Bezpečnostní trapas farmaceutického obra

Jedna z největších firem na zeměkouli zažila bezpečnostní faux pas. Její databáze s osobními daty uživatelů léků byla volně přístupná na internetu. Trvalo to dva roky.

Většina hackerských útoků vyžaduje od kyberzločinců určité úsilí. Jasně, často jde o staré triky. Hackeři se spoléhají na nepozornost a lenost uživatelů. Obvykle ale musí projevit alespoň nějakou invenci, aby se dostali k citlivým datům, číslům kreditních karet, nebo čemukoliv dalšímu, po čem zrovna touží. Tohle ovšem není případ bezpečnostního incidentu, který postihl farmaceutický koncern Pfizer. Výzkumníci ze společnosti vpnMentor zjistili, že společnost skladovala osobní data pacientů v cloudovém řešení od Googlu bez jakéhokoliv zabezpečení.

Pro přístup k nim nebylo potřeba ani heslo. Neuplatňovaly se žádné z moderních technologií Identity & Access Managementu, nebo ochrany dat. Data v Google Cloudu jsou organizovaná v takzvaných bucketech (doslovný český překlad je vědro). Podobají se složkám na disku běžného stolního počítače až na to, že se z nich nedá vytvořit stromová struktura. Nelze vyrobit jeden bucket uvnitř druhého.

Nezabezpečený bucket obsahoval údaje o uživatelích několika různých přípravků, které Pfizer vyrábí. Byl mezi nimi lék Lyrica, který se používá v terapii epilepsie a úzkostných poruch, nebo zázračná modrá pilulka Viagra, jejíž účinky asi není nutné popisovat. Z dalších léků je zajímavý třeba Champix k léčbě závislosti na nikotinu. V databázi byla i data uživatelek směsi estrogenů Premarin, používané k léčbě potíží spojených s přechodem. Obsahovala také údaje onkologicky nemocných pacientů, kteří užívali léčiva Depo-Medrol, Aromasin nebo Ibrance.

V nezabezpečeném bucketu se dala najít celá jména uživatelů léků, jejich bydliště, e-mailové adresy, telefonní čísla a samozřejmě podrobnosti o jejich zdravotním stavu. Databáze obsahovala také přepisy telefonátů pacientů s automatickým hlasovým asistentem Pfizeru i lidskými operátory. Byly v nich dotazy na vedlejší účinky, stížnosti a tak podobně.

Podobná data se dají využít k phishingu. Útočník může pomocí nich snadno předstírat, že je ze zákaznické podpory farmaceutické společnosti, a získat přístup k číslům kreditních karet pacientů. Teoreticky může ukrást i celou jejich identitu. Incident se týká nemocných lidí, kteří určitě nemají náladu se zabývat ochranou osobních údajů.

Únik osobních informací z obří farmaceutické společnosti není zdaleka ojedinělý. Letos v září zjistila firma Comparitech, že podobným způsobem je volně přístupných celých šest procent bucketů v Google Cloudu. 

Další články

Vydírání pomocí facebookových inzerátů
Více
„Cloudná“ hesla
Více

Zpět na výpis novinek

Naše webová stránka používá cookies

Data o tom, co vás na našem webu zajímá, sdílíme s našimi partnery pro sociální média, inzerci a analýzy.
Partneři tyto údaje mohou použít s dalšími informacemi, které jste jim poskytli nebo které získali v důsledku toho, že používáte jejich služby.

OK

Druhy cookies

1. Nutné cookies pomáhají základním funkcím této stránky, jako je navigace stránky a přístup k zabezpečeným sekcím webové stránky. Webová stránka nemůže správně fungovat bez těchto cookies.

2. Preferenční cookies umožňují, aby si webová stránka zapamatovala vaše preference. Je to například preferovaný jazyk nebo region, kde se nacházíte.

3. Statistické cookies nám pomáhají porozumět tomu, jak návštěvníci používají webové stránky. Statistické cookies anonymně sbírají informace.

4. Marketingové cookies používáme pro sledování návštěvníků na našich stránkách. Záměrem je zobrazit vám reklamu, která je pro vás relevantní a neobtěžuje vás.

5. Neklasifikované cookies máme v procesu klasifikování společně s poskytovateli jednotlivých cookies.

Co jsou cookies?

Cookies jsou malé textové soubory, které mohou být používány webovými stránkami, aby učinily uživatelský zážitek více efektivní.

Podle zákona můžeme ukládat cookies na vašem zařízení, pokud jsou nezbytně nutné pro provoz této stránky. Pro všechny ostatní typy cookies potřebujeme vaše povolení.

Tato stránka používá různé typy cookies. Některé cookies jsou umístěny službami třetích stran, které se objevují na našich stránkách.