buen funcionamiento del servicio». Por ejemplo, los usuarios no podían recibir el recordatorio de su cita por correo electrónico o mensaje de texto. La Quadrature du Net deja claro que esta situación no es ilegal. Sin embargo, es arriesgado. Un empleado malintencionado podría desviar los datos o transmitirlos a un tercero.