AstraZeneca a divulgué des données sur les patients !

Le géant pharmaceutique AstraZeneca a imputé à une « erreur d’utilisateur » le fait d’avoir laissé en ligne pendant plus d’un an une liste d’identifiants qui a permis d’accéder à des données sensibles sur des patients.

Mossab Hussein, responsable de la sécurité chez la startup de cyber-sécurité SpiderSilk, a déclaré à TechCrunch qu’un développeur avait laissé les informations d’identification d’un serveur interne d’AstraZeneca sur le site de partage de code Git Hub en 2021. Les informations d’identification permettaient d’accéder à un environnement cloud Salesforce de test, souvent utilisé par les entreprises pour gérer leurs clients, mais l’environnement de test contenait certaines données de patients, a déclaré Hussein.

Certaines de ces données concernaient les applications AZ&ME, qui offrent des réductions aux patients qui ont besoin de médicaments.
TechCrunch a fourni les détails des informations d’identification exposées à AstraZeneca, et le référentiel Git Hub contenant les informations d’identification était inaccessible quelques heures plus tard.

Dans une déclaration, Patrick Barth, porte-parole d’AstraZeneca, a dit à TechCrunch : « La protection des données personnelles est extrêmement importante pour nous et nous nous efforçons d’appliquer les normes les plus élevées et de respecter toutes les règles et lois applicables. En raison d’une erreur d’utilisateur, certains enregistrements de données étaient temporairement disponibles sur une plateforme de développement. Nous avons arrêté l’accès à ces données immédiatement après en avoir été informés. Nous enquêtons sur la cause profonde ainsi que sur l’évaluation de nos obligations réglementaires. »

Barth a refusé de dire pour quelle raison les données des patients ont été stockées sur un environnement de test, et si AstraZeneca dispose des moyens techniques, tels que les journaux, pour déterminer si quelqu’un a accédé aux données et quelles données, le cas échéant, ont été exfiltrées.

Les informations d’identification, telles que les noms d’utilisateur et les mots de passe, qui sont exposées ou publiées par inadvertance sur des sites tels que Git Hub sont une découverte de plus en plus fréquente pour les chercheurs en sécurité comme Hussein de SpiderSilk. Au cours des dernières années, la startup a découvert des données exposées appartenant à Samsung, à la startup controversée Clearview AI spécialisée dans la reconnaissance faciale et au service d’abonnement de films MoviePass, qui a été relancé depuis. En août, Hussein a découvert des informations d’identification appartenant à des employés de Microsoft qui avaient été publiées par inadvertance sur Git Hub, dont Microsoft est propriétaire.
« Ce n’est pas la première fois que nous sommes confrontés à des fuites d’informations d’identification mises sur Git hub par des ingénieurs en raison d’une erreur humaine, et cela ne cesse de se produire dans tous les domaines », a déclaré Hussein à TechCrunch. « Le risque dans ces fuites accidentelles est qu’elles se produisent de manière aléatoire, et que le chemin d’exploitation est souvent simple (c’est-à-dire qu’il facilite le travail des acteurs de la menace). »

.