Archives par mot-clé : dossier

Un laboratoire de radiologie perd les dossiers médicaux de 9 300 personnes

Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !

Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.

Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.

Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.

Fuite de données dans les poubelles de Motel 6

Retrouver des photocopies de permis de conduire, des copies de plaques d’immatriculations, des signatures ou encore des identités à la sortie d’un Hôtel, voilà une fuite de données pas courante… ou presque.

La chaîne américaine d’hôtels, Motel 6, fait face à une fuite de données peu courante. Une cliente a découvert des centaines de dossiers aux pieds des poubelles d’une des structures hôtelière du groupe. En regardant les dossiers, des contenus privés et sensibles allant des photocopies de permis de conduire, des numéros de téléphones, des numéros de plaques d’immatriculation et même des signatures de clients.

A première vue l’Oncle Sam a du mal à faire comprendre à certaines entreprises comment bien détruire les données privées et sensibles qu’elles collectent. Comme ces confettis utilisés pour fêtes les championnes du monde de football qui n’étaient rien d’autre que des dossiers médicaux découpés en petites bandes de papier… pour faire la fête ! (Image KalTv)

Intercepter les données du dossier public de DropBox… facile

Le dossier Public de DropBox, un peu trop libre pour les personnes non autorisées à le consulter. Dropbox est une société bien connue spécialisée dans les solutions de cloud computing. La société annonce des centaines de millions d’utilisateurs, avec des pétaoctets de données stockées. Aujourd’hui, beaucoup utilisent Dropbox pour partager quoi que ce soit en famille ou entre amis. Cet usage semble parfaitement raisonnable si les données partagées ne sont pas sensibles, mais Dropbox est aujourd’hui aussi largement utilisé par les entreprises. DropBox remplace même parfois le service de Backup ou autres moyens de partager des fichiers entre collègues. Il parait que cela permet d’économiser de l’espace disque, du temps. Mais côté confidentialité, il faudra repasser, surtout si vous utilisez le dossier « Public ».

Notre ami Jean-Pierre Lesueur (DarkCoderSc) vient de nous montrer comment les fichiers DropBox dans le dossier « Public », normalement sécurisés et non accessibles aux personnes non autorisées, sont en fait parfaitement libres d’être consultés par des personnes extérieures. Pour cela, rien de plus simple. Il faut posséder un compte DropBox valide, une petite application python du nom de wfuzz et … c’est tout.

L’outil va égrener les noms de fichiers qui peuvent se trouver dans le dossier Public d’un compte DropBox ciblé. Bref, arrêtez de penser que le dossier « Public » n’est pas accessible aux personnes non autorisées. Démonstration en vidéo, ci-dessous.