制药巨头阿斯利康(AstraZeneca)指责“用户错误”在网上留下了一年多的凭据列表,暴露了对敏感患者数据的访问权限。
网络安全初创公司 SpiderSilk的首席安全官 Mossab Hussein 告诉 TechCrunch,一名开发人员于 2021 年在代码共享网站 GitHub 上留下了阿斯利康内部服务器的凭据。这些凭据允许访问测试 Salesforce 云环境,企业通常使用该环境来管理他们的Hussein 说,客户,但测试环境包含一些患者数据。
一些与 AZ&ME 应用相关的数据,为需要药物的患者提供折扣。
TechCrunch 向 AstraZeneca 提供了暴露凭证的详细信息,而包含这些凭证的 GitHub 存储库在数小时后无法访问。
阿斯利康发言人帕特里克·巴特在一份声明中告诉 TechCrunch:“保护个人数据对我们来说极其重要,我们力求达到最高标准并遵守所有适用的规则和法律。由于 [原文如此] 用户错误,一些数据记录在开发者平台上暂时可用。在我们被告知 [原文如此] 后,我们立即停止了对这些数据的访问。我们正在调查根本原因并评估我们的监管义务。”
Barth 拒绝透露患者数据存储在测试环境中的原因,以及阿斯利康是否有技术手段(例如日志)来确定是否有人访问了数据以及哪些数据被泄露(如果有的话)。
对于像 SpiderSilk 的 Hussein 这样的安全研究人员来说,暴露或无意发布到 GitHub 等网站的凭据(如用户名和密码)越来越普遍。在过去的几年里,这家初创公司发现了属于三星、备受争议的面部识别初创公司 Clearview AI的暴露数据;以及 重启后的电影订阅 MoviePass。 8 月,侯赛因发现了属于微软员工的凭据,这些凭据被无意中发布到了微软拥有的 GitHub 上。
“这不是我们第一次遇到由于人为错误导致工程师在 Github 上泄露的凭据,而且这种情况一直在全面发生,”侯赛因告诉 TechCrunch。 “这些意外泄漏的风险在于它们是随机发生的,并且利用路径通常很简单(即使威胁参与者的工作更容易)。”
阿斯利康密码失效暴露了Zack Whittaker的患者数据,最初发表在TechCrunch上
原文: https://techcrunch.com/2022/11/03/astrazeneca-exposed-password-data/