Une simple erreur de mot de passe a entraîné la fuite de 5,3 millions de dossiers de santé

Cybernews rapporte que ses équipes de recherche ont trouvé une base de données non protégée de 500 Go d'une entreprise de soins de santé mexicaine le 26 août 2024. La base de données expose des informations sensibles telles que les noms, les numéros d'identification personnels (CURP), les numéros de téléphone, les descriptions des demandes de paiement, etc.

Le nombre total de personnes touchées s'élève à 5,3 millions, soit environ 4 % de la population du pays, comme le note Cybernews. Le rapport de Cybernews indique que l'erreur de sécurité s'est produite avec une utilisation « mal configurée » d'un outil de visualisation de données appelé Kibana , qui semble avoir été laissé non authentifié.

Le volume massif de données a ensuite été attribué à Ecaresoft, une société de logiciels basée au Texas à l'origine de systèmes d'information hospitaliers basés sur le cloud tels qu'Anytime et Cirrus. Plus de 30 000 médecins, 65 hôpitaux et 110 centres de soins ambulatoires utilisent les services Ecaresoft pour gérer des tâches telles que la prise de rendez-vous, la gestion des médicaments, la gestion des stocks, etc.

Les autres données volées incluent les ethnies, les nationalités, les religions, les groupes sanguins, les dates de naissance, le sexe, les adresses e-mail, le montant facturé pour les services de santé et les hôpitaux visités. Cette fois-ci, les auteurs de la menace ne sont pas à blâmer pour en être la cause. Il n'existe aucune information officielle indiquant si les utilisateurs concernés sont au courant de la situation ou depuis combien de temps la base de données (maintenant supprimée) est restée opérationnelle.

Les dossiers médicaux des utilisateurs concernés n'ont pas été récupérés, mais comme leur identification gouvernementale mexicaine (équivalente au numéro de sécurité sociale américaine) est menacée, ils sont exposés à la fraude électronique et au phishing (entre autres choses). La société n'a pas encore publié de déclaration sur les données non protégées, mais j'espère que nous entendrons bientôt quelque chose d'officiel. Lorsque les données ne sont pas protégées, elles peuvent être indexées par les moteurs de recherche et récupérées par des acteurs malveillants qui analysent constamment Internet à la recherche de ces types de fichiers non protégés.

Même si les Américains n'ont pas à craindre que leurs informations personnelles soient compromises dans ce cas, cela montre à quel point la sécurité des mots de passe est importante. Un mot de passe facile à deviner vous rend aussi vulnérable que l’absence de mot de passe du tout. Une autre des pires erreurs de mot de passe de la dernière décennie a été Equifax, la violation de données de 2017 qui, en raison de l'utilisation de « admin » comme mot de passe, a permis aux pirates informatiques de voler facilement leurs données.