Des fuites de données médicales personnelles dues à des erreurs de configuration sur GitHub

Le mois dernier, un chercheur en cybersécurité néerlandais, Jelle Ursem, a découvert sur GitHub plusieurs fichiers contenant des données de santé à caractère personnel ainsi que des informations de connexion vers des plateformes telles que Gmail ou Office 365. Ces fichiers provenaient de 9 entreprises médicales américaines (Xybion, MedPro Billing, Texas Physician House Calls, VirMedica, MaineCare, Waystar, Shields Health Care Group, AccQData et une autre entreprise dont le nom n’est pas cité) et contenaient les données d’environ 200 000 patients. Potentiellement, beaucoup plus de patients auraient pu être touchés par cette fuite de données car les identifiants trouvés n’ont pas tous été testés et les bases de données accédées n’ont pas été fouillées méticuleusement.

Selon le chercheur, ces fichiers ont été trouvés via une simple recherche sur GitHub avec des mots clés tels que « medicaid » ou « password FTP ». Les dépôts étant publics, ceux-ci ont pu être consultés sans restriction. Des services ont ainsi été exposés à cause d’identifiants codés en dur tandis que les adresses mails contenues dans ces fichiers ont permis un accès à des comptes sensibles, comme Gmail, à cause de la non-utilisation de l’authentification à double facteur. 

Après ses découvertes, Jelle Ursem a essayé de contacter les différentes entreprises concernées, sans succès. En collaboration avec le site DataBreach.net, il a alors écrit un rapport intitulé “No Need to Hack When It’s Leaking” contenant le mode opératoire employé pour trouver ces données ainsi que la nature de celles-ci. 

Plus globalement, ce rapport montre que beaucoup de données censées être confidentielles et sécurisées ne le sont pas en pratique et que chaque entreprise peut être victime d’un employé peu respectueux des pratiques de sécurité courantes si des mesures de contrôle appropriées ne sont pas mises en place.

Pour plus de détails, des liens vers le rapport complet ainsi qu’un article du site threatpost.com sont disponibles dans la section Références.