Laboratoire, perdu, HD ! Que deviennent les données stockées par les professionnels de santé ? Pour le Charles River Medical Associates, sur un disque dur portable perdu. 9.300 dossiers médicaux dans la nature !
Le Charles River Medical Associates est un laboratoire de radiologie américain. Il vient d’avouer (la loi américaine l’impose, NDR) avoir perdu un disque dur contenant 9.387 dossiers médicaux. Des sauvegardes d’informations personnelles et des images radiographiques. Des données de tous ceux qui ont subi une scintigraphie osseuse au depuis 2010. Huit ans d’informations privées, sensibles, sans protection, ni chiffrement.
Le laboratoire a envoyé un courriel, comme va l’imposer le RGPD en France dès le 28 mai 2018, aux patients impactés. Le disque dur « perdu » contient les noms, les dates de naissance, les numéros d’identification des patients et les images de scintigraphie osseuse.
Le groupe de santé a découvert cette disparition en novembre 2017. Il aura attendu trois mois pour alerter les patients ! Le groupe était tenu de signaler cette violation de la vie privée au Département américain de la santé et des services sociaux, ainsi qu’aux médias locaux.
La société Cisco a admis avoir perdu, accidentellement, des données du client lors d’une erreur de configuration du cloud de sa filiale Meraki.
Ahhhh, le cloud, petit bonheur numérique qui permet, selon les plaquettes publicitaires de « se faciliter la vie » ; « d’économiser de l’argent » ; « de renforcer son potentiel économique« . Bref, le cloud c’est bien… sauf quand ça bug. Le dernier incident en date concerne CISCO. L’entreprise américaine a confirmé, et donc avoué, avoir perdu des données clients. Un accident en raison d’une erreur de configuration du cloud de sa filiale Meraki.
La semaine dernière, l’équipe d’ingénierie cloud de CISCO a effectué un changement de configuration sur son service de stockage basé en Amérique du Nord. Sauf que cette mise à jour a supprimé certaines données clients. Meraki est une filiale de Cisco qui offre des technologies d’information gérées par le cloud pour les caméras sans fil, et tout ce qui concerne les communications de sécurité via une interface Web.
Un outil pour savoir ce qui a été perdu dans le cloud !
L’entreprise a déclaré que son équipe d’ingénieurs a travaillé pendant le week-end de 5/6 août pour voir si elle pouvait récupérer les données de ses clients. CISCO va fournir, ce 7 août, un outil pour « aider nos clients à identifier précisément ce qui a été perdu ». Cisco n’a pas précisé combien de clients ont été impactés par cet incident. Meraki est utilisé par plus de 140 000 clients et 2 millions de périphériques réseau y sont connectés.
En juillet dernier, des centaines d’entreprises, dont la Compagnie météorologique d’IBM, Fusion Media Group et Freshworks, utilisateurs de Google Groups pour leurs messages internes et privés, ont accidentellement exposé des informations sensibles publiquement en raison d’une erreur de configuration par les administrateurs de groupe. La société Dow Jones & Co a récemment confirmé que des données personnelles et financières de près de 2,2 millions de clients avaient été exposées en raison d’une erreur de configuration dans le seau S3 d’Amazon. Plus tôt cette année, la panne massive de S3 de Amazon Web Services, pendant plusieurs heures, a été causée en raison d’une erreur d’ingénierie.
Quelques jours auparavant, Verizon avait confirmé qu’un fournisseur tiers avait exposé des millions d’enregistrements d’abonnés sur un serveur de stockage Amazon S3 non protégé. Toujours en juillet, WWE confirmait qu’une base de données non protégée contenant les détails de plus de 3 millions d’utilisateurs avait été trouvée stockée en texte brut sur un serveur Amazon Web Services S3.