Pfizer lekt privégegevens van honderden medicijngebruikers
Farmaceutische gigant Pfizer heeft door een verkeerd geconfigureerde Google Cloud Storage bucket de privégegevens van honderden medicijngebruikers gelekt, alsmede informatie over gebruikte medicijnen en gezondheidstoestand. Dat laten onderzoekers van vpnMentor weten.
Buckets zijn containers waarmee data in de Google Cloud Storage kan worden opgeslagen. Pfizer had één van hun buckets verkeerd geconfigureerd, waardoor die voor iedereen op internet toegankelijk was. De bucket bevatte transcripties van gebruikers van Pfizer-medicijnen die contact met het bedrijf hadden gezocht.
Het ging om honderden transcripties die allerlei persoonlijke identificeerbare informatie bevatten, zoals volledige naam, adresgegevens, e-mailadres, telefoonnummer en gedeeltelijke details over de medische en gezondheidstoestand. In de transcripties werden ook de medicijnen genoemd die de gebruikers gebruikten, zoals Viagra en Advil.
Vpnmentor waarschuwde Pfizer op 13 juli, gevolgd door een tweede poging op 19 juli. Een derde poging volgde op 22 september, waarop de farmaceut reageerde. Volgens de onderzoekers stelde Pfizer dat het niet om belangrijke data ging. Daarop deelden de onderzoekers een deel van de persoonlijke informatie die ze hadden gevonden, waarop de bucket door Pfizer werd beveiligd.
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.
Dit is zo'n typische reactie. Eerst een knap staaltje downplay en wegmanagen en pas als je echt niet meer kan ontkennen er iets mee doen. Getuigt niet van veel verantwoordelijkheidsgevoel, en dat bij een Farmaceut.
Pfizer Inc. reported full-year revenues of $51.8 billion (https://www.healthleadersmedia.com/finance/pfizer-revenues-slide-end-2019).
Farmaceut, 3x gewaarschuwd én niet adequaat opvolgen van een privacy melding. Telt dat niet als verzwarende omstandigheden?
Nou, da's dan potentieel ruim 2mjrd boete alstublieftdankuwel.
(zal wel weer niet, na een stevige big-pharma lobby wordt het toch weer een "foei, niet meer doen", maar toch kan dromen van gerechtigheid ook leuk zijn.)
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.
Was mijn eerste reactie ook, maar in het artikel staat dat het ging om transcripties van klantcontacten (waarbij de klanten dus zelf contact hebben gezocht). Dergelijke data moet je uiteraard zeer goed beveiligen, want in vrij velden kan je echt alles kwijt.
N.B. Voor experimentele medicijnen ligt het anders, maar hier gaat het kennelijk om reeds toegelaten medicijnen.
Even het artikel lezen:
Je kent het wel. Je belt naar een bedrijf en het eerste wat je hoort, is dat het telefoongesprek kan worden opgenomen. Wat dan ook meestal wordt gedaan is een (automatisch) transscriptie zodat bij een toekomstig telefoontje de oude gegevens snel teruggevonden kunnen worden. Jij vindt het toch ook lastig als je bij ieder gesprek weer al je gegevens en andere medicijnen en het gebruik door moet geven?
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
