ИБ-специалист обнаружил на GitHub учетные данные для внутреннего сервера фармацевтического гиганта AstraZeneca. По его словам, эта информация была случайно опубликована разработчиком еще год назад и давала доступ к конфиденциальным данным пациентов.

Моссаб Хусейн (Mossab Hussein), глава безопасности в ИБ-стартапе SpiderSilk, рассказал изданию TechCrunch, что случайно обнаружил на GitHub учетные данные от тестовой облачной среды Salesforce, которую предприятия часто используют для управления клиентами. Но в данном случае тестовая среда содержала информацию о некоторых пациентах AstraZeneca. В частности, данные были связаны с приложениями AZ&ME, которые предлагают скидки пациентам, нуждающимся в лекарствах.

«Это не первый раз, когда мы сталкиваемся с утечкой учетных данных через GitHub, которые попали туда из-за ошибок, вызванных человеческим фактором. Это происходит повсеместно, — рассказал  Хуссейн в беседе с TechCrunch. — Опасность таких случайных утечек заключается в том, что они происходят случайным образом, а путь эксплуатации часто очень прост (то есть облегчает задачу злоумышленников)».

Журналисты TechCrunch сообщили AstraZeneca о забытых на GitHub учетных данных, и уже через несколько часов после этого репозиторий стал недоступен. Представитель AstraZeneca заявил изданию следующее:

«Защита персональных данных чрезвычайно важна для нас, и мы стремимся к самым высоким стандартам и соблюдению всех применимых норм и законов. Из-за пользовательской ошибки некоторые данные были временно доступны на платформе для разработчиков. Мы прекратили доступ к этим данным сразу после того, как нас проинформировали [об утечке]. В настоящее время мы расследуем первопричину, а также оцениваем наши нормативные обязательства».

При этом представитель компании отказался сообщить, по какой причине данные пациентов хранились в тестовой среде, и есть ли у AstraZeneca технические средства (например, логи), которые помогут определить, имел ли кто-либо доступ к этой информации, и какие данные были похищены, если утечка имела место.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии