[Etats-Unis] Plusieurs millions de documents médicaux visant des patients toxicomanes en accès libre sur Internet

Le chercheur en sécurité xxdesmus a partagé sur son site Internet la découverte d'une base de données en libre accès contenant de nombreuses données à caractère personnel de santé.

Ces données représenteraient environ 4,9 millions entrées dans la base, correspondant à des patients ayant reçu des soins entre 2016 à la fin de 2018, pour un total de 1,45 go de données. Les informations diffusées incluraient notamment l'âge, la date de naissance, les adresses actuelles et antérieures, les noms des membres de la famille du patient, leur affiliation politique, leurs numéros de téléphone ou encore leurs adresses de messagerie. Le chercheur estime par ailleurs qu’un peu moins de 150 000 patients uniques seraient concernés par cette diffusion illicite.

La découverte s’est faite via Shodan, un moteur de recherche identifiant les périphériques librement accessibles depuis l’Internet. En spécifiant certaines informations contenues dans la base, le chercheur, a par ailleurs, découvert qu’il était capable de recouper certaines informations avec des annuaires en lignes et confirmer ainsi l’identité de la personne traitée.

Une fois l'identité du patient connue, il lui a alors été possible de localiser toutes les procédures médicales qu'une personne spécifique a reçues, la date d'admission, le montant facturé et l'établissement où elle a été traitée. C'est ainsi que le chercheur a pu recouper les informations de cette base avec le centre de traitement de la toxicomanie Steps to Recovery, situé à Levittown en Pennsylvanie. 

Le chercheur a, suite à sa découverte, notifié le 24 mars dernier au fournisseur d'hébergement de la base de données, qui aurait agi promptement pour aviser le centre de traitement. A ce jour, celui-ci n’a toujours pas fait mention d’une telle fuite de données auprès des personnes concernées, que ce soit sur son site Internet ou son compte Twitter