[Australie] Découverte d'une base de données « ouverte » contenant des données de 37000 personnes

Un chercheur de l'entreprise américaine de cyber-sécurité UpGuard, spécialisée dans les services d’identification de fuites d’informations, a découvert une base de données exposée sur Internet de manière non protégée. Cette dernière contenait des données concernant 37 000 patients de la société Neoclinical.

Parmi ses activités, la société Neoclinical conduit notamment des essais cliniques rémunérés. Les données exposées concernaient des données à caractère personnel telles que l’identité des patients, leurs coordonnées postales et téléphoniques mais également des diagnostiques et traitements médicaux ou des informations sur des usages de produits stupéfiants.

L’accessibilité de cette base de données a été découverte par le chercheur le 1er juillet 2019. Ce dernier a tenté de contacter l'entreprise Neoclinical par mail et par téléphone, mais sans succès.

En l’absence de réponse de la part de Neoclinical après 3 semaines (le 25 juillet), et constatant qu’aucune action n’avait été prise puisque les informations restaient accessibles, celui-ci a prévenu les équipes de l’hébergeur AWS (Amazon Web Service) qui ont suivi la procédure standard de gestion de ce type d’incident, à savoir, informer le propriétaire de la base de données. Le 26 juillet, l'accès public à la base de données a été suspendu par Neoclinical. Reconnaissant une violation de données potentielle, Neoclinical en a informé le bureau du Commissaire à la protection de la vie privé ainsi que toutes les personnes dont les informations ont été exposées.

D'après le responsable de l'entreprise Neoclinical, l'accès temporaire à sa base de données a été rendu possible suite à une opération de maintenance routinière sur ses serveurs.