[Russie] Une absence de contrôle d’accès permet l’accès libre à 17,8 go de données de patients moscovites

Anastasia Tikhonova, en charge du groupe de recherche en sécurité du groupe IB, a révélé par l'intermédiaire du journal en ligne russe Lenta.ru qu'une base de données accessible sur Internet aurait permis l'accès à 17,8 go de données patients. Désormais inaccessible, le moteur de recherche SHODAN, révélant certains serveurs en accès libre sur Internet, aurait par ailleurs enregistré la base de donnée le 28 juin 2018 avant que son accès ne soit fermé 10 mois plus tard, le 8 avril 2019.

La base de données des patients du service d'ambulance de la région de Moscou demeurait, en effet, accessible au public sur le Web, sans qu'aucun identifiant ne soit nécessaire. Les 17,8 go fichiers contenaient : l’identité de la personne ayant alerté les urgences, leurs numéros de téléphone  et adresse, la date et l'heure de l'appel ainsi qu’une description de l'état du patient à son arrivée chez le médecin.

L’origine de la fuite serait due à une absence de mots de passe lors de l'accès à la base de données patient, par l’intermédiaire du système de gestion de base de données MongoDB. Andrei Arsentiev, analyste chez InfoWatch, précise qu’il s’agirait d’un oubli, dû à une négligence du prestataire en charge de sa gestion. En outre, Anastasia Tikhonova attribuerait la diffusion des données au  groupe d’« hacktivistes » ukrainiens THack3forU.

Un mois auparavant, il est à noter qu’une fuite de données patients de la région de Lipetsk se serait produite de façon similaire.