Моссаб Хусейн – голова безпеки в ІБ-стартапі SpiderSilk. Він знайшов дані тестового хмарного середовища Salesforce, яке підприємства часто використовують для управління даними клієнтів. Тестове середовище містило інформацію про деяких пацієнтів AstraZeneca – зокрема, пов'язану з додатками AZ&ME, які пропонують знижки пацієнтам, які потребують ліків.
Цікаво Питання безпеки: яка операційна система краще захистить ваші біометричні та персональні дані
Що відомо про витік
Це не вперше, коли ми стикаємося з витоком облікових даних через GitHub, які потрапили туди через помилки, викликані людським фактором. Це відбувається повсюдно. Небезпека таких випадкових витоків полягає в тому, що вони відбуваються випадковим чином, а шлях експлуатації часто дуже простий (тобто полегшує завдання зловмисників),
– розповів Хуссейн у бесіді з TechCrunch.
Журналісти TechCrunch повідомили AstraZeneca про забуті на GitHub облікові дані, і вже через кілька годин після цього репозиторій став недоступним. Представник AstraZeneca заявив виданню таке: "Захист персональних даних надзвичайно важливий для нас, і ми прагнемо до найвищих стандартів і дотримання всіх застосовних норм і законів. Через помилку користувача деякі дані були тимчасово доступні на платформі для розробників. Ми припинили доступ до цих даних відразу після того, як нас поінформували. Наразі ми розслідуємо першопричину, а також оцінюємо наші нормативні зобов'язання".
Водночас представник компанії відмовився повідомити, з якої причини дані пацієнтів зберігались у тестовому середовищі, і чи є в AstraZeneca технічні засоби (наприклад, логи), які допоможуть визначити, чи мав будь-хто доступ до цієї інформації, і які дані було викрадено, якщо витік відбувся.