Моссаб Хусейн – глава безопасности в ИБ-стартапе SpiderSilk. Он нашел данные тестовой облачной среды Salesforce, которую предприятия часто используют для управления данными клиентов. Тестовая среда содержала информацию о некоторых пациентах AstraZeneca – в частности, связанную с приложениями AZ&ME, предлагающими скидки пациентам, нуждающимся в лекарствах.
Что известно об утечке
Это не в первый раз, когда мы сталкиваемся с утечкой учетных данных через GitHub, которые попали туда из-за ошибок, вызванных человеческим фактором. Это происходит повсеместно. Опасность таких случайных утечек состоит в том, что они происходят случайным образом, а путь эксплуатации часто очень прост (то есть облегчает задачу злоумышленников),
– рассказал Хуссейн в беседе с TechCrunch.
Журналисты TechCrunch сообщили AstraZeneca о забытых на GitHub учетных данных, и уже через несколько часов после этого репозиторий стал недоступным. Представитель AstraZeneca заявил изданию следующее: "Защита персональных данных чрезвычайно важна для нас, и мы стремимся к самым высоким стандартам и соблюдению всех применимых норм и законов. Из-за ошибки пользователя некоторые данные были временно доступны на платформе для разработчиков. Мы прекратили доступ к этим данным сразу после того, как нас проинформировали. Сейчас мы расследуем первопричину, а также оцениваем наши нормативные обязательства".
В то же время представитель компании отказался сообщить, по какой причине данные пациентов хранились в тестовой среде, и есть ли у AstraZeneca технические средства (например, логи), которые помогут определить, имел ли кто-либо доступ к этой информации и какие данные были похищены, если утечка произошла.