Фармацевтический гигант AstraZeneca больше года держал в открытом учетные данные для внутренних ресурсов, в результате чего могли быть скомпрометированы персональные данные различных пациентов. Интересно, что персональные данные хранились в тестовой среде.
Моссаб Хуссейн (Mossab Hussein), директор по безопасности стартапа SpiderSilk, сообщил журналистам, что еще в 2021 г. разработчики компании AstraZeneca оставили учетные данные для внутреннего сервера на одном из репозиториев ресурса для обмена кодом GitHub. По словам Хуссейна, эти учетные данные позволяли получить доступ к тестовой среде на облачном сервисе Salesforce.
Несмотря на тестовый характер хранилища, в нем находилась конфиденциальная информация пациентов, которые покупали лекарства от AstraZeneca. По словам Хуссейна, некоторая конфиденциальная информация относилась к приложению ZX&ME, которое предлагает скидки на лекарственные препараты.
Репортеры TechCrunch недавно уведомили AstraZeneca об утечке данных, и через несколько часов репозиторий GitHub, содержащий учетные данные, оказался недоступен.
«Из-за ошибки пользователя некоторые записи данных временно оказались на платформе разработчиков. Мы закрыли доступ к этим данным сразу после того, как нас проинформировали об этом. Мы расследуем причину инцидента, а также оцениваем наши нормативные обязательства», - заявил представитель AstraZeneca Патрик Барт (Patrick Barth).
Барт отказался сообщить, почему данные пациентов хранились в открытой тестовой среде и есть ли у AstraZeneca журналы событий, которые помогут выяснить, получил ли кто-нибудь доступ к данным и какие данные могли быть скомпрометированы.
Источник: TechCrunch.