Новости Из-за случайно забытого на GitHub пароля утекли данные пациентов AstraZeneca

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.865
RUB
50
ИБ-специалист обнаружил на GitHub учетные данные для внутреннего сервера фармацевтического гиганта AstraZeneca.


По его словам, эта информация была случайно опубликована разработчиком еще год назад и давала доступ к конфиденциальным данным пациентов.

i


Моссаб Хусейн (Mossab Hussein), глава безопасности в ИБ-стартапе SpiderSilk, рассказал изданию , что случайно обнаружил на GitHub учетные данные от тестовой облачной среды Salesforce, которую предприятия часто используют для управления клиентами. Но в данном случае тестовая среда содержала информацию о некоторых пациентах AstraZeneca. В частности, данные были связаны с приложениями AZ&ME, которые предлагают скидки пациентам, нуждающимся в лекарствах.

«Это не первый раз, когда мы сталкиваемся с утечкой учетных данных через GitHub, которые попали туда из-за ошибок, вызванных человеческим фактором. Это происходит повсеместно, — рассказал Хуссейн в беседе с TechCrunch. — Опасность таких случайных утечек заключается в том, что они происходят случайным образом, а путь эксплуатации часто очень прост (то есть облегчает задачу злоумышленников)».

Журналисты TechCrunch сообщили AstraZeneca о забытых на GitHub учетных данных, и уже через несколько часов после этого репозиторий стал недоступен. Представитель AstraZeneca заявил изданию следующее:

«Защита персональных данных чрезвычайно важна для нас, и мы стремимся к самым высоким стандартам и соблюдению всех применимых норм и законов. Из-за пользовательской ошибки некоторые данные были временно доступны на платформе для разработчиков. Мы прекратили доступ к этим данным сразу после того, как нас проинформировали [об утечке]. В настоящее время мы расследуем первопричину, а также оцениваем наши нормативные обязательства».

При этом представитель компании отказался сообщить, по какой причине данные пациентов хранились в тестовой среде, и есть ли у AstraZeneca технические средства (например, логи), которые помогут определить, имел ли кто-либо доступ к этой информации, и какие данные были похищены, если утечка имела место.


 
В России сейчас начнут выдумывать, что вирус специально создан и так далее...
 
Сверху Снизу