Une fuite massive de données dû à un stockage cloud mal configuré
Une centaine de patients ont vu leurs données personnelles et médicales exposé en ligne à cause d’une fuite de données.
Ils ont en commun l’utilisation de médicament Pfizer. Un médicament qui s’utilise sur ordonnance aux États-Unis. La fuite aurait été causée par un problème de configuration dans un Bucket Google Cloud Storage.
Cet article va aussi vous intéresser : L’hébergement des données de santé par Microsoft : une tension toujours d’actualité en France
Un cas de plus qui interpelle sur ces incidents qui sont de plus en plus courant. En effet il n’est pas rare, que des fuites de données soient causées par des problèmes de configuration de base de données ou encore des systèmes de stockage cloud. Et cela est véritablement problématique. Nous allons retenir de cela que ce ne sont pas seulement les attaques informatiques qui sont les causes uniques des fuites de données et des expositions des informations privées. Et malheureusement les mauvaises configurations de base de données, comme dans plusieurs cas d’espèce durant toute cette année, ont beaucoup plus causé des expositions de données privées. Pour le groupe pharmaceutique s’est exactement ce qui s’est passé. Les informations liées à la prescription des médicaments sur ordonnance, pour plus de 100 patients à travers les États-Unis ont été exposées librement en ligne. Des informations confidentielles il faut l’avouer. Surtout liés à des conversations entre le logiciel de support de client automatique du géant américain et certaines personnes utilisant des médicaments en particulier tel que Premarin, Viagra, Chantix, Lyrica et des traitements utilisés contre le cancer Ibrance, Aromas in et Depo-Medrol.
Les données divulguées sont constituées des informations nominatives telles que des noms et des prénoms, des informations de localisation telles que les adresses de domicile, des e-mails des numéros de téléphone et autres informations médicales.
« Dans ce cas, les fichiers exposés ont été stockés sur un Bucket Google Cloud Storage mal configuré. Google Cloud Storage est différent de Google Drive, fournissant des spécifications de service pour les plates-formes d’entreprise et les entreprises clientes », note VPN Mentor qui fut à l’origine de cette découverte. « Au départ, nous avons soupçonné que le Bucket mal configuré était lié à une seule des marques de médicaments exposées. Cependant, après une enquête plus approfondie, nous avons trouvé des fichiers et des entrées liées à diverses marques appartenant à Pfizer. Finalement, notre équipe a conclu que le Bucket appartenait probablement à la US Drug Safety Unit (DSU) de la société. Une fois notre enquête terminée, nous avons contacté Pfizer pour présenter nos conclusions. Cela a pris deux mois, mais finalement, nous avons reçu une réponse de la société ».
L’entreprise signifie que ces erreurs de configuration ne sont pas des cas isolés. En effet la découverte de la fuite des données du géant pharmaceutique américain a été faite dans un grand cadre de cartographie web réalisés par la société de fourniture de solution VPN. Elle a d’abord été découverte depuis le mois de juillet 2020, donc il y a 3 mois de cela. L’entreprise américaine aurait été averti 3 jours plus tard, avec deux relances le 19 juillet et le 22 septembre. C’est suite à l’insistance de VPN mentor que le groupe pharmaceutique a finalement répondu, et employé une action corrective à partir de 23 septembre 2020.
Malheureusement ce genre d’erreur de configuration semble persister dans le milieu. Et plusieurs exemples peuvent être cités :
– en 2017 le cas Accenture
– en 2019 la banque américaine Capital One
Plusieurs fournisseurs de stockage cloud, face à cette répétition d’erreur de configuration, ont mi en place plusieurs outils permettant de contrôler les accès. C’est d’ailleurs le cas pour Amazon Web Services, avec les outils Zelkova et Tiros, depuis maintenant 2018. Google de son côté a aussi proposé un ensemble de pratique et des précautions à suivre dans le but de se protéger de ce genre de fuite de données. Ce protocole comprend l’ajout de mesures d’authentification plurielles, avec la restriction des accès aux Bucket. « Abstenez-vous d’enregistrer les données personnelles sensibles des utilisateurs, sauf si nécessaire. Si la journalisation de ces données est nécessaire, elles doivent être chiffrées ou au moins masquées conformément aux normes de sécurité les plus élevées », souligne de son côté VPN Mentor.
Accédez maintenant à un nombre illimité de mot de passe :