Анастасия — мама двоих малышей и постоянный посетитель онлайн-клиник. Однажды утром ей понадобилось срочно получить рецепт на новый препарат. Она зарегистрировалась на “Здоровье24”, заполнила всю анкету: ФИО, серия и номер полиса, даже диагностические снимки туда загрузила. А через неделю ей приходит уведомление: “Найдена утечка ваших данных!” Оказалось, злоумышленник воспользовался уязвимостью на форме загрузки файлов и скачал не только её медкарты, но и данные сотни других пациентов.
В результате Анастасии пришлось разбираться с банком, потому что вместе с историей болезней в открытый доступ ушли её паспортные данные и реквизиты оплаты. Страховая приостановила выплаты, пока не подтвердится, что она действительно обращалась за услугами. А нервов потрачено столько, что неделю она спала по два часа.
Почему это произошло?
Во-первых, многие клиники собирают все данные “на одном дыхании” — иногда без надёжной валидации форм и без проверки, что загружаемый файл не содержит вредоносного кода. Во-вторых, соединение с порталом могло быть зашифровано лишь на уровне SSL (TLS), но при этом сами файлы лежали на сервере в открытом виде. И, наконец, Анастасия работала из кафе по чужому Wi-Fi без VPN-канала: её трафик и файлы проходили “голыми” — любой MITM-атакующий мог подхватить запрос к форме и внедрить свой скрипт.
Как избежать утечек и держать свою медкарту в целости
1. Всегда включайте VPN перед авторизацией.
Любая публичная сеть — это потенциальный “прослушивающий” роутер. Подключайтесь через надёжный VPN (ОкVPN) до того, как зайдёте на портал клиники. Тогда провайдер или злоумышленник увидят лишь шифрованный туннель, а не ваши данные.
2. Проверяйте шифрование форм и файлов.
Убедитесь, что адрес сайта начинается с https:// и что у замка в браузере нет предупреждений. Кликните по сертификату и посмотрите, кто его выдал и до какого числа он действителен. Если сайт предлагает загрузить файлы, обратите внимание, шифруются ли они на клиенте (например, через S/MIME или PGP) перед отправкой.
3. Минимизируйте передаваемые данные.
Не отправляйте туда лишнего: если портал просит данные, которые не требуются прямо сейчас (например, копию ИНН вместе с паспортом), уточните у службы поддержки, можно ли обойтись без них. Чем меньше информации хранится у провайдера, тем меньше последствий при утечке.
4. Используйте уникальные пароли и менеджер паролей.
Заводите для каждого портала сложный, уникальный пароль в Bitwarden или аналогичном сервисе. И ни в коем случае не держите пароли в браузере — злоумышленник, попав на компьютер, сможет легко вытащить их.
5. Регулярно проверяйте свои логи и уведомления.
Настройте в личном кабинете оповещения о входах с новых устройств и изменениях в учётной записи. Если вы увидите подозрительную активность, отключите учётку и смените пароль сразу же, а лучше — и всю VPN-сессию.
Соблюдая эти простые правила, вы забудете про ночные проверки банковских выписок и копания в страховых полисах. Удачи и крепкого здоровья!