Des chercheurs en cybersécurité ont publié cette semaine un rapport détaillant une fuite qui semblait exposer les données de milliers de travailleurs médicaux, d’infirmières et de soignants.
Selon le rapport, publié par le cofondateur de Security Discovery, Jeremiah Fowler et Website Planet, la base de données non protégée par mot de passe semble être liée à Gale Healthcare Solutions, qui relie les établissements aux infirmières et aux soignants disponibles localement.
“Ces profils d’employés exposaient les noms, les numéros de téléphone, les e-mails et les adresses personnelles. Les comptes contenaient également des liens vers des images des employés et des fichiers indiquant les informations d’identification et les documents fiscaux (SSN / numéro de sécurité sociale)”, a écrit Fowler dans le rapport.
Gale n’a pas répondu à Actualités informatiques de la santé‘ demandes de commentaires par temps de presse.
POURQUOI EST-CE IMPORTANT
Comme l’a souligné Fowler, les 170 239 enregistrements étaient contenus dans deux dossiers, comprenant 139 000 enregistrements de contacts et 31 500 d’employés.
Les données exposées comprenaient :
- Enregistrements internes, y compris prénom et nom, téléphone, e-mails, adresses de domicile, dates d’embauche, dates d’application, niveau de compétence et, dans certains cas, des notes détaillées sur les incidents et les licenciements
- Mots de passe en texte brut, avec des noms d’utilisateur semblant être le nom ou l’adresse e-mail de l’utilisateur qui était également répertorié dans le compte
- Liens vers des comptes de stockage AWS contenant des photos de l’employé et des fichiers nommés « carte SSN » ou « informations d’identification »
Fowler a également noté que les images liées aux comptes étaient nommées dans un format contenant le nom complet des employés et un numéro intitulé « SSN » dans le nom de fichier, tel que « Jane_Doe-CNA-SSN-123456789.jpeg ».
Il a attiré l’attention sur la nature peu commune d’un tel système d’étiquetage, affirmant que le fichier n’aurait théoriquement pas besoin d’être ouvert pour exposer des informations sensibles.
“Ces données exposées pourraient être utilisées pour une série de crimes, notamment le vol d’identité, les escroqueries et l’extorsion”, a écrit Fowler. « Avec les adresses e-mail, les cybercriminels pourraient lancer une campagne de phishing ciblée ou une attaque d’ingénierie sociale en utilisant des informations privilégiées pour établir la confiance. »
Il a souligné le danger potentiel du nom, du numéro de sécurité sociale et de l’adresse du domicile exposés du point de vue de l’usurpation d’identité, en plus des mots de passe (qui sont souvent réutilisés).
« On ne sait pas combien de temps la base de données a été exposée et qui d’autre a pu accéder aux dossiers accessibles au public. Il n’est pas non plus clair si les travailleurs médicaux ou les autorités ont été informés de l’exposition potentielle, comme l’exige la Florida Information Protection Act de 2014 (FIPA) “, a écrit Flower. Gale a son siège à Tampa.
Fowler a déclaré que lors de la découverte, son équipe a immédiatement envoyé un avis de divulgation à Gale Healthcare Solutions ; l’accès du public a été fermé le même jour.
“Nous n’impliquons aucun acte répréhensible de la part de Gale Healthcare Solutions, de leurs partenaires ou des utilisateurs et nous soulignons notre découverte pour sensibiliser à la protection des données et promouvoir les meilleures pratiques en matière de cybersécurité”, a-t-il déclaré.
LA PLUS GRANDE TENDANCE
Fowler a attiré l’attention sur des bases de données similaires apparemment vulnérables dans le passé.
Cet été, lui et Website Planet ont signalé une base de données contenant plus d’un milliard de dossiers CVS Health qui n’avaient pas été protégés par un mot de passe.
Et en août, une équipe de recherche d’UpGuard a également attiré l’attention sur une fuite de données de Microsoft Power Apps, contenant 38 millions d’enregistrements.
SUR LE RECORD
“Tout service qui permet aux hôpitaux de remplir leurs quarts de travail est extrêmement important et précieux pour les patients malades. Il est regrettable que cet incident ait pu révéler les données des travailleurs de première ligne pendant une période déjà difficile”, a écrit Fowler.
Kat Jercich est rédactrice en chef de Healthcare IT News.
Twitter: @kjercich
Courriel : [email protected]
Healthcare IT News est une publication de HIMSS Media.
