C’est le 7 juillet que le chercheur en sécurité Jeremiah Fowler a découvert 2,5 millions d'enregistrements qui semblaient contenir des données médicales sensibles et des PII (Personal Identifiable Information). Les dossiers comprenaient des noms, des dossiers d'assurance, des notes de diagnostic médical et bien plus encore. Après des recherches plus poussées, il a noté plusieurs références à une société d'intelligence artificielle appelée Cense. Les enregistrements ont été étiquetés comme des données de préparation et il a supposé qu'il s'agissait d'un référentiel de stockage destiné à contenir temporairement les données pendant leur chargement dans le système de gestion AI Bot ou Cense. Il a alors signalé la situation à Cense qui a restreint l’accès public à la base de données peu de temps après.Sur le profil de Cense sur Linkedin, il est marqué : « Cense fournit des solutions intelligentes de gestion d'automatisation des processus basées sur SaaS. Son produit comprend Cense Bot qui permet aux utilisateurs d'automatiser les tâches, assistant ainsi les employés dans la gestion des informations. D'autres solutions incluent la gestion des tickets, la prise de rendez-vous et la gestion du cycle de processus, etc. Il fournit également une gestion des processus métier de bout en bout à l'aide de technologies d'apprentissage automatique. Il propose des solutions pour l'éducation, la santé, la vente au détail et le commerce électronique ».
Fowler indique qu’il a pu voir la mention de plusieurs cliniques, fournisseurs d'assurance et comptes répertoriés dans ce qui semblait être l'une des données de leurs clients, mais il n’a pas été en mesure de déterminer exactement qui était le client ou s'il s'agissait de tous ses clients. Il y avait deux dossiers séparés contenant des données médicales présumées, l'un contenait 1,58 million et l'autre 830 000 enregistrements. La mauvaise configuration et les données exposées ont été stockées directement sur la même adresse IP que le site Web de Cense. Lors de la suppression du port de l'adresse IP, toute personne disposant d'une connexion Internet peut accéder directement au portail de transfert. Cela a facilité la vérification du propriétaire de l'ensemble de données, mais cela a également potentiellement exposé d'autres zones de leur réseau en conservant l'ensemble de leur infrastructure cloud au même endroit.
Les données
Sur la base des informations qu'il a vues dans les dossiers, cet ensemble de données semblait appartenir à des personnes ayant eu des accidents de voiture et faisant référence à des blessures au cou et/ou à la colonne vertébrale. Toutes les informations relatives à l'assurance provenaient de fournisseurs d'assurance automobile, notamment les numéros de police, les numéros de réclamation, la date des accidents et d'autres informations.
Il a expliqué :
« qu’en tant que chercheur en sécurité, je n'extrais ni ne télécharge jamais les données que je trouve et n'examine et ne valide qu'un échantillon limité. Il s'agit souvent d'une course contre la montre pour protéger les données et informer l'organisation le plus rapidement possible, ce qui peut limiter le temps nécessaire pour analyser les données en profondeur.
« Le processus de validation est différent pour chaque découverte, mais l'examen des noms et des emplacements peut fournir des indices pour déterminer s'il s'agit de données réelles ou factices. Pour ce faire, j’ai simplement procédé à une recherche Google de plusieurs noms très obscurs ou uniques et ironiquement, il n'y aurait qu’une ou deux personnes dans l'ensemble des États-Unis avec ce nom, cette géolocalisation et cette tranche d'âge correspondante. C'est ce qui m'a amené à supposer qu'il s'agit de données réelles et que ce sont de vrais individus. Les cabinets d'avocats et d'autres données correspondaient également à des personnes réelles. Mon objectif est toujours d'aider à sécuriser les données exposées et d'informer de manière responsable les propriétaires des données que nous découvrons avant qu'elles ne soient compromises, volées ou effacées par un ransomware ».
Le chercheur a noté que :
- Cette base de données était configurée pour s'ouvrir et être visible dans n'importe quel navigateur (accessible au public) et tout le monde pouvait modifier, télécharger ou même supprimer des données sans informations d'identification administratives.
- Le nombre total d'enregistrements exposés était de 2 594 261.
- Noms, dossiers d'assurance, notes de diagnostic médical qui pourraient potentiellement enfreindre les réglementations HIPAA.
- Enregistrements indiquant les montants et totaux des paiements et des recouvrements.
- La base de données était à risque pour une attaque aux ransomwares.
- Adresses IP, ports, chemins et informations de stockage que les cybercriminels pourraient exploiter pour accéder plus profondément au réseau.
Chaque fois qu'il y a une exposition potentielle de données, les entreprises ont l'obligation et le devoir d'informer les utilisateurs lorsque leurs données sont impliquées. Dans ce cas, le plus inquiétant était que le chercheur pouvait voir des noms, des dates de naissance, des adresses et des notes médicales qui pourraient potentiellement enfreindre les lois HIPAA.
Toute exposition de données peut potentiellement mettre en danger les utilisateurs ou les clients, mais les dossiers médicaux ou de santé font partie des données les plus sensibles. La base de données contenait également des enregistrements internes susceptibles d'être attaqués par un ransomware. On ne sait pas combien de temps les données ont été exposées ou qui d'autre peut avoir eu accès aux données. Il est également difficile de savoir si les autorités ou les personnes concernées ont été informées de l'exposition aux données. Le 8 juillet, le chercheur a envoyé un deuxième message confirmant que l'accès public avait été restreint et que les données n'étaient plus exposées. Malheureusement, personne n'a répondu à sa notification initiale ou à son message de suivi. Personne de Cense n'a fourni de déclaration ou de commentaire concernant l'incident de données au moment de la publication malgré le fait que l’entreprise est tenue de le faire par la loi.
Les données médicales sont parmi les plus précieuses et elles sont achetées et vendues quotidiennement sur le Dark Web. La société infosec Trustwave a publié un rapport évaluant les dossiers médicaux à 250 $ par dossier sur le marché noir, tandis que les cartes de crédit se vendaient à 5,40 $ par dossier. Il est facile de comprendre pourquoi les cybercriminels voudraient cibler les données les plus précieuses avant toutes les autres. Les entreprises et organisations doivent faire un meilleur travail pour protéger les données qu'elles collectent et stockent, mais lorsque ces données peuvent inclure des informations médicales ou des patients, elles ne doivent jamais être stockées en texte brut.
Source : Secure Toughts
Et vous ?
Une piqûre de rappel sur la sécurité des données médicales ? Qu'est-ce qui peut, selon vous, expliquer que la société n'ait pas fait de communiqué public sur la situation ? Doit-elle informer les patients individuellement ou les clients de son produit Cense Bot ?Voir aussi :
Un hacker a fait fuiter plus de 20 Go de code source Intel et de données propriétaires sous accord de non-divulgation et promet d'en publier plus bientôt Facebook reconnaît avoir à nouveau fait fuiter des données personnelles d'utilisateurs, qui ont été partagées avec 5000 développeurs tiers environ Après des années de silence, le ver Conficker est de retour et cible particulièrement des appareils médicaux connectés qui utilisent des versions obsolètes de Windows Un site pour adultes fait fuiter 20 Go de données personnelles sur des modèles de webcam pornos. Des noms et copies numérisées de passeports sont disponibles, parmi lesquels ceux de Français Un milliard d'images médicales sont exposées en ligne, car de nombreux cabinets médicaux ne tiennent pas compte des meilleures pratiques en matière de sécurité 
