В открытом доступе оказались данные сотен тысяч пациентов

Исследователь из Нидерландов Йелле Урсем (Jelle Ursem) обнаружил девять неверно сконфигурованных GitHub-репозиториев, принадлежащих американским клиникам, а также различным подрядчикам. В хранилищах можно было найти персональные данные до 200 тыс. человек, передает портал Decipher.

По словам Урсема, на GitHub он нашел репозитории с жестко закодированными учетными данными для различных баз данных. Используя эти данные, исследователь смог без труда войти в системы и просмотреть данные множества пациентов.

Например, после входа в среду Microsoft Office 365 или Google G Suite Урсем часто видел информацию фактически глазами сотрудников: контракты, персональные данные, внутренний распорядок дня в клиниках, электронную почту, адресные книги, закрытые чаты команд и многое другое.

Йелле Урсем отмечает, что каждый раз встречал типичные ошибки, которые открыли доступ к данным из медицинских учреждений. Прежде всего это встраивание учетных данных в код вместо использования отдельного файла конфигурации на сервере. Кроме того, разработчики пренебрегали подключением двухфакторной аутентификации. По меньшей мере в одном случае организация забыла удалить данные с заброшенного хранилища.

Например, обнаруженная исследователем база данных одной из крупных американских клиник содержала 1,3 млн различных записей. Ее удалось найти по случайно оставленному URL-адресу консоли администратора электронной медицинской системы.