[Etats-Unis] Près de 80 000 dossiers patients accessibles en ligne sur une base de données sans authentification

Des chercheurs en sécurité de vpnMentor ont découvert plusieurs bases de données non sécurisées et non chiffrées concernant le médicament Vascepa, utilisé par plus de 78 000 patients ainsi que près de 400 000 transactions d'achat de ce dernier.

Les données accessibles incluent les nom, prénom, adresse, numéro de téléphone, adresse électronique, et numéro de sécurité sociale des patients. De plus, la seconde base de données a également permis aux chercheurs d'accéder aux informations concernant les transactions enregistrées par le médecin prescripteur, son identifiant ainsi que l'adresse de la pharmacie dans laquelle le patient s'est approvisionné.

Les bases de données exposées utilisent le système de gestion libre MongoDB. Par ailleurs, les chercheurs pensent que ces bases de données pourraient appartenir à ConnectiveRX, un fournisseur de logiciel de gestion, étant donné la cohérence des balises présentes dans les données diffusées. Cependant, le fait que les données concernent spécifiquement les prescriptions de Vascepa ne permettent pas de confirmer cette hypothèse.

De telles données permettent de trouver une grande quantité d'informations à leur sujet. Il existe notamment des codes d'identification pour deux autres entreprises, Constant Contact, une plateforme de marketing par courriel et PSKW, un programme de prescription de médicaments en ligne.

L'adresse électronique ou le numéro de téléphone d'un patient constitue par ailleurs un moyen facile de déclencher un hammeçonnage ciblé ("spearphishing"). Cependant, la prescription en ligne devenant de plus en plus populaire, les pharmacies américaines ont ainsi adopté l'authentification multifactorielle, afin d'éviter ce type d'attaque.

En vertu du droit américain et de selon Health Insurance Portability and Accountability Act (HIPAA), en charge de définir les modalités de diffusion des données à caractère personnel de santé entre les acteurs de l'industrie, vpnMentor s'expose potentiellement à une amende allant de 100 à 100 000 dollars par violation constatée (voir un exemple ici).