« Uber des infirmières » : plus de 86 000 dossiers médicaux et informations d’identification personnelle exposés via un bucket S3 public

 (websiteplanet.com)
1 points par GN⁺ 2025-03-14 | 1 commentaires | Partager sur WhatsApp

Des milliers de dossiers, dont des PII, exposés en ligne

  • La base de données d’une entreprise de healthtech basée dans le New Jersey, ESHYFT, a été exposée sans protection par mot de passe. Cette entreprise met en relation des établissements de santé et des infirmières via une plateforme d’application mobile.
  • La base de données exposée contenait 86 341 enregistrements, pour une taille totale de 108,8 Go. Elle comprenait notamment des photos de profil d’utilisateurs, des journaux de planning de travail, des certifications professionnelles, des contrats de mission et des CV.
  • Certains documents incluaient aussi des dossiers médicaux contenant des diagnostics, des ordonnances et des informations sur les traitements, ce qui pourrait constituer une violation de la réglementation HIPAA.
  • La base de données semble appartenir à ESHYFT. Après sa découverte, une notification a été envoyée à l’entreprise, et l’accès a été restreint un mois plus tard.

Le rôle et l’importance d’ESHYFT

  • ESHYFT propose une plateforme mobile qui met en relation des établissements de santé et des infirmières, et opère dans 29 États.
  • L’application permet aux infirmières de choisir des missions adaptées à leur emploi du temps, tout en fournissant aux établissements de santé du personnel infirmier vérifié.
  • Elle a été téléchargée plus de 50 000 fois sur le Google Play Store.

Les risques liés à l’exposition des données personnelles

  • L’exposition d’informations d’identification personnelle (PII), de données de paie et d’historiques de travail peut créer de graves risques et vulnérabilités, à la fois pour les individus et pour les employeurs.
  • Lorsque ces informations sont combinées avec des pièces d’identité, des adresses et d’autres données, des cybercriminels peuvent commettre des usurpations d’identité ou des fraudes financières.
  • Les informations exposées peuvent aussi être exploitées dans des campagnes de phishing afin d’amener les victimes à divulguer davantage de données personnelles ou financières.

Recommandations pour renforcer la sécurité

  • Les entreprises de healthtech et les fournisseurs de logiciels médicaux doivent adopter des mesures de cybersécurité proactives pour protéger les données et empêcher les accès non autorisés.
  • Il est nécessaire d’imposer des protocoles de chiffrement pour les données sensibles et de procéder à des audits de sécurité réguliers de l’infrastructure interne.
  • Les données sensibles doivent être anonymisées autant que possible, et les données inutilisées devraient être assorties d’une date d’expiration afin de limiter leur conservation.
  • Une authentification multifacteur (MFA) doit être exigée afin qu’un accès ne soit pas facilement possible même si des identifiants utilisateur sont compromis.
  • Il faut prévoir un plan de réponse aux fuites de données ainsi qu’un canal de communication dédié au signalement des incidents de sécurité.

Conclusion

  • En cas de fuite de données, il faut informer rapidement et de manière responsable toutes les personnes susceptibles d’être concernées.
  • Les utilisateurs doivent être formés à reconnaître les tentatives de phishing, ce qui profite à la fois aux prestataires de service et aux utilisateurs.
  • Ce rapport a été rédigé à des fins pédagogiques et ne reflète pas une compromission réelle de l’intégrité des données.

À lire aussi

1 commentaires

 
GN⁺ 2025-03-14
Commentaire Hacker News
  • J’ai récemment entendu parler d’une entreprise qui vérifie le niveau d’endettement d’une personne via son dossier de crédit avant de lui proposer des missions, puis baisse son tarif horaire en conséquence
    • S’il y a des conséquences négatives pour ce type de violation, ils doivent en payer pleinement le prix
  • La section sécurité des données de leur politique de confidentialité indique ceci
    • Nous utilisons certaines mesures de protection physiques, administratives et techniques afin d’améliorer l’intégrité et la sécurité des informations que nous collectons et conservons
    • Aucune mesure de sécurité n’est parfaite ni inviolable
    • Le système n’est pas conçu pour stocker ou protéger des informations pouvant être considérées comme des informations de santé protégées telles que définies par HIPAA
    • Je me demande s’ils peuvent vraiment échapper à leur responsabilité en invoquant le fait que le système n’a pas été conçu pour être conforme à HIPAA
  • Les gens sont déstabilisés par le niveau d’autorité des professionnels de santé
    • Il ne faut jamais donner son numéro de sécurité sociale à un médecin ou à un hôpital
    • Quand ils veulent vérifier une pièce d’identité, cela ne veut pas dire la scanner ou la photographier
    • Les médecins et les hôpitaux sont extrêmement mauvais en sécurité de l’information
  • Le secteur de la santé est globalement très problématique
    • Les hôpitaux bon marché appartenant à des groupes n’emploient pas les infirmières en interne
    • Le faible coût est ce qui a attiré les hôpitaux vers cette appli, et il est possible que des remises aient été versées aux administrateurs qui l’ont approuvée
    • ESHYFT devrait faire faillite, mais il ne se passera probablement rien
  • Je me demande depuis combien de temps ce bucket S3 existe
    • AWS a configuré les nouveaux buckets S3 en privé par défaut
    • C’est peut-être ancien, ou bien ils l’ont ouvert imprudemment parce qu’ils n’arrivaient pas à faire fonctionner l’upload/download de fichiers dans l’application ou le service mobile
  • Je me demande s’il faut blâmer AWS
    • Les pratiques de sécurité du genre « on code à 3 h du matin pour rendre service à des potes » ne s’appliquent pas à un produit qui héberge des PII
    • La mise en place d’une sécurité des données de base relève de l’utilisateur
  • Je me demande pourquoi ils ont utilisé l’expression "Uber pour infirmières" au lieu du vrai nom de l’entreprise dans le titre
  • Je me demande si l’on fait encore semblant qu’il existe des régulateurs fonctionnels capables d’agir sur ce problème
  • J’ai travaillé dans la health tech, et c’est extrêmement grave
    • Les amendes sont calculées par dossier patient, et ce n’est pas donné
    • Cela vous fait grimper sur le « mur de la honte », que de futurs partenaires commerciaux peuvent consulter
    • En cas d’erreur, votre responsabilité personnelle peut être engagée
    • Dans mon précédent poste, nous faisions en sorte que les PII ne transitent jamais via l’API, et nous les stockions sur un VPS totalement séparé du système
    • Quand un dossier était nécessaire, nous le placions dans un bucket S3 et fournissions un lien temporaire accessible uniquement à l’appelant
    • C’était très pénible, mais au moins on dormait tranquille
  • J’ai déjà lu un article de recherche affirmant que les métiers qui demandent de la passion sont aussi les moins payés / les plus épuisants
    • Ex. : enseignants, infirmières, musiciens, sportifs