Actualités

Github : brèche de données impliquant les données médicales de 200 000 patients !

En moins de 10 minutes” : c’est ce qu’affirme Jelle Ursem dans un rapport sécuritaire détaillé. En exploitation certaines vulnérabilités – notamment depuis une simple recherche dans “les connexions codées en dur“… – depuis la plate-forme communautaire, il a été possible de mettre en surbrillance jusqu’à 200 000 profils-patients de 9 établissements de santé.

 

L’affaire n’aurait, pourtant, pas datée d’hier : il y a environ un an et demie, le chercheur aurait, en vain, alerté à ce sujet “400 entités” ; contrats, agendas, documents internes, mails, adresses, données personnelles “et plus encore”… comme aujourd’hui, il aurait été pointé à l’époque que malgré l’actualité insécuritaire, Github n’auditerait pas assez l’environnement, sauf cas d’urgence extrême ou si la situation s’envenimerait en étendue.

Voici les établissements de santé concernés :

  • Xybion (qui inclut un logiciel dédié) : erreur ou oubli de l’équipe de développement au niveau du dépôt publique relatif aux identifiants-utilisateurs (nom, mot de passe). Brèche depuis le 31 Octobre 2018. 18 000 comptes concernés ;
  • MedPro (facturation) : erreur de l’équipe de développement au niveau du dépôt publique relatif aux données de santé des patient(e)s. Brèche depuis 2015 ;
  • Texas Physician House Calls : usage d’une porte dérobée (dont un malware découvert via “php web shell” !…) pour contourner l’authentification du fait d’une protection inexistante depuis les dépôts, par l’équipe de développement. Brèche depuis le 13 Juin 2017. 1 314 fichiers et 4 000 patient(e)s sont concerné(e)s ;
  • VirMedica : accès publique des logins FTPs (fichiers CSV : Excel). Brèche depuis 2018. 40 000 patient(e)s concerné(e)s officiellement ;
  • MaineCare : droits administrateurs sur le site Web et fuite de données (conséquentes : facturation, documents-patients dont passeport, données liées au VPN mais aussi aux serveurs) depuis le dépôt Github. Brèche depuis au moins 2018. 75 000 comptes concernés ;
  • WayStar : accès publique – (S)FTP – des informations de santé. Brèche depuis 2019. 3 000 comptes concernés ;
  • Shields Health Care Group : accès publique – (S)FTP – des informations de santé (en dur), allant jusqu’à des PDFs avec l’historique complet, par patient. Brèche découverte au 6 Août 2020. 5 400 comptes concernés ;
  • AccQData (logiciel de facturation) : dépôt publique à nu (données de l’ensemble des personnes présentes dans le logiciel de facturation). 4 300 comptes concernés (le chercheur affirme qu’un des membres de l’équipe en charge du développement – à la voix téléphonique déformée – l’aurait accusé de diffamation et l’aurait menacer en évoquant le FBI) ;
  • “Embargo” (nom inconnu : entreprise fournissant des traitements thérapeutiques pour des enfants souffrant d’autisme) : accès publique (S)FTP. 40 patient(e)s concerné(e)s. Brèche pouvant remonter jusqu’en 2015.

 

Des recommandations à destination des développeurs sont édictées dont le fait d’utiliser un mot de passe complexe tout en l’uploadant sur la plate-forme sans le changer sur une longue durée… A veiller !

 

Source : Data Breaches – Août 2020 – Rapport détaillé de la fuite affectant 9 établissement de santé depuis Github.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020