Des milliers de personnes sont très sensibles détails sur la santéDes données, notamment des enregistrements audio et vidéo de séances de thérapie, étaient accessibles en libre accès sur Internet, selon une nouvelle étude. La cache d’informations, associée à une entreprise de soins de santé américaine, comprenait plus de 120 000 fichiers et plus de 1,7 million de journaux d’activité.
Fin août, le chercheur en sécurité Jeremiah Fowler a découvert le trésor d’informations exposé dans une base de données non sécurisée liée au prestataire médical virtuel Confidant Health. L’entreprise, qui opère dans cinq États, dont le Connecticut, la Floride et le Texas, aide à fournir un traitement contre la dépendance à l’alcool et aux drogues, ainsi que des traitements de santé mentale et d’autres services.
Dans les 5,3 téraoctets de données exposées Il y avait des détails extrêmement personnels sur les patients qui allaient au-delà des séances de thérapie personnelle. Les dossiers consultés par Fowler comprenaient des rapports de plusieurs pages sur les notes d’admission en psychiatrie des personnes et des détails sur leurs antécédents médicaux. « Au bas de certains documents, il était indiqué « données de santé confidentielles » », explique Fowler.
Par exemple, un dossier d’admission en psychiatrie de sept pages, qui semble être basé sur une séance d’une heure avec un patient, détaille les problèmes liés à l’alcool et à d’autres substances, notamment la façon dont le patient a affirmé avoir pris « de petites quantités » de stupéfiants provenant des réserves de l’hospice de ses grands-parents avant le décès de ce dernier. Dans un autre document, une mère décrit la relation « conflictuelle » entre son mari et son fils, notamment le fait que pendant que son fils consommait des stimulants, il accusait son partenaire d’abus sexuels.
Les documents médicaux exposés comprennent des notes médicales sur l’apparence des personnes, leur humeur, leur mémoire, leurs médicaments et leur état mental général. Une feuille de calcul consultée par le chercheur semble répertorier les membres de Confidant Health, le nombre de rendez-vous qu’ils ont eus, les types de rendez-vous, etc.
« Il y a des traumatismes familiaux et personnels déchirants et vraiment douloureux », explique Fowler, ajoutant que certains des fichiers étaient des enregistrements audio et des vidéos de séances avec des patients. « C’est presque comme si on révélait les secrets les plus sombres que vous avez racontés dans votre journal intime, et ce sont des choses que vous ne voulez jamais révéler. »
Outre les dossiers médicaux, la base de données exposée contenait des documents administratifs et de vérification, notamment des copies de permis de conduire, de cartes d’identité et de cartes d’assurance, explique Fowler. Les journaux contenaient également des indications selon lesquelles certaines données sont collectées par des chatbots ou de l’intelligence artificielle, faisant référence à des invites et à des réponses de l’IA aux questions.
Confidant Health a rapidement coupé l’accès à la base de données exposée après que Fowler a contacté l’entreprise, a-t-il déclaré. Le chercheur, qui alerte les entreprises sur les données exposées et ne les télécharge pas, affirme qu’une partie des 120 000 fichiers exposés étaient protégés par un mot de passe. Fowler dit avoir examiné environ 1 000 fichiers pour vérifier l’exposition et déterminer la source des données afin de pouvoir alerter l’entreprise. Il ajoute qu’il est inhabituel qu’une base de données exposée contienne à la fois des fichiers verrouillés et déverrouillés.
Dans une déclaration à WIRED, Jon Read, cofondateur de Confidant Health, a déclaré que l’entreprise prenait les problèmes de sécurité au sérieux et « contestait le caractère sensationnel » des résultats. Selon Read, une fois que l’entreprise a été informée de la « mauvaise configuration », l’accès aux fichiers exposés a été « corrigé en moins d’une heure ».
