En matière de sécurité informatique, il n'y a pas que les cyberattaques qui débouchent sur l'exposition de données privées. De mauvaises configurations de bases de données ou de stockage cloud peuvent aussi en être à l'origine. C'est le cas pour le géant pharmaceutique Pfizer dont les données de prescription de médicaments sur ordonnance d'une centaine d'utilisateurs aux Etats-Unis ont fuité. Les données exposées sont liées à des conversations entre le logiciel de support client automatisé de Pfizer et les personnes utilisant ses médicaments sur ordonnance (Lyrica, Chantix, Viagra, Premarin et les traitements contre le cancer Ibrance, Aromasin et Depo-Medrol). Parmi ces données on trouve des noms, des adresses de domiciles, des e-mails, des numéros de téléphone ainsi que des informations médicales.

« Dans ce cas, les fichiers exposés ont été stockés sur un bucket Google Cloud Storage mal configuré. Google Cloud Storage est différent de Google Drive, fournissant des spécifications de service pour les plates-formes d'entreprise et les entreprises clientes », a expliqué VPN Mentor à l'origine de cette découverte. « Au départ, nous avons soupçonné que le bucket mal configuré était lié à une seule des marques de médicaments exposées. Cependant, après une enquête plus approfondie, nous avons trouvé des fichiers et des entrées liés à diverses marques appartenant à Pfizer. Finalement, notre équipe a conclu que le bucket appartenait probablement à la US Drug Safety Unit (DSU) de la société. Une fois notre enquête terminée, nous avons contacté Pfizer pour présenter nos conclusions. Cela a pris deux mois, mais finalement, nous avons reçu une réponse de la société ».

Des erreurs de configuration loin d'être isolées

La découverte de cette violation des données de Pfizer a été effectuée dans le cadre d’un vaste projet de cartographie web opérée par VPN Mentor. Initialement découverte le 9 juillet 2020, cette faille a fait l'objet d'une alerte de la part de VPN Mentor à Pfizer le 13 juillet 2020 suivie de deux relances les 19 juillet et 22 septembre avant finalement une réponse ce même jour de la part du groupe pharmaceutique. Suivi le 23 septembre 2020 d'une action corrective.

Les erreurs de configuration de bases de données ou systèmes de stockage cloud sont monnaie courante, cela a par exemple été le cas pour Accenture en 2017 ou la banque Capital One en 2019. Afin de réduire les problèmes de mauvaises configurations de leurs services cloud, les fournisseurs travaillent ou ont mis en place des outils pour analyser et évaluer les contrôle d'accès. C'est le cas notamment pour AWS avec Zelkova et Tiros depuis 2018 quelques mois après avoir commencé à prendre les devants. Pour éviter ce type de leak, Google a précisé les étapes à suivre pour aider les entreprises à bien sécuriser leurs buckets, comprenant l'ajout de protocoles d'authentification et de couches de protection pour restreindre davantage les accès aux buckets aux seules personnes autorisées. « Abstenez-vous d'enregistrer les données personnelles sensibles des utilisateurs, sauf si nécessaire. Si la journalisation de ces données est nécessaire, elles doivent être chiffrées ou au moins masquées conformément aux normes de sécurité les plus élevées », rappelle aussi VPN Mentor.