Comme le rapporte le Monde, la fuite de données pourrait être liée à une API utilisée par des logiciels tiers afin de s’interconnecter avec les systèmes de Doctolib. Cette théorie semble cohérente avec les déclarations des porte-parole de Doctolib, qui se refusent à évoquer une faille dans ses logiciels ou dans les logiciels tiers utilisés par ses partenaires. Doctolib a en effet développé une API visant à interconnecter son système avec d’autres logiciels de gestion de cabinets médicaux pour faciliter la prise de rendez-vous.

Doctolib précise dans son communiqué que les mots de passe des utilisateurs n’ont pas été exposés, et ajoute « qu’aucun motif de rendez-vous, aucun document médical, aucune information relative au dossier médical des patients n’a été concerné ». La société a déclaré l’incident auprès de la CNIL et a porté plainte. Doctolib indique être entré en contact avec les différents établissements de santé et les cabinets dont les données ont été affectées par cette fuite de données. Selon Doctolib, ce sont ces établissements de santé qui se chargeront de contacter les patients dont les données ont été exposées par l’incident de sécurité.