Корпорация Pfizer хранила в неправильно настроенном облаке Google транскрипты диалогов и личные данные потребителей лекарственных препаратов с автоматизированной системой поддержки пользователей.
Забыли запереть облако
Фармацевтическая корпорация Pfizer допустила утечку клиентских данных, и это может привести к судебному процессу. Pfizer известна широкой общественности как производитель «Виагры», однако компания производит самый широкий спектр медикаментов разного назначения, включая препараты, используемые для борьбы с раковыми заболеваниями.
Как оказалось, личные данные людей, которым выписаны рецепты на препараты Pfizer, хранились на незащищённом облаке Google Cloud. В частности, в открытом доступе оказались сотни диалогов между клиентами корпорации и автоматизированными системами пользовательской поддержки. Среди клиентов - люди с онкологическими заболеваниями, которые принимают противораковые препараты Ibrance и Aromasin, сообщает SiliconAngle.
Помимо конфиденциальной медицинской информации (которая вообще не подлежит разглашению), расшифровки диалогов включают полные имена, домашние и почтовые адреса и другие данные, которые позволят киберзлоумышленникам легко производить фишинговые атаки и подделывать чужие личности - к ущербу для последних.
Личные данные могут использоваться для выманивания дополнительной информации, в том числе, финансовой. В итоге это может привести к прямой краже денежных средств и другим формам мошенничества.
Дело пахнет судом
Незащищённое облако обнаружила компания vpnMentor в июле 2020 г. В опубликованном ею исследовании указывается, что допустив фактическое раскрытие конфиденциальной медицинской информации, Pfizer нарушил как минимум закон штата Калифорния о мерах по защите персональных данных, а также ряд правил и рекомендаций по обеспечению безопасности личной информации. В конечном счёте это может привести к судебным разбирательствам.
«Сейчас по всему миру наблюдается тенденция к ужесточению законодательства о защите персональных данных, - это справедливо и для США, и для Европы, - отмечает Алексей Водясов, технический директор компании SEC Consult Services. - Фармацевтическая компания, оставившая в открытом доступе клиентские данные, - это действительно повод и для скандала, и для расследования, особенно ввиду того, что закон теперь прямо требует более щепетильного подхода к защите информации. С другой стороны, неправильная настройка облачных ресурсов с «богатым содержимым» - это уже настолько частое явление, что никто особо и не удивляется новым инцидентам подобного рода. И не факт, что последуют какие-то санкции против Pfizer. Даже и заслуженные».
Впрочем, это уже далеко не первый случай, когда Pfizer допускает утечки данных: в 2007 г. их было сразу три. В 2019 г. произошёл комичный случай, когда кто-то из сотрудников компании случайно оставил жёсткий диск с резервными данных в коробке, которую выкинули в мусорный контейнер. Вероятнее всего, это осталось без каких-либо последствий, потому что содержание этого контейнера в течение следующих 24 часов было отправлено в мусоросжигатель.
Публичной реакции со стороны Pfizer пока не последовало, хотя в исследовании vpnMentor упоминается, что корпорация приняла меры к решению проблемы в конце сентября.
Комментарии
Я бы не стал слишком стесняться, ежели бы был клиентом Пфайзер по данной проблеме. Так сложилось, разве я гад оттого?
Эта vpnMentor фактически стала подельником (если не хуже) Pfizer-а, публично объявив о незащищённости информации. Пока Pfizer устранит проблему, пройдёт некоторое время, которым могут воспользоваться "заинтересованные лица", ранее не интересовавшиеся вопросом.
Если сосед забыл закрыть свою квартиру, я постараюсь конфиденциально уведомить его, а не буду выбегать во двор с криками "У Сидорова не заперта квартира!".
Сидоров частное лицо и с принадлежащей ему квартирой может делать всё, что захочет. Пусть хоть вообще дверь снимет. А вот Пфизер это юридическое лицо, оно ведёт предпринимательскую деятельность. В частности продает данную услугу (консультации по своим колёсам), в цену которой входит и обязанность безопасно хранить данные клиентов. Поэтому не надо перекладывать с больной головы на здоровую.
Блин, какая, в ... , разница, юридическое лицо или частно-физическое? Вы всё так "влобовую" понимаете?
Ещё раз: публично объявлено о некой прорехе в безопасности. То есть, неопределённый круг лиц может воспользоваться этой прорехой в своих целях, пока идёт устранение неполадки. Если бы разоблачитель сначала заявил компании о прорехе конфиденциально, а в случае игнорирования проблемы обратился бы к общественности -тогда другое дело. А так -разоблачитель пропиарился на проблеме (мол, смотри, какие мы крутые), фактически наплевав на безопасность клиентов.
Компания взяла деньги - значит за эти деньги она должна нести всю ответственность. А разоблачитель ничьих денег не брал - имеет полное право трепаться, согласно "свободе слова".
Вам разве известны все способы взаимодействия между пфайзером и впнМентором? или может знаете, как впнМентор эту брешь обнаружил?
То есть, если Вы обнаружите, что в магазине забыли запереть на ночь дверь, то немедленно напишите про это на общегородском форуме?
В этом и есть вся суть "свободы слова": никакой ответственности за свои слова.
Тогда почему Вы требуете такой ответственности от Pfizer?
Потому что в этом вся суть "правового государства": возможность сутяжничать до бесконечности.
Две любимые западные агитки столкнулись, вот и пусть теперь бьются до последнего.
а что, сегодня до сих пор июль 2020 года ?
А если бы вы прочитали статью, то заметили бы, что
Т.е. опубликованное исследование было уже ПОСЛЕ того, как "дверь закрыли и заперли"
А если ещё капельку погуглить, то и вообще ужас-ужас.
Э-эх, такая эпическая битва двух донкихотов вокруг одной ветряной мельницы развернулась, а вы... Spielverderber!
Пятница, ночь! пусть лучше отдыхают, будет понедельник - будут и новые мельницы, а они устамши :-D