Bezpečnostní trapas farmaceutického obra
Jedna z největších firem na zeměkouli zažila bezpečnostní faux pas. Její databáze s osobními daty uživatelů léků byla volně přístupná na internetu. Trvalo to dva roky.
Většina hackerských útoků vyžaduje od kyberzločinců určité úsilí. Jasně, často jde o staré triky. Hackeři se spoléhají na nepozornost a lenost uživatelů. Obvykle ale musí projevit alespoň nějakou invenci, aby se dostali k citlivým datům, číslům kreditních karet, nebo čemukoliv dalšímu, po čem zrovna touží. Tohle ovšem není případ bezpečnostního incidentu, který postihl farmaceutický koncern Pfizer. Výzkumníci ze společnosti vpnMentor zjistili, že společnost skladovala osobní data pacientů v cloudovém řešení od Googlu bez jakéhokoliv zabezpečení.
Pro přístup k nim nebylo potřeba ani heslo. Neuplatňovaly se žádné z moderních technologií Identity & Access Managementu, nebo ochrany dat. Data v Google Cloudu jsou organizovaná v takzvaných bucketech (doslovný český překlad je vědro). Podobají se složkám na disku běžného stolního počítače až na to, že se z nich nedá vytvořit stromová struktura. Nelze vyrobit jeden bucket uvnitř druhého.
Nezabezpečený bucket obsahoval údaje o uživatelích několika různých přípravků, které Pfizer vyrábí. Byl mezi nimi lék Lyrica, který se používá v terapii epilepsie a úzkostných poruch, nebo zázračná modrá pilulka Viagra, jejíž účinky asi není nutné popisovat. Z dalších léků je zajímavý třeba Champix k léčbě závislosti na nikotinu. V databázi byla i data uživatelek směsi estrogenů Premarin, používané k léčbě potíží spojených s přechodem. Obsahovala také údaje onkologicky nemocných pacientů, kteří užívali léčiva Depo-Medrol, Aromasin nebo Ibrance.
V nezabezpečeném bucketu se dala najít celá jména uživatelů léků, jejich bydliště, e-mailové adresy, telefonní čísla a samozřejmě podrobnosti o jejich zdravotním stavu. Databáze obsahovala také přepisy telefonátů pacientů s automatickým hlasovým asistentem Pfizeru i lidskými operátory. Byly v nich dotazy na vedlejší účinky, stížnosti a tak podobně.
Podobná data se dají využít k phishingu. Útočník může pomocí nich snadno předstírat, že je ze zákaznické podpory farmaceutické společnosti, a získat přístup k číslům kreditních karet pacientů. Teoreticky může ukrást i celou jejich identitu. Incident se týká nemocných lidí, kteří určitě nemají náladu se zabývat ochranou osobních údajů.
Únik osobních informací z obří farmaceutické společnosti není zdaleka ojedinělý. Letos v září zjistila firma Comparitech, že podobným způsobem je volně přístupných celých šest procent bucketů v Google Cloudu.