Neuf fuites de données liées à des acteurs de la santé répartis dans le monde

Des chercheurs travaillant pour WizCase, une organisation proposant des comparatifs de services VPN, ont récemment découvert neuf bases de données non sécurisées relatives à des services de la santé. Ces dernières étaient indépendantes les unes des autres. Ces bases de données publiquement accessibles comportaient les données de millions de patients et employés du secteur médical à travers le monde. Parmi les données accessibles sur Internet sans authentification, les chercheurs ont observé des données personnelles sensibles telles que des prescriptions médicales, des observations médicales, des visites de laboratoires, des numéros de sécurité sociale, des noms complets, des adresses et numéros de téléphone de patients, des informations sur les employés ou encore des informations sur des recherches médicales.

Dans chacun des cas, les bases de données n’étaient pas sécurisées et ne nécessitaient aucun mot de passe pour accéder à l’ensemble des données qu’elles hébergeaient. Des données de millions de patients étaient ainsi exposées publiquement.

Il est également important de noter que plusieurs bases de données étaient gérées par des entreprises tierces qui fournissent des services de gestion de données aux organisations médicales.

Voici la liste des pays concernés :

  • Canada (8 Mo, ~60 000 documents)
  • États-Unis (2.8 Go, ~700 800 documents + 1000 images de prescriptions / bouteilles médicales)
  • Brésil (3 Go, ~1 185 000 documents)
  • France (5,7 Go, ~1 500 documents)
  • Nigeria (1 Go, ~80 000 documents)
  • Arabie Saoudite (4 Go, ~300 000 documents)
  • Chine (43 Go, ~24 060 000 documents)

Au total, ce sont près de 60 Go de données, soit environ 26 400 000 documents, qui étaient disponibles sur Internet. Les chercheurs de WizCase n’étaient pas les premiers à découvrir ces bases de données. Certains messages de demandes de rançon suggèrent qu’une partie des données a déjà été volée par des attaquants et prise en otage dans l’attente du paiement d’une rançon.

Le vol de telles données n’est pas anodin et expose les victimes à de réels risques :

  • Usurpation d’identité : avec les données récupérées, un attaquant peut facilement voler l’identité d’un patient à partir de son nom, prénom, adresse, date de naissance, numéro de sécurité sociale afin de se faire passer pour la victime. Avec certaines compétences d’ingénierie sociale, un attaquant peut très vite voler des comptes, de l’argent, escroquer des proches ou encore porter atteinte à l’identité de la victime.
  • Campagne d’hameçonnage : avec les adresses email récupérées, couplées à des informations personnelles, un attaquant peut facilement piéger la victime en se faisant passer pour son médecin grâce aux données médicales obtenues.
  • Escroquerie téléphonique : en reprenant le point précédent, mais cette fois-ci en utilisant le numéro de téléphone de la victime, il est possible pour un attaquant d’arriver aux mêmes fins.
  • Chantage : avec les données médicales d’un patient, il est possible de faire pression sur celui-ci en le menaçant de révéler une condition médicale qu’il souhaiterait garder privée et qui pourrait avoir des effets néfastes sur sa vie professionnelle, sa vie de famille ou encore sa sécurité financière.
  • Fraude : les données de prescriptions médicales pourraient permettre à un attaquant d’obtenir des médicaments de manière frauduleuse.

 

La découverte de ses fuites de données coïncide avec plusieurs études rappelant la menace croissante sur le secteur médical.

Une étude récente du journal HIPAA (Health Insurance Portability and Accountability Act) fait état d’une nette progression de la compromission de documents de santé divulgués année par année :

  • En 2017, 5 millions de documents avaient été divulgués sur Internet ;
  • En 2018, 12 millions de documents ;
  • En 2019, 37 millions de documents pour le moment sans compter la découverte de WizCase.

Le secteur de la santé est en effet devenu une cible de choix pour les attaquants. La sécurité des infrastructures informatiques des instituts médicaux est souvent insuffisante par rapport à la criticité des informations stockées. Tous les instituts ne possèdent pas une équipe dédiée à la sécurité, et lorsqu’une nouvelle vulnérabilité est découverte il est souvent déjà trop tard. Un paquet contenant les informations personnelles d’une personne (adresse, numéro de sécurité sociale, numéro de téléphone, etc.) peut être revendu jusqu’à 300 € sur des marchés parallèles. Le secteur de la santé est ainsi devenu une mine d’or pour les pirates informatiques. D’après un rapport Proofpoint, il y a eu au premier semestre 2019 un sursaut de 300% dans le nombre de mails frauduleux envoyés aux organisations par rapport au premier semestre de 2018.

Ces chiffres rappellent aux acteurs du secteur de la santé l’importance croissante de prendre en compte la cybersécurité dans l’ensemble de ses activités des structures de santé ou pour les fournisseurs de services de santé.