Une vaste base de données non sécurisée appartenant à une entreprise de santé mexicaine a été découverte, exposant les données sensibles de 5,3 millions de personnes. Cette négligence de sécurité, due à une mauvaise configuration d’un outil de visualisation de données, soulève des inquiétudes quant à la protection des informations personnelles et le risque de fraude.
Cybernews rapporte que ses équipes de recherche ont trouvé une base de données de 500 Go non protégée d’une entreprise de santé mexicaine le 26 août 2024. Cette base de données expose des informations sensibles telles que des noms, des numéros d’identification personnelle (CURP), des numéros de téléphone, des descriptions de demandes de paiement, et plus encore.
Le nombre total de personnes concernées s’élève à 5,3 millions, représentant environ 4 % de la population du pays, comme le note Cybernews. Le rapport de Cybernews indique que cette erreur de sécurité est survenue avec une utilisation « mal configurée » d’un outil de visualisation des données appelé Kibana, qui semble avoir été laissé sans authentification.
Le volume massif de données a ensuite été attribué à Ecaresoft, une entreprise de logiciels basée au Texas, derrière des systèmes d’information hospitaliers basés sur le cloud, tels que Anytime et Cirrus. Plus de 30 000 médecins, 65 hôpitaux et 110 centres de soins externes utilisent les services d’Ecaresoft pour gérer des tâches telles que la prise de rendez-vous, la gestion des médicaments, la gestion des stocks, et plus encore.
D’autres données volées comprennent les ethnies, les nationalités, les religions, les groupes sanguins, les dates de naissance, le sexe, les adresses e-mail, le montant facturé pour les services de santé, et les hôpitaux visités. Cette fois-ci, les acteurs de la menace ne sont pas responsables de la cause. Il n’y a aucune information officielle sur la prise de conscience des utilisateurs concernés concernant la situation ou combien de temps la base de données (maintenant désactivée) était en ligne.
Les dossiers de santé des utilisateurs touchés n’ont pas été volés, mais avec leur identification gouvernementale mexicaine (équivalente au numéro de sécurité sociale américain) à risque, ils sont exposés à la fraude par fil et au phishing (entre autres). L’entreprise n’a pas encore publié de communiqué sur les données non protégées, mais nous espérons entendre bientôt quelque chose d’officiel. Lorsque les données sont laissées non protégées, elles peuvent être indexées par les moteurs de recherche et récupérées par des acteurs malveillants qui scannent constamment Internet à la recherche de ce type de fichiers vulnérables.
Bien que ceux aux États-Unis n’aient pas à s’inquiéter d’une compromission de leurs informations personnelles dans ce cas, cela souligne l’importance de la sécurité des mots de passe. Un mot de passe facilement devinable vous rend aussi vulnérable que si vous n’aviez pas de mot de passe du tout. Une des pires erreurs de mot de passe de la dernière décennie a été celle d’Equifax, la violation de données de 2017 qui, en raison de l’utilisation de « admin » comme mot de passe, a permis aux hackers de voler leurs données facilement.